ニュース
» 2006年03月28日 16時39分 UPDATE

IEへのゼロデイ攻撃は沈静化したが……

3月最後の週末に仕掛けられたゼロデイ攻撃は週明けには沈静化したようだ。だが、依然としてこの脆弱性についてのパッチは出ていない。

[Ryan Naraine,eWEEK]
eWEEK

 米MicrosoftのInternet Explorer(IE)ブラウザのセキュリティホールを狙ったゼロデイ攻撃の波は沈静化したように見えるものの、パッチが提供されていないため、リスクは依然として大きい、とセキュリティ専門家は指摘している。

 3月25日/26日の週末には、このパッチが当てられていないIEのセキュリティフローを使って、ボット、スパイウェア、バックドア、トロイの木馬などのドライブバイダウンロードを行っているURLが200件以上発見された。

 だが、Microsoftのセキュリティ対策チームのスタッフによれば、攻撃パターンは既に安定している。

 「今は、攻撃は広まっていない。多くの攻撃サイトが閉鎖された」とMicrosoftのプログラムマネジャー、スティーブン・ツールーズ氏は語っている。

 同氏はMicrosoftが急ぎ設置した対策センターからeWEEKの取材に応じ、同社はこの攻撃コードをホスティングしている不正サイトを特定し、無効にすべく、警察当局およびVirus Information Allianceのパートナー企業と積極的に協力したと語っている。

 Microsoftは当初、最新のアドバイザリーにおいて、攻撃は「限られた範囲」のもので、不正サイトから仕掛けられていると報告したが、eWEEK編集部では不正使用のためにハイジャックされた合法サイトのリストも確認している。そうしたサイトには、航空券の発券システム、保険販売サイト、電子商取引ソフトの販売サイトなどが含まれる。

 大半の攻撃では、ハッカーが感染したコンピュータを完全に掌握するためのバックドア攻撃の一種として、SDbotの亜種が使用されている。SDbotは攻撃者がIRCチャネルを介して特定のコマンドを送信し、感染したコンピュータをリモートから操れるようにするためのもので、これまでもボットネットを構築したり、個人情報の窃盗に使うキーロガーを埋め込んだりするのに利用されてきた。

 Websense Security Labsのセキュリティテクノロジー調査担当上級ディレクター、ダン・ハバード氏によれば、同社の「honeyclient crawler」は攻撃のピーク時には1時間に10件のペースで新しい不正URLを検知していたという。

 「こうした攻撃は限られた数の人間によって行われているようだ。アップロードとダウンロードのロケーションを除けば、どのサイトもコードは非常に似通っている」と同氏。

 ハバード氏は、脅威の段階的拡大を軽視すべきではないと警告している。なぜなら、不正なWebサイトを閲覧するだけで感染する危険があるからだ。「別のペイロードでさらなる攻撃が発生するだろう。こうしたゼロデイ攻撃の場合、シェルコードを修正して大きな損害を及ぼそうとするのはよくあることだ」と同氏。

 Arbor Networksのソフトウェア&セキュリティエンジニア、ホセ・ナザリオ氏によれば、最初にリストアップされた200件の感染URLには攻撃サイトと誤認されたものが多く含まれたという。これは、自動のクローラーが、脆弱な「createTextRange()」メソッドを正当な方法で使っているWebサイトまで探していたためだ。

 「多くのサイトが攻撃サイトと誤認された。実際に不正サイトをホスティングしているURLは、40弱にまで絞りこめた」とナザリオ氏。

 同氏によれば、こうしたURLを約18種類のIPアドレスに対応させた。同氏は有名なWorm Blogで不正な活動を追跡している。

 さらにナザリオ氏の調査チームは、攻撃に使われているシェルコードの大半は同じものであることを発見し、一連の攻撃は小さなグループによって仕掛けられているとの見方を強めている。

 「昨年末のWMF攻撃の場合と比べ、今回、範囲が非常に限られているのは確かだ」と同氏。

 ツールーズ氏によれば、Microsoftはパッチに取り組むほか、ユーザーが感染を除去できるよう、Windows Live Safety Centerに一般的な保護対策とマルウェア除去署名を追加している。

 Microsoftは、このセキュリティホールを修正するための緊急パッチのリリースを検討中だが、ツールーズ氏は同社の優先事項はまずパッチを厳密な品質保証テストに確実に通すことだと強調している。

 同社は既に、Windows 2000、Windows XP、Windows Server 2003でIEを利用している顧客向けに一時的な回避策を載せたアドバイザリーを発行している。

 パッチがないため、MicrosoftはIEユーザーに対し、「インターネット」および「イントラネット」のセキュリティゾーンで、Active Scriptingの実行前にダイアログを表示するよう設定するか、Active Scriptingを無効にするようアドバイスしている。

 さらに、IEユーザーはこれらのゾーンのセキュリティレベルを「高」に設定すれば、Active Scriptingの実行前にダイアログが表示されるようにできる。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -