IEへのゼロデイ攻撃は沈静化したが……
3月最後の週末に仕掛けられたゼロデイ攻撃は週明けには沈静化したようだ。だが、依然としてこの脆弱性についてのパッチは出ていない。
米MicrosoftのInternet Explorer(IE)ブラウザのセキュリティホールを狙ったゼロデイ攻撃の波は沈静化したように見えるものの、パッチが提供されていないため、リスクは依然として大きい、とセキュリティ専門家は指摘している。
3月25日/26日の週末には、このパッチが当てられていないIEのセキュリティフローを使って、ボット、スパイウェア、バックドア、トロイの木馬などのドライブバイダウンロードを行っているURLが200件以上発見された。
だが、Microsoftのセキュリティ対策チームのスタッフによれば、攻撃パターンは既に安定している。
「今は、攻撃は広まっていない。多くの攻撃サイトが閉鎖された」とMicrosoftのプログラムマネジャー、スティーブン・ツールーズ氏は語っている。
同氏はMicrosoftが急ぎ設置した対策センターからeWEEKの取材に応じ、同社はこの攻撃コードをホスティングしている不正サイトを特定し、無効にすべく、警察当局およびVirus Information Allianceのパートナー企業と積極的に協力したと語っている。
Microsoftは当初、最新のアドバイザリーにおいて、攻撃は「限られた範囲」のもので、不正サイトから仕掛けられていると報告したが、eWEEK編集部では不正使用のためにハイジャックされた合法サイトのリストも確認している。そうしたサイトには、航空券の発券システム、保険販売サイト、電子商取引ソフトの販売サイトなどが含まれる。
大半の攻撃では、ハッカーが感染したコンピュータを完全に掌握するためのバックドア攻撃の一種として、SDbotの亜種が使用されている。SDbotは攻撃者がIRCチャネルを介して特定のコマンドを送信し、感染したコンピュータをリモートから操れるようにするためのもので、これまでもボットネットを構築したり、個人情報の窃盗に使うキーロガーを埋め込んだりするのに利用されてきた。
Websense Security Labsのセキュリティテクノロジー調査担当上級ディレクター、ダン・ハバード氏によれば、同社の「honeyclient crawler」は攻撃のピーク時には1時間に10件のペースで新しい不正URLを検知していたという。
「こうした攻撃は限られた数の人間によって行われているようだ。アップロードとダウンロードのロケーションを除けば、どのサイトもコードは非常に似通っている」と同氏。
ハバード氏は、脅威の段階的拡大を軽視すべきではないと警告している。なぜなら、不正なWebサイトを閲覧するだけで感染する危険があるからだ。「別のペイロードでさらなる攻撃が発生するだろう。こうしたゼロデイ攻撃の場合、シェルコードを修正して大きな損害を及ぼそうとするのはよくあることだ」と同氏。
Arbor Networksのソフトウェア&セキュリティエンジニア、ホセ・ナザリオ氏によれば、最初にリストアップされた200件の感染URLには攻撃サイトと誤認されたものが多く含まれたという。これは、自動のクローラーが、脆弱な「createTextRange()」メソッドを正当な方法で使っているWebサイトまで探していたためだ。
「多くのサイトが攻撃サイトと誤認された。実際に不正サイトをホスティングしているURLは、40弱にまで絞りこめた」とナザリオ氏。
同氏によれば、こうしたURLを約18種類のIPアドレスに対応させた。同氏は有名なWorm Blogで不正な活動を追跡している。
さらにナザリオ氏の調査チームは、攻撃に使われているシェルコードの大半は同じものであることを発見し、一連の攻撃は小さなグループによって仕掛けられているとの見方を強めている。
「昨年末のWMF攻撃の場合と比べ、今回、範囲が非常に限られているのは確かだ」と同氏。
ツールーズ氏によれば、Microsoftはパッチに取り組むほか、ユーザーが感染を除去できるよう、Windows Live Safety Centerに一般的な保護対策とマルウェア除去署名を追加している。
Microsoftは、このセキュリティホールを修正するための緊急パッチのリリースを検討中だが、ツールーズ氏は同社の優先事項はまずパッチを厳密な品質保証テストに確実に通すことだと強調している。
同社は既に、Windows 2000、Windows XP、Windows Server 2003でIEを利用している顧客向けに一時的な回避策を載せたアドバイザリーを発行している。
パッチがないため、MicrosoftはIEユーザーに対し、「インターネット」および「イントラネット」のセキュリティゾーンで、Active Scriptingの実行前にダイアログを表示するよう設定するか、Active Scriptingを無効にするようアドバイスしている。
さらに、IEユーザーはこれらのゾーンのセキュリティレベルを「高」に設定すれば、Active Scriptingの実行前にダイアログが表示されるようにできる。
関連記事
- IEの脆弱性に対処する「非公式パッチ」リリース
- IEの脆弱性にゼロデイ攻撃、臨時パッチの可能性も
IEの脆弱性を悪用して、Webサイトにアクセスしたユーザーを不正コードに感染させる攻撃が仕掛けられている。これがエスカレートすれば、Microsoftは臨時パッチをリリースするかもしれない。 - Internet Explorerで未パッチの脆弱性
Secuniaは「非常に重大」なIEの脆弱性に関するアドバイザリーを公開した。IE 6と、IE 7の公開β版が影響を受ける。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
ITmediaはアイティメディア株式会社の登録商標です。