セキュリティニュース - 2010/1/26
Internet Explorer(IE)の脆弱性を悪用したゼロデイ攻撃
~「HYDRAQ」ファミリをダウンロードする~
1. 背景
アプリケーションの脆弱性を利用して感染コンピュータに「HYDRAQ」ファミリをダウンロードする攻撃が相次いで発生しており、トレンドマイクロでは、この攻撃に関する報告や問い合わせを複数受けています。特定の個人を標的とした今回の攻撃ですが、これらの攻撃に用いられた不正コードが公開されたことで人々の関心が高まっていることが背景にあります。今回の攻撃では、Internet Explorer(IE)のバージョン5を除くすべてのバージョンに存在する脆弱性が利用されています。
マイクロソフトは、2010年1月22日、この脅威(脆弱性識別子: CVE-2010-0249)に対する「MS10-002 : Internet Explorer 用の累積的なセキュリティ更新プログラム (978207)」を公開しました。セキュリティ対策の面からも同社の説明を参照し、自動更新を有効にしていないユーザは、ただちに更新プログラムを適用してください。
マイクロソフトによる説明(他サイトへリンク)
- マイクロソフト セキュリティ情報 MS10-002 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (978207) - マイクロソフト セキュリティ アドバイザリ (979352)Internet Explorer の脆弱性により、リモートでコードが実行される
2. 基本情報
Q:この攻撃により何が起こりますか?
A:
ユーザは、スパムメールや他のオンライン通信手段を経由して、複数の脆弱性利用型不正プログラムが仕掛けられたWebサイトに誘導されます。ユーザは、特別に細工されたこれらのWebサイトにアクセスすると、脆弱性利用型不正プログラムに感染します。これにより、サイバー犯罪者は、ユーザに気づかれることなくコードをリモートで実行することが可能になります。
今回の攻撃では、広く利用されているアプリケーションに存在する脆弱性が利用されました。この脆弱性は、該当するアプリケーション会社からまだセキュリティ更新プログラムが配布されていませんでした(1月22日に公開済)。ユーザが誤って不正Webサイトを閲覧することによりこの攻撃は始まり、ユーザが知らない間に不正なファイルがダウンロードされます。そして、問題の不正ファイルは、バックドア型不正プログラムでした。
現在確認されている感染フローは、上図のとおりです。これらの感染経路は、次々に発生しました。まず、「JS_DLOADER.FIS」を用いる感染経路が確認され、次に「JS_ELECOM.C」利用の攻撃と続きました。1月21日時点では「JS_ELECOM.C」が誘導する脆弱性利用型不正プログラム「JS_ELECOM.SMA」は、必ず「JS_ELECOM.SMB」を参照して、感染活動を共に実行します。ただし、この感染フローはいまだ変更し続けています。これらの脆弱性利用型不正プログラムは、脆弱性「CVE-2010-0249」を悪用し「HYDRAQ」のさまざまな亜種をダウンロードする不正Webサイトに、ユーザを誘導します。
Q:この脅威はなぜ特別に危険なのでしょうか?
A:
この脅威により、コンピュータのセキュリティが侵害されることとなります。攻撃者は、問題の脆弱性を利用して、感染コンピュータを完全に制御することが可能となります。これにより、不正プログラムがインストールされたり、個人データの表示、改ざんまたは削除が実行される恐れがあります。また、全権限を持ったユーザアカウントが新規に作成される可能性もあります。
Q:誰でも感染する可能性がありますか?
A:
この攻撃は、もはや標的型の攻撃ではありません。この攻撃が確認された当初、特定の個人を標的にしていましたが、不正コードが一般に公開されたため、どのサイバー犯罪者でも自分の攻撃に応じて不正コードを悪用することができるからです。そのため、このような攻撃を受け、利用するブラウザに脆弱性がある場合、トロイの木馬型不正プログラムが感染コンピュータ上で実行されます。これにより、ユーザは、不正コードが埋め込まれた複数のWebサイトに誘導されるか、不正リモートユーザにより感染コンピュータを制御される恐れがあります。不正活動の詳細については、ウイルス情報「TROJ_HYDRAQ.SMA」の詳細ページをご参照ください。
Q:Internet Explorer(IE)を最新のバージョンにアップグレードすることで、この攻撃を回避することができますか?
A:
いいえ。この攻撃は継続的に自身の不正活動を展開し続けています。もちろん、マイクロソフトが提供する回避策を講じることを強くおすすめします。例えば、Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2, および Windows 7のOS上で起動する Internet Explorer 8を利用するユーザは、不正なプログラムが実行されるのを防ぐためのデータ実行防止(Data Execution Prevention、DEP)機能(デフォルトでは、「無効」)を有効にするよう推奨されています。しかし、これは、すでに確認された脆弱性利用型不正プログラムを回避することしかできません。というのも、一部報道で、DEPを回避する亜種が確認されているからです。
Q:この脅威の被害に遭わないためにはどうすればいいでしょうか?
A:
以下の対策を強くおすすめします。
- Internet Explorer(IE)のバージョンを最新版に更新する
- DEPを有効にする
- Windows Vista およびそれ以降のWindows のOS上で起動するIEを利用するユーザの場合、保護モード(Protected Mode)を使用する
上記以外に、ユーザは、各アプリケーションのJavaScriptを無効にする処置も効果的です。また「Trend Micro 侵入防御ファイアウォール(ウイルスバスター コーポレートエディション プラグイン製品)」を備えた製品をご利用のお客様は、最新のフィルタ(IDF1003879 および IDF1003909)に更新することで、この脆弱性関連の攻撃から守られます。そして、一番大切なことは、マイクロソフトより公開された「MS10-002 : Internet Explorer 用の累積的なセキュリティ更新プログラム (978207) 」を適用することです。
3. 関連不正プログラム情報
|
4. 関連脆弱性情報
|
