2012年8月下旬、脆弱性を利用することで知られる攻撃ツール「Blackhole Exploit Kit」を始めとした、多くの攻撃ツールによって Java に存在するゼロデイ脆弱性が悪用されました。
本ブログでは、トレンドマイクロが8月下旬以降に確認しているこの攻撃に関連する大規模発生の概要について説明します。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の機能の一部である自動処理により、これらの攻撃を確認した場合、即座にこの攻撃を検出し、ブロックします。
以下を含む、大規模攻撃につながるWebサイトにインターネットユーザを誘導する攻撃の手口が多く確認されています。
不正な Web サイトへ誘導する手口が複数あるということは、ユーザがこれらの攻撃に遭遇する可能性が多くなることとなり、危険にさらされる可能性も高くなります。トレンドマイクロは、スパムメール拡散についても、以下のような複数の誘導手口を用いていることを確認しています。
こうしたスパムメールは、改変された Web サイトにユーザを誘導するリンクを含んでおり、このリンク先のWebサイトから、さらに不正な Web サイトに誘導します。誘導先の不正な Web サイトは、2つの目的を持っています。1つは、コンピュータにいずれかの脆弱性が存在するかを確認。2つ目は、脆弱性が確認した場合、その脆弱性に応じたエクスプロイトコードに誘導することです。
トレンドマイクロは、この Java の新しい脆弱性を利用した攻撃事例の1つを調査したところ、100以上のサーバにホストされた300以上もの不正なドメインの Web サイトを確認しました。
以下の図のとおり、確認したドメインの約半数が、「.com」、「.org」および「.net」といったよく見られるトップドメインにホストされていました。
 |
また、Web サイトの約半数が米国、4分の1以上がロシアのドメイン上にホストされていました。
 |
Webサイトがホストされている地域のユーザが被害を多く受けているようで、被害を受けたユーザの3分の2が米国で、残りの3分の1のほとんどを欧州各国が占めていることがわかります。
 |
トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」により、この脅威から守られています。また、ユーザは、コンピュータに Java をインストールする必要があるかについて考えることをお勧めします。もし必要でない場合、深刻なセキュリティ問題をもたらすことがある Java についてアンインストールすることをお勧めします。もし必要である場合、Oracle から最新の更新版をダウンロードし、常に最新の状態に保つことを徹底してください。
トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のユーザは、以下のフィルタを適用することにより、上述の脆弱性を利用した攻撃からコンピュータを守ることができます。
参考記事:
by Jon Oliver (Software Architecture Director)
翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)