マカフィー株式会社 公式ブログ

McAfee Labs] 2011年1月19日 更新

増加するゼロデイ攻撃

 

ソフトウェアにセキュリティ上の脆弱性(セキュリティホール)が発見されたときに、問題の存在自体が広く公表される前にその脆弱性を悪用して行なわれる、いわゆる「ゼロデイ攻撃」が増加しています。その中でも最もターゲットにされやすい脆弱性として、Internet Explorer(IE)における脆弱性があげられます。今回はその事例を紹介したいと思います。

2009年7月4日を含む週末に、マイクロソフトのDirectShow ActiveXオブジェクトに存在する脆弱性を狙った大規模なゼロデイ攻撃が、中国の多くのWebサイトで見つかりました。 調査したところ、ハイジャックされたWebサイトが100個以上発見されました。このようなWebサイトには、現在も問題のトロイの木馬を配布している悪質なWebサイトへのリンクが挿入されていました。改変されたWebサイトの多くは、「悪質」とか「怪しい」といった印象を受けないサイトでした。例えば、教育機関のWebサイトや、地域コミュニティのWebサイトが乗っ取られたり改変されたりしていました。

ユーザーがWebブラウザで改変済みWebサイト(下図の「Hijacked website #1」)にアクセスすると、プロキシとして機能しているらしい「Hijacked website #2」へのリンクで誘導されます。Hijacked website #1のソースコードを調べても、このリンクが(Hijacked website #2という)無害なWebサイトを指していると思うでしょう。ところがHijacked website #2は、アクセスしてきたユーザーをWebエクスプロイトツールキットの配布元である、悪質なWebサイトへと導きます。

この攻撃で興味深い点を示します。このWebエクスプロイトツールキットは、アクセス元ドメインが「.gov.cn」(中国の政府機関)および「.edu.cn」(中国の教育機関)からでないことを明からさまに確認しているのです。他のドメインからのアクセスだった場合、ツールキットは以下のエクスプロイトをまとめて送りつけてきます。

  1. Exploit-MSDirectShow.b(ゼロデイエクスプロイト)
  2. Exploit-XMLhttp.d
  3. Exploit-RealPlay.a
  4. JS/Exploit-BBar
  5. Exploit-MS06-014

これらのエクスプロイトは,脆弱性の残っている可能性があり、IEからアクセス可能な「IE 6/7」「DirectShow ActiveX」「RealPlayer」「Baidu Toolbar」といったそれぞれ別のアプリケーションを狙います。

これまでの調査によると、このツールキットはハイジャックされた多くの中国系Webサイトでよく使用されていました。背後にいる攻撃者たちは、中国政府に気付かれることを避けたり、遅らせたりしようとしていると考えられます。

攻撃が成功すると、ダウンローダとして機能するトロイの木馬をパソコンに感染させ、他のマルウェアのダウンロードを行います。

Also Find Us On

マカフィーは、インテルコーポレーション(NASDAQ:INTC)の完全子会社であり、企業、官公庁・自治体、個人ユーザーが安全にインターネットの恩恵を享受できるよう、世界中のシステム、ネットワーク、モバイルデバイスを守るプロアクティブで定評のあるセキュリティソリューションやサービスを提供しています。詳しくは、http://www.mcafee.com/japan/をご覧ください。

 

Copyright © 2003-2014 McAfee, Inc. All Rights Reserved.