トレンドマイクロでは Internet Explorer(IE)9、10 に影響する未修正の脆弱性「CVE-2014-0322」について、2014年2月17日および 2月21日のブログ記事で報告しましたが、今回、このゼロデイ脆弱性への攻撃が、日本国内における正規Webサイト改ざん事例において発生していたことを確認しました。改ざんサイトにアクセスした利用者は、不正プログラム感染の被害を受ける可能性があります。今後も同様の攻撃が継続して発生する可能性がありますので、脆弱性の緩和策について確認し、可能であれば IE11 へのアップデートを行うことを推奨します。
トレンドマイクロでは、このゼロデイ攻撃につながるWebサイト改ざん事例を複数確認しています。最初に確認した事例では、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」がフィードバックを元に相関分析を行い、22日午前10時以降、改ざんにより設置された不正ファイルのURLを「Webレピュテーション」技術によりブロックしていました。その後、より詳細な解析から、「CVE-2014-0322」による IE9、10 のゼロデイ脆弱性への攻撃であることも確認されました。
今回確認した改ざん事例では、脆弱性を攻撃するための、htmファイル、フラッシュファイル(拡張子SWF)、Javaアーカイブファイル(拡張子JAR)が改ざんサイト内に設置されていたことが共通しています。これらのファイルはアクセスされると連携して「CVE-2014-0322」を利用し、最終的に他の不正サイトからダウンロードされた不正プログラムがユーザ環境で実行されます。
現在トレンドマイクロではこの攻撃の全体像の把握と、関係する不正活動の解析を行っており、必要に応じてさらなる情報提供を行います。
■ゼロデイ脆弱性の緩和策:
ゼロデイ攻撃が発生している「CVE-2014-0322」について、マイクロソフトでは正式なアップデートは未公開ですが、脆弱性の影響を緩和する情報として、セキュリティアドバイザリおよび Fix It Tool が公開されています。また、最新の IE11 へのアップデートを行うことでもこの脆弱性への攻撃を回避可能です。
■トレンドマイクロの対策:
本稿で紹介した脆弱性攻撃ファイルおよび不正プログラムは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の機能の 1つである「ファイルレピュテーション」技術により「SWF_EXPLOIT.PB」などとして検出対応を行っております。同時に改ざんサイトから侵入する不正ファイルのURLを、「Webレピュテーション」技術によりブロックします。
また、トレンドマイクロのサーバ向け総合セキュリティ対策製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」およびクライアント向け「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」の脆弱性対策機能を使用することにより、修正プログラムの適用までネットワーク経由での脆弱性攻撃からの保護が可能です。