セキュリティ最前線 (2010年2月9日)
IEの脆弱性を悪用したゼロデイ攻撃
~「HYDRAQ」ファミリの侵入を許す~
新年が明け順調にスタートしたかのように見えた2010年1月中旬、Internet Explorer(IE)の脆弱性を悪用したゼロデイ攻撃が確認されました。ゼロデイ攻撃とは、一般に認知されていないソフトウェアの欠陥を利用して仕掛ける攻撃のことです。今回の攻撃で利用された脆弱性に対応するパッチは、攻撃発生から公開まで数日かかったため、サイバー犯罪者は、感染経路としてこの脆弱性を用いて、Web上で大混乱を引き起こすことに成功しました。
今回のケースでは、マイクロソフトのIEが狙われ、特定のバージョンにもともと存在した重大な脆弱性を悪用して、Googleやアドビなど世界的に有名な企業を攻撃しました。この攻撃が確認された当初、標的型攻撃と思われていましたが、攻撃に利用された不正コードが一般に公開されたため、この不正コードが埋め込まれた不正Webサイトが多数作成されました。そして、次々と同じタイプの攻撃が仕掛けられました。
どのような脅威か
トレンドマイクロのセキュリティ専門家チームは、2010年1月27日現在、IEの脆弱性を悪用した攻撃に関連する注目すべき事例を3件確認しています。
まず1つ目の攻撃事例では、「JS_DLOADER.FIS」として検出される不正JavaScriptが埋め込まれたWebサイトが攻撃の発端になりました。この「JS_DLOADER.FIS」が待ち受けるWebサイトにアクセスしたユーザは、気づかない間にこの不正JavaScriptに感染することになります。「JS_DLOADER.FIS」は、IEの無効なポインタ参照に存在する脆弱性を悪用します。そして、この不正JavaScriptは、実行されると、Webサイトにアクセスし暗号化されたファイル "a.exe" をダウンロードして感染コンピュータに保存します。保存されたファイルは、トレンドマイクロの製品では「TROJ_HYDRAQ.SMA」として検出されます。
この「TROJ_HYDRAQ.SMA」は、バックドア活動を展開します。TCPポート443を開き、特定のIPアドレスに接続します。ただし、解析した時点ではそのIPアドレスにはアクセスできませんでした。また、この不正プログラムは、イベントログ(Windowsのシステム上で発生するさまざまな事象が記録されたログ)を削除するといった不正活動を実行したり、有効なドライブや実行中サービスのリストを作成する機能を備えています。さらに、Office製品のスクリプト・デバック機能である "MDM.EXE" をコマンドプロンプトを用いて実行することも可能です。
2つめの攻撃事例では、「JS_ELECOM.C」として検出される不正JavaScriptがメインとなって不正活動を展開します。この不正JavaScriptは不正な iFRAMEタグです。実行されると、リモートサイトから他の不正JavaScript(「JS_ELECOM.SMA」として検出)をダウンロードします。
3つめの攻撃事例では、「JS_ELECOM.SMA」の侵入が契機となり、難読化されたコンポーネントファイル "WHAT.JPG(「JS_ELECOM.SMB」として検出)" とともに不正活動するのが特徴です。「JS_ELECOM.SMA」は、「JS_ELECOM.SMB」からデータ変数を参照して、自身の不正活動を実行するのです。
「JS_ELECOM.SMA」は、また、「JS_DLOADER.FIS」と同様に、上記のIEの脆弱性を悪用し、「TROJ_HYDRAQ.SMA」をダウンロードします。ただし、この不正プログラムは、「JS_DLOADER.FIS」と異なり、感染コンピュータに他のトロイの木馬型不正プログラム、「TROJ_HYDRAQ.K」および「TROJ_COMELE.AJ」をもダウンロードします。「TROJ_HYDRAQ.K」は、自身の前身である「TROJ_HYDRAQ.SMA」とよく似た不正活動を実行します。一方、「TROJ_COMELE.AJ」は、特定のGmailアカウントにアクセスします。ただし、解析時点には、このアカウントは無効になっていました。
なお、2つめの事例の「JS_ELECOM.C」に感染したコンピュータは、3つめの事例で言及した「JS_ELECOM.SMA」と「JS_ELECOM.SMB」にも感染している可能性が高いということを念頭に置いておく必要があります。
どのようなリスクにさらされるか
一般ユーザだけでなく、社内のシステム環境の制限で脆弱性があるバージョンのIEを使わなければいけない企業ユーザは、脆弱性利用型不正プログラムが待ち受けるWebサイトからいろいろな方法で感染する可能性が高くなります。今回の一連の攻撃が次々と報告される間、マイクロソフトは問題の脆弱性に対応するセキュリティ更新プログラムを公開するのに数日かかりました。このような状況で、ユーザは、メールに記載されているリンクをクリックするのに用心深くなりました。もちろん、送信元が不明な場合なおさらです。また、メールのフィルタリング機能の使用状況を確認し怠らないようにすることもおすすめします。
▲図 IEの脆弱性を悪用した各攻撃の感染フロー
今回のゼロデイ攻撃で悪用されたIEの脆弱性は、IEのバージョン5.1を除くすべてのバージョンに存在することが確認されました。サイバー犯罪者は、前述の「HYDRAQ」による不正活動を実行するだけでなく、感染コンピュータを完全に制御することも可能にしました。つまり、これにより、ユーザは、自身の感染コンピュータに他の不正プログラムがインストールされたり、個人情報が収集されたりする恐れがあります。
トレンドマイクロからのソリューションとアドバイス
Trend Micro Smart Protection Network(SPN)は、従来のアプローチよりもさらに進んだセキュリティ対策で、新種の脅威がユーザを襲う前にこれをブロックします。このSPNは、トレンドマイクロのさまざまなソリューションおよびサービスの中で用いられ、トレンド独自のクラウド型技術と軽量のクライアントアーキテクチャを組み合わせたもので、これにより、ユーザがどこで接続していてもその個人情報が即座に自動的に保護されます。このSPNは、攻撃全体から必要なセキュリティ対策を識別し、それらを「相関分析」することにより、総合的な防御を可能にした唯一のセキュリティ技術でもあります。
この攻撃では、SPNの「Web レピュテーション」技術により、ユーザがアクセスする前に、「JS_DLOADER.FIS」、「JS_ELECOM.C」、「JS_ELECOM.SMA」および「JS_ELECOM.SMB」が埋め込まれた不正Webサイトをブロックします。また、「ファイルレピュテーション」技術により、「TROJ_COMELE.AJ」、「TROJ_HYDRAQ.K」および「TROJ_HYDRAQ.SMA」として検出される不正ファイルを検知し削除します。さらに、「E-mailレピュテーション」技術により、脆弱性利用型不正プログラムが埋め込まれたWebサイトに誘導するリンクを含んだスパムメールをブロックします。
「Trend Micro 侵入防御ファイアウォール(ウイルスバスター コーポレートエディション プラグイン製品)」を組み合わせた「ウイルスバスター コーポレートエディション」をご利用のユーザは、最新のフィルタ(IDF1003879 および IDF1003909)に更新することにより、この攻撃を回避できます。また、「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のユーザも、この脆弱性を利用する関連攻撃から守られています。
マイクロソフトは、2010年1月22日、この脅威に対する「定例外のセキュリティ更新プログラム(MS10-002)」を公開しました。トレンドマイクロの製品をご利用でないユーザは、セキュリティ対策の面からも同社の説明を参照し、自動更新を有効にしていないユーザは、ただちに更新プログラムを適用してください。また、無料サービス「オンラインスキャン」を利用して、感染していないかどうか確認することをおすすめします。
今回の脅威に関するブログ
- New IE Zero-Day Exploit Attacks Continue (TrendLabs MALEARE BLOG・英語)
- Trend Micro Proactively Helps Protect Against Zero-Day Attacks Like the Recent IE Exploit (TrendLabs MALEARE BLOG・英語)
- Googleおよび米国企業を狙ったサイバー攻撃 - どんなリスクが待ち受ける? (トレンドマイクロ セキュリティブログ)
今回の脅威に関するセキュリティニュース
関連情報
- マイクロソフト セキュリティ情報 MS10-002 - 緊急 (マイクロソフト)
