IEへのゼロデイ攻撃、今度はBBC Newsをおとりに

Internet Explorerの未パッチの脆弱性を狙ったゼロデイ攻撃が続く中、今度は、BBC Newsをおとりに使った攻撃方式が登場した。

» 2006年04月03日 23時23分 公開
[Ryan Naraine,eWEEK]
eWEEK

 MicrosoftのInternet Explorerブラウザを狙ったゼロデイ攻撃が続く中、今度は、ソーシャルエンジニアリングを組み合わせた攻撃方式が登場した。

 Websense Security Labsが公表した警告によると、BBC Newsの実際の記事の抜粋が、ボットやスパイウェア、バックドアや他のトロイの木馬を自動的にダウンロードさせようとするWebサイトへIEのユーザーを誘導するのに利用されているという。

 eWeekが確認したスパムメールの1つには、BBC Newsが3月27日に配信した、人民元が米ドルに対し切り上げ後の高値を更新したというニュース記事の一部が含まれている。

 ハッカーは、本物の記事抜粋の後に「続きを読む」というリンクを埋め込み、BBC Newsのコピーを載せた、偽のWebサイトへ誘導している。

 Websenseの研究者によると、この不正サイトには、未パッチのcreateTextRangeの脆弱性を悪用して、ユーザーが何ら操作を行わなくともキーロガーをダウンロードし、インストールする仕掛けが用意されている。

 このキーロガーは、さまざまな金融関連Webサイトでの操作をモニターし、キャプチャした情報を攻撃者に送り返す仕組みだ。銀行へのログイン情報などのユーザーのセンシティブな情報を盗み取ろうとする、高度に組織化されたアイデンティティ窃盗団によるものと思われる。

 この最新の手法は、感染したコンピュータをハッカーが完全に乗っ取れるようにするSDbotの亜種をダウンロードさせようとする攻撃の第一波からほぼ1週間後に登場した。SDbotは、IRCのチャネルを通じて特定のコマンドを送信することで、攻撃者がリモートから被害者のコンピュータを操れるようにする。

 これまでの攻撃コードは、乗っ取られて悪意あるコードを埋め込まれた、複数の正規のWebサイトから仕掛けられていた。その中には、航空券発券システムや保険販売サイト、電子商取引ソフトウェアの販売サイトなどが含まれていた。

 Microsoftは当初この攻撃を「範囲が限定されたもの」とし、4月11日にブラウザ向けの包括的な修正をリリースする予定としていた。

 だが同時に、普段のアップデートサイクルから外れて、次回の月例パッチがリリースされる4月11日に先立ち、緊急パッチをリリースすることも検討しているという。

 Microsoftのパッチが存在しない間に、eEye Digital SecurityとDeterminaという、2つの評判の高いインターネットセキュリティ企業が、IEユーザー向けの一時的な防御策として非公式パッチをリリースした。

 eEyeによると、サードパーティーパッチが3月28日に公開されてから、9万2000以上のダウンロードがあったという。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ