IEのゼロデイ攻撃は少なくとも「日本限定」 ファイア・アイが注意喚起

IEの未解決の脆弱性を突く攻撃について解析を進めているファイア・アイによれば、標的は日本に限定されている可能性が高いという。

[國谷武史，ITmedia]

　MicrosoftのInternet Explorer（IE）に存在する未解決の脆弱性を悪用したサイバー攻撃が発生した問題について、解析作業を進めているファイア・アイは9月24日、標的が日本に限定されている可能性が高いとの見解を発表した。攻撃の拡大も予想されるとして注意を呼び掛けている。

　この攻撃は8月19日前後に始まったとみられ、ファイア・アイでは同月23日に検知された。改ざんされたWebサイトを閲覧したユーザーのマシンにマルウェアが送り込まれ、IEの脆弱性を突いて感染する。このマルウェアは「img20130823.jpg」という名称で画像ファイルに見せかけているが、実態は実行形式のマルウェアだった。感染に成功すると、攻撃者が設置したとみられる「コマンド＆コントロールサーバ」から別のマルウェアを呼び込むという。

攻撃について説明するCTOの三輪氏

　会見した最高技術責任者（CTO）の三輪信雄氏によると、同社が複数のサンプルを解析した結果、このマルウェアとコマンド＆コントロールサーバとの通信内容には特有の文字列が含まれること、通信先のコマンド＆コントロールサーバの一部が同じであるなどの共通性が確認された。検知報告は同社の日本の企業顧客のみで、「少なくとも攻撃者の標的は日本に限定されている可能性が高い」（同氏）としている。

　なお、複数あるコマンド＆コントロールサーバのIPアドレスの1つは、今年2月に米セキュリティ企業Bit9に対する攻撃に使われたものと同じだった。同社は、この時の攻撃者が標的を日本に変更し、IEの脆弱性を使うなど手口も変えて攻撃を実行していると予想する。

　ロシアのkasperskyによれば、この攻撃では日本のニュースサイトが踏み台になったとされ、ファイア・アイへの検知報告も特定の業界の組織に集中しているという。業界関係者が情報収集のために利用しているニュースサイトを改ざんしてマルウェアを拡散させる「水飲み場型」攻撃が行われているもようだ。

　同社ではJPCERT コーディネーションセンターに分析結果などの情報を提供して、コマンド＆コントロールサーバの閉鎖を依頼。だが三輪氏によれば、現在もこの攻撃は継続しており、「img20130823.jpg」とは異なるタイプのマルウェアや別のIPアドレスのコマンド＆コントロールサーバが次々に出現している。「ウイルス対策ソフトの定義ファイルやシグネチャでは新たな手口を検知できない状況」という。