IEの脆弱性にゼロデイ攻撃、臨時パッチの可能性も

IEの脆弱性を悪用して、Webサイトにアクセスしたユーザーを不正コードに感染させる攻撃が仕掛けられている。これがエスカレートすれば、Microsoftは臨時パッチをリリースするかもしれない。

[Ryan Naraine，eWEEK]

　悪意を持ったハッカーが、Webサーバを乗っ取り、Webサイトに細工を施して、未パッチのInternet Explorer（IE）の脆弱性にゼロデイ攻撃を仕掛けている。

　第一弾のドライブバイダウンロード（不正なWebサイトにアクセスするとコードが強制インストールされる手口）は、3月25日に発見された。この攻撃を調査しているセキュリティ専門家は、1時間おきに10件ペースで新しい不正なURLが増えていると指摘している。

　eWEEKは、不正コードをホスティングしている20件以上のドメインと100件のURLのリストを入手した。この不正コードは、コンピュータの完全な乗っ取りを可能にするSDbotというトロイの木馬の亜種をユーザーのシステムに感染させる。

　SDbotは、攻撃者がIRCチャネルを介して特定のコマンドを送信して、感染したコンピュータをリモートから操れるようにする。これはボットネットを構築したり、個人情報の窃盗に使うキーロガーを埋め込んだりするのに利用されてきた。

　Microsoftのセキュリティ対策チーム（MSRC）はこの攻撃を認めたが、「限られた範囲」のものだと主張している。

　「われわれが把握しているのは、この攻撃は今のところ限定的な範囲で、IEのHTMLレンダリング処理に関連した脆弱性を悪用した不正なWebサイトにより行われているということだ」とMSRCのプログラムマネジャー、ステファン・ツールーズ氏は述べている。

　「（われわれは）この脆弱性に対処するIEの累積セキュリティアップデート開発に昼夜を問わず取り組んでいる」と同氏は25日の午前5時21分に投稿されたブログのエントリで述べている。

　同氏は、IEパッチは「予定通り」来月の「パッチデー」（4月11日）の一環としてリリースされるが、脅威がエスカレートすれば臨時パッチをリリースする可能性もあるとしている。

　「相当の理由があれば、（パッチデーより）早くリリースする」（同氏）

　今回の攻撃は、MicrosoftがWindows 2000、Windows XP、Windows Server 2003でIEを利用している顧客向けに一時的な回避策を載せたアドバイザリーを発行してから24時間経たないうちに起きた。

　Websense Security Labsのセキュリティ・テクノロジー調査担当上級ディレクター、ダン・ハバード氏によると、同社の「honeyclient crawler」は1時間おきに約10件の新しい不正なURLを検知しているという。

　「これはWMF（Windows Metafile）の攻撃とよく似ている。これは始まったばかりだ」とハバード氏はeWEEKの取材に応えて語った。

　同氏は、昨年12月にWMFのゼロデイ攻撃を最初に発見した人物。攻撃者らが現在、乗っ取ったWebサイト上でさまざまな種類の攻撃コードをテストしているという証拠があると話している。

　「これら攻撃者の一部は、WMFの脆弱性を悪用していたのと同じ人物だ。同じWebサイトを使っている。彼らが不正コードを効果的に機能させる方法を割り出せたら、週末にはさらに事態が悪化していくだろう」（同氏）

　「われわれが興味深く思っていることの1つは、シェルコードがこれらのサイトの多くでは機能していないということだ。このことから、攻撃者たちが不正コードをテストし、大規模な被害を与えられるよう準備していることがうかがえる」と同氏は付け加えた。

　SDbotの亜種に加え、これらのサイトは、ユーザーに何らかの行動を取らせる必要なく、スパイウェアとキーロガーをマシンにインストールするとハバード氏は説明する。「これらのサイトにアクセスするだけで感染してしまう」

　これらの攻撃は、ユーザーに何らかの操作をさせる必要がない――細工をされたサイトにアクセスするだけで不正コードが発動する――が、スパイウェア対策企業Sunbelt Softwareの研究者らは、不正な画像を使ってマルウェアのペイロードを実行するWMPの攻撃コードの方がずっと危険だと語る。

　「必要以上にパニックを広げたくはない。これはWMPの攻撃コードとは違う。WMPの攻撃コードは、グラフィックスファイルを使ってペイロードを実行するという過酷な要素を持つ。このため、攻撃のベクトルは電子メールに埋め込まれた画像、Google Desktop（などのアプリケーション）で表示される画像にまで広がった」とSunbeltのアレックス・エッケルベリー社長は言う。

　「今回の攻撃コードはそれとはタイプが違う。特定のページにアクセスすれば感染するが、電子メールなどには影響しない」（同氏）

　ハバード氏はWebsenseのブログに、乗っ取られ、攻撃コードのばらまきに利用されているゴルフサイトのスクリーンショットを掲載している。「攻撃者が所有するサイトに対する細工されたサイトの比率が通常以上に高い」と同氏は指摘する。同氏は特に、さまざまなネットワークでホスティングされている複数の旅行関連サイトを（不正な細工を施されたサイトとして）挙げた。

　Exploit Prevention Labsのセキュリティ研究者ロジャー・トンプソン氏は、不正なサイトは向こう数日で5000を超えると予測している。「24時間以内にrootkitが出てくるだろう」

　ハバード氏も、Webサーバの攻撃コードとIEの攻撃コードを組み合わせて、不正なコードをWebサーバ上に置き、クライアントに感染させる手法が使われているのではないかと考えている。「ここ数週間、複数の掲示板プログラム（一番有名なのはPHPBBだ）で使われている当社のハニーポットでも検出が増えている。」

　パッチがないため、MicrosoftはIEユーザーに、「インターネット」および「イントラネット」ゾーンで、Active Scriptingの実行前にダイアログを表示するよう設定するか、Active Scriptingを無効にするようアドバイスしている。

　さらに、IEでこれらゾーンのセキュリティレベルの設定を「高」に設定すれば、Active Scriptingの実行前にダイアログが表示されるようになる。

　Microsoftはこの脆弱性を修正する包括的なパッチを用意しているところだ。この脆弱性はラジオボタンコントロールで使われる「createTextRange()」メソッドの処理の問題が原因だ。

原文へのリンク