is702

脆弱性を攻撃する不正サイトの手口

2014/12/01

トレンドマイクロは11月28日、同社公式ブログで「狙いはIE、Java、Flash、Silverlight:Web経由脆弱性攻撃の手口」と題する記事を公開しました。

正規のWebサイトを改ざんし、そのサイトの利用者にウイルスを感染させるという攻撃が続いています。こういったサイトの改ざんやその後の感染に、サイバー犯罪者は「脆弱性攻撃キット(Exploit Kit)」と呼ばれる攻撃ツールを活用しています。「脆弱性攻撃キット(Exploit Kit)」は、ユーザの脆弱性を攻撃する不正サイトを、簡単に構築できるツールです。

脆弱性攻撃キットを使用した攻撃サイトには、そのURLに特徴的な文字列が含まれる場合があります。今回トレンドマイクロでは、この特徴をルール化し、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の統計情報を分析。その結果、攻撃サイト(1,200以上のドメイン)に対し、日本国内からおよそ38,000件のアクセスが10月1カ月の間に確認されました。また、これらの攻撃サイトで使用されている脆弱性攻撃キットを分類したところ、攻撃サイトのおよそ80%で「Rig Exploit Kit」が使用されていました。

そこで、「Rig Exploit Kit」を使用している攻撃サイトを解析したところ、ウイルス対策製品が導入されているかの確認、Internet Explorer(IE)の脆弱性への攻撃、Javaの脆弱性への攻撃、Silverlight Plug-inの脆弱性への攻撃、Adobe Flashの脆弱性への攻撃という順番で、攻撃が行われていました。それぞれの段階で、攻撃サイトはソフトのバージョンを確認し、条件に応じた攻撃スクリプトを実行していました。

このことから、これらの攻撃サイトでは、一通りすべてのソフトを狙い、1つでもアップデートが行われていなければ侵入してくるということが分かります。またウイルス対策製品が導入されている環境には攻撃を行わないなど、より巧妙に、目立たないように攻撃しようとしていることも発覚しました。

逆にいえば、ユーザは、「すべての製品のアップデート」に注意しなければなりません。特に、IE以外のJava、Adobe Flash、Silverlightの更新は必須と言えるでしょう。