「Yahoo!」は、2014年1月10日(米国時間)、年末から年始にかけて、自社のさまざまな Webサイトで不正な広告が掲載され、ヨーロッパのユーザが感染の被害にあったことを発表しました。この攻撃について、主に次の 2点が報道されました。1つは「何百万人」というユーザが感染の被害にあったこと、もう 1つは、感染した PC が電子通貨「Bitcoin(ビットコイン)」を「発掘(マイニング)」するために悪用されたということです。どちらも少し誇張されているかもしれませんが、メディアも、より具体的な全体像をつかむことができなかったと考えられます。
どれほどのユーザがこの攻撃にさらされたかは、正確に言うことはできません。しかし、Java を最新のバージョンに更新していたユーザは、今回の攻撃の被害にあわなかったことは注目すべきです。トレンドマイクロでは、Java の 2つの脆弱性「CVE-2012-0507」と「CVE-2012-4681」が、さまざまな不正なプログラムをユーザの PC にインストールするために、今回の攻撃で利用されたのを確認しています。これらの脆弱性への攻撃には、悪名高い「Blackhole Exploit Kit(BHEK)」の後継のエクスプロイトキットの 1つである「Magnitude Exploit Kit」が利用されたと考えられています。しかし、「CVE-2012-0507」は2012年2月、「CVE-2012-4681」は2012年8月と、どちらの脆弱性もかなり以前に修正プログラムが公開されています。
また、今回の攻撃の報道で注目された不正活動は、ビットコイン発掘不正プログラムでした。しかし、実際にユーザの PC にダウンロードされた不正プログラムは、それだけではありません。トレンドマイクロでは、Skype 経由で拡散する 「DORKBOT」や、「GAMARUE」の亜種、クリック詐欺に利用される「TROJ_OBVOD.AY」といった、さまざまな不正なプログラムを今回の攻撃で確認しています。
更新プログラムが最新でなかった場合も、適切に設計されたセキュリティ対策製品がユーザを保護します。例えば、トレンドマイクロのブラウザ向けの脆弱性利用対策技術「ブラウザガード」は、今回の攻撃からユーザを保護することができます。この技術は、Webブラウザ上で実行されているスクリプトやその他の Webオブジェクトを解析し、それらが不正なものかを判断するために「振る舞い検知」を利用します。この技術によって、最新の更新プログラムが PC にインストールされていなくても、ユーザは保護されます。更新プログラムを最新にすることの代替にはなりませんが、このように十分に配慮された PC側でのセキュリティ対策は、ユーザを「確実に保護」する方法を増やすのに非常に役立ちます。
今回の攻撃は、感染経路は通常と異なっているかもしれませんが、攻撃自体は典型的なものです。インストールしているソフトウェアを最新の状態にし、良く設計されたセキュリティ対策製品を使用するといった、正しく基本的な PC の利用法を実践していれば、ユーザは被害にあう危険性を大幅に減らすことができたでしょう。今回の攻撃からは、安全に PC を利用するにはどうすべきかを再認識できました。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。
※執筆協力:Kai Yu
参考記事:
by Jonathan Leopando (Technical Communications)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)