Webサイト閲覧者をマルウェアに感染させる改ざん攻撃では、攻撃者が使うツールに変化がみられるという。セキュリティ機関ではWebサイト運営者に脆弱性対策などの取り組みを求めている。
日本サイバー犯罪対策センター(JC3)とセキュリティ各社は2月2日、Webサイト閲覧者をマルウェアに感染させるサイバー攻撃の国内での状況について発表した。攻撃者が使うツールや閲覧者が感染するマルウェアの種類などに大きな変化がみられるという。
この種の攻撃で攻撃者は、攻撃を実行するために「エクスプロイトキット」(EK)と呼ばれるツールを使用する。攻撃者は脆弱性を抱えるWebサイトのシステムに不正侵入し、マルウェア配布サイトへのリンクを埋め込むといったコンテンツ改ざんなどの行為に及ぶ。攻撃されたWebサイトを閲覧すると、閲覧者のコンピュータがマルウェア配布サイトに接続(誘導)されてしまう。その際、コンピュータに脆弱性が存在するとマルウェアが送り込まれて感染する。ユーザーはその後。攻撃者によって不正にコンピュータが操作されてしまったり、金銭を搾取されたりするなどの被害に遭う恐れがある。
JC3によれば、国内では2016年後半から「RIG-EK」というツールによる攻撃が増加しており、全国の警察やセキュリティ企業らと連携して、改ざんサイトの無害化に取り組んでいるという。警察庁によると、改ざんされた298サイトの管理者などに対して38の都道府県警察から状況確認や修復依頼などを行っている。
トレンドマイクロは同日発行のレポートで、2016年はスパムメールによるマルウェア感染攻撃が激化したことから、EKによるWebサイト改ざん攻撃が見過ごされつつあると警鐘を鳴らす。同社の観測では、2016年5月頃にEKツールの「Angler」、同年9月頃に「Neutrino」がそれぞれ活動を停止し、閲覧者が改ざんサイトからマルウェア配布サイトに誘導されてしまう状況は減少傾向にある。しかし同年9月頃から、それらに代わってRIG-EKが台頭。同年7月〜12月は、RIG-EKによって構築されたマルウェア配布サイトへのアクセスが国内だけでのべ6000件近くに達した。
また、ラックの観測では2016年9月下旬から2017年1月にかけてRIG-EKが継続的に検知されており、Webサーバに対する攻撃も度々急増している。同社は、特に国内のWebサイトのコンテンツ管理で多数利用されているというWordPressやJoomla!などのコンテンツ管理システム(CMS)ソフトや、CMSに追加するプラグインソフトの脆弱性が狙われると解説する。
EKツールによるマルウェア配布サイトから閲覧者のコンピュータに送り込まれるマルウェアの種類はさまざまだが、トレンドマイクロによると、2016年10月〜12月期はランサムウェアが全体の85%を占めた。また、ランサムウェアの種類別では「CERBER」と呼ばれるファミリー(特定のマルウェアおよびその亜種を含めた総称)が94%に上り、主にスパムメールを通じて拡散した「LOCKEY」は4%しかなくと、メールとWebで攻撃の傾向に違いがみられる。
ランサムウェアは、閲覧者のコンピュータに存在するOSやソフトの脆弱性に悪用に成功すると感染し、感染後にコンピュータ内のデータを不正に暗号化して使用不能にする。そして、ユーザーに身代金を要求する。CERBERの場合は、日本語を含む12カ国語でユーザーにデータを復号するためのツールを購入するよう求め、ビットコインなどの仮想通貨で支払うための方法を表示するという。
こうしたEKツールによる攻撃への対策は、Webサイト運営者とインターネット利用者の双方に求められることから、JC3およびセキュリティ各社では下記の事項をアドバイスしている。
容や保管期間などを見直しておく
Copyright © ITmedia, Inc. All Rights Reserved.