ランサムウェアを拡散するJavaのゼロデイ脆弱性を確認

2013年1月上旬、Java に存在する新たなゼロデイ脆弱性が確認されました。すでに、この脆弱性を利用した不正プログラム(エクスプロイト)は、「Blackhole Exploit Kit(BHEK)」や「Cool Exploit Kit(CEK)」といった攻撃ツールで利用されています。

CEK は、BHEK の作者によって作られたものであり、より利用しやすい BHEK の高機能版のようです。ゼロデイ脆弱性は、当初、CEK において利用されており、この脆弱性に関する情報が公開された後に BHEK にも追加されました。また、CEK は、特に「REVETON」という「身代金要求型不正プログラム(ランサムウェア)」の亜種を拡散させるために利用されていたことが報告されています。

トレンドマイクロは、2013年1月11日現在、問題のエクスプロイトを「JAVA_EXPLOIT.RG」として、またこのエクスプロイトコードを読み込む Webサイトを「HTML_EXPLOIT.RG」として検出します。また本事例に関連する「REVETON」は、「TROJ_REVETON.RG」および「TROJ_REVETON.RJ」として検出します。

「REVETON」は、今日存在するランサムウェアの脅威の中でも最も主流なものの一つです。「REVETON」は、ユーザのコンピュータをロックし、地元警察からを装う偽の警告文を表示します。そして、ロックを解除したければ、200~300米ドルに及ぶ罰金を支払うよう、ユーザに通知します。トレンドマイクロでは、昨年11月にもリサーチペーパー「Police Ransomware Update」において、このような脅威を報告しています。また、Senior Threat Researcher の Loucif Kharouni は、2013年は、ツールキットにおいてさらなる進展がみられると予測しています。より隠ぺい性の高い、検出が困難なツールキットが新たに出現することでしょう。もしかすると、ゼロデイ脆弱性の利用は、サイバー犯罪用ツールキットにおいて「流行の一端」となるかもしれません。

このエクスプロイト、そして関連する不正プログラムの被害に遭わないためにも、トレンドマイクロは、コンピュータに Java が必要であるかどうか再検討することをユーザに推奨します。Javaアプリケーションを使うなど何らかの理由で Java が必要な場合は、Webブラウザのプラグイン、アドオンなどの設定で Java を無効にすることで、外部 Webサイトを経由した攻撃からのリスクを回避できます。Javaコンテンツが不必要な場合には、セキュリティの危険性をもたらす可能性があるため、Java自体をアンインストールすることも一つの選択肢です。

トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 侵入防御ファイアウォール(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のお客様は、すでにフィルタ「1005177 – Restrict Java Bytecode File (Jar/Class) Download」によって保護されています。このフィルタは、JARファイルおよびクラスファイルをブロックし、これによりすべての関連不正プログラムのダウンロードを回避します。なお、このフィルタは、すべての Javaコンテンツをブロックします。

トレンドマイクロは、問題のエクスプロイトに対する新しいフィルタの更新を行なっていきます。

参考記事:

  • Java Zero-Day Exploit In The Wild, Spreading Ransomware
     by Bernadette Irinco (Technical Communications)
  •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)