7月も半分を過ぎていますが、ここで6月の脅威動向のまとめを。5月から引き続き静かな立ち上がりでしたが、中旬以降に一般に「Italian Job」と呼ばれた大規模なWeb攻撃がありました。
- Webからの脅威:
6月中でもっとも大きなトピックは6月中旬以降に確認されたヨーロッパを中心とする大規模なWeb経由の攻撃ケース(参考記事)です。トレンドマイクロでは複数の不正プログラムをWeb経由で侵入させるような攻撃を「Webからの脅威」として警告してきましたが、それが大規模に具現化された例となりました。
最初にこの攻撃が確認されたのはイタリアで日本時間の14日以降正規Webページにおいて不正サイトへのリダイレクトを行わせる改ざんが判明しました。リダイレクトされる不正サイトには合計5種類のセキュリティホールを攻撃するコードが含まれており、いずれかのセキュリティホールが存在する環境から改ざんされた正規Webサイトをブラウズするだけで複数の不正プログラムに感染してしまう状態になっていました。この攻撃はイタリアを中心に確認されたため一般に「Italian Job」と呼ばれており、改ざんが確認された正規Webページは3000以上に上ると推測されています。
その後、日本時間の22日夜以降にはベルギー、オランダ、ロシア、トルコなどのヨーロッパ各国やメキシコ、ブラジルなど中南米のドメインの正規サイトでも同様の改ざんケースが確認されました。
この攻撃の裏には「MPack」と呼ばれるセキュリティホール攻撃用ハッキングツールの存在が確認されています。このような正規サイトのハッキングを支援するツールの存在により、Web経由での攻撃が加速されていくかもしれません。 - セキュリティホール関連:
日本製の圧縮解凍ソフト「+Lhaca」のセキュリティホールを利用する「TROJ_LHDROPPER.A」の攻撃が確認されました。また、海外では「Yahoo! Messenger 8.1」のセキュリティホールを攻撃する「JS_DLOADER.NSP」が確認されています。これまでセキュリティホールへの攻撃はシェアの大きいマイクロソフト製品が中心に狙われていましたが、悪意のハッカーはそれ以外の製品も狙うようになっています。特に「+Lhaca」への攻撃は日本がターゲット攻撃の標的として狙われていることを示す例と言えるでしょう。
