Gumblar型手法によるマルウェア攻撃か、100社以上の企業に被害

トレンドマイクロは「mstmp」「lib.dll」などのファイル名で拡散する不正プログラムについて注意を呼び掛けている。

[國谷武史，ITmedia]

　セキュリティ企業のトレンドマイクロは、Webサイトを通じて不正プログラムを拡散させる新たな攻撃が確認されたとして、注意を呼び掛けた。100社以上の企業で感染が確認されたが、攻撃の意図などは不明としている。

　同社によると、今回の攻撃は以下の流れで行われているという。

1. ユーザーが改ざんされた正規のWebサイトを閲覧
2. 正規サイトに仕掛けられたコードにより、不正サイトへ誘導
3. 不正サイトから、Javaの脆弱性を悪用する不正プログラム「JAVA_AGENT.P」「JAVA_AGENT.O」をダウンロード
4. 「JAVA_AGENT.P」「JAVA_AGENT.O」が「TROJ_DLOAD.SMAB」をダウンロード
5. 「TROJ_DLOAD.SMAB」が「TROJ_DLOAD.SMAD」を作成
6. 「TROJ_DLOAD.SMAD」が「TROJ_DROPPER」ファミリの不正プログラムをダウンロード
7. 「TROJ_DROPPER」ファミリーの不正プログラムが「TROJ_EXEDOT.SMA」を作成
8. 「TROJ_EXEDOT.SMA」が不正なWebサイトと通信

　今回の攻撃は、正規のWebサイトを改ざんして閲覧者を不正サイトに誘導する手法（通称「Gumblar攻撃」）がとれているのが特徴。不正プログラムの感染活動では、利用者のコンピュータに存在する脆弱性の内容を確認して異なるプログラムを送り込むほか、偽セキュリティソフト「Security Tool」が送り込むといった特徴もある。

　しかしGumblar攻撃との相違点もあり、例えば不正プログラムがより巧妙なものになっている。「mstmp」というファイル名で送り込まれる「TROJ_DLOAD.SMAD」に多数のバイナリファイルが存在するなど、その仕組みが複雑化しているという。

　しかし、「TROJ_EXEDOT.SMA」が接続する不正なWebサイトに調査時点でアクセスできなかったため、攻撃者の意図が明らかになっていない。同社のサポートセンターには10月14日以降、100社以上の法人顧客から感染報告を受けているといい、日本を標的にした攻撃の可能性もある。

　同社は、OSやアプリケーションを最新の状態にする、最新バージョンのセキュリティソフトを導入するといった対策を徹底してほしいと呼び掛けている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら