2014年2月24日のブログ記事で報告した Internet Explorer(IE)9、10 に影響するゼロデイ攻撃ですが、最終的な被害としてはオンライン銀行の認証情報詐取を行う不正プログラムの感染につながっていることが確認されました。改ざん被害を受けている正規Webサイトも複数確認されており、同様の攻撃が今後も継続される可能性が高くなっておりますので、速やかに IE11 へのアップデートを行うことを強く推奨いたします。
今回のゼロデイ攻撃につながる正規Webサイト改ざんでは、以下の 3種類の不正ファイルが改ざんサイト上に設置されることが確認されています。
- htmlファイル(例:ie.html): 脆弱性攻撃ファイル(エクスプロイト)を開くための Webページ(トレンドマイクロ検出名:「HTML_EXPLT.QYUB」)
- swfファイル(例:tope.swf): IE の脆弱性(CVE-2014-0322)を攻撃するエクスプロイトファイル(トレンドマイクロ検出名:「SWF_EXPLOIT.PB」)
- jarファイル(例:oHTiNZ.jar): Java の脆弱性(CVE-2013-2465)を攻撃するエクスプロイトファイル(トレンドマイクロ検出名:「JAVA_EXPLOYT.AFN」)
これによって、IE のゼロデイ脆弱性の他に、Java の既知脆弱性も攻撃されていることが確認されました。改ざんサイトへアクセスしたユーザの環境でどちらかの脆弱性が存在した場合、不正プログラム被害に遭うことになります。最近の脆弱性攻撃においては改ざんサイトから別の脆弱性攻撃サイトへ誘導する方法が主流でしたが、この事例では改ざんサイト上にエクスプロイトコードを設置する方法がとられています。これは海外で確認された同じ IE のゼロデイ攻撃でも同様であり、この攻撃の一つの特徴と言えます。
この Web改ざんにより、最終的に侵入する不正プログラムをトレンドマイクロでは、「TSPY_AIBATOOK.AJ」として検出します。「TSPY_AIBATOOK.AJ」は感染した環境からユーザが特定の銀行の Webサイトへアクセスを監視し、サイト上で入力された情報を窃取したり、認証情報の入力を促す偽画面を表示して情報を詐取する「オンライン銀行詐欺ツール」の機能を持っています。また、窃取した認証情報の他、感染端末の Macアドレス、OSバージョンも外部の不正サイトへ送信します。
 |
|
|
 |
|
|
トレンドマイクロでは、日本国内において同様の改ざんが行われた可能性があるサイトを複数確認しており、現在調査を進めています。また、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」のフィードバックでは、2月22日~25日の間で IEゼロデイ攻撃に関連した改ざんサイトへのアクセスを 1213件確認しています。そのうち、日本国内の端末からのアクセスとしては、少なくとも 800件を確認しています。
 |
|
|
「CVE-2014-0322」を利用する脆弱性攻撃を、海外では標的を絞った水飲み場型攻撃として確認していますが、その脆弱性攻撃が短期間のうちに広範囲に日本のユーザを狙うオンライン銀行詐欺ツールの攻撃に利用されたことになります。これは、一度攻撃方法が確立した脆弱性は、当初は限定された範囲への攻撃であったとしても、すぐに広い範囲への攻撃にも利用されるということの実証と言えます。脆弱性攻撃の情報には特に注意し、すぐに対策を確認することが必要です。
■今回のゼロデイ脆弱性の緩和策:
「CVE-2014-0322」へのゼロデイ攻撃については、最新の IE11 へのアップデートを行うことで回避可能です。IE9、10 に対する正式なアップデートは未公開ですが、脆弱性の影響を緩和する情報として、セキュリティアドバイザリおよび Fix It Tool が公開されています。
■トレンドマイクロの対策:
本稿で紹介した脆弱性攻撃ファイルおよび不正プログラムは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能の 1つである「ファイルレピュテーション」技術により検出対応を行っております。同時に改ざんサイトから侵入する不正ファイルのURL および関連する不正サイトを、「Webレピュテーション」技術によりブロックし、脅威の侵入と連鎖から防護します。
また、トレンドマイクロのサーバ向け総合セキュリティ対策製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」およびクライアント向け「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」の脆弱性対策機能を使用することにより、修正プログラムの適用までネットワーク経由での脆弱性攻撃からの保護が可能です。