IEのゼロデイ攻撃、日本の組織や企業が標的に：代替ブラウザの利用やプロキシログの精査を

[高橋睦美，＠IT]

　米SANSや米FireEyeなど複数のセキュリティ組織や企業が、Internet Explorerに存在するゼロデイ脆弱性（CVE-2031-3893）を突いて日本企業をターゲットとした標的型攻撃が展開されているとし、注意を呼び掛けている。

　この脆弱性は、IE 6〜11までのすべてのバージョンに存在する。IEのメモリオブジェクトの処理に問題があり、攻撃者が細工を施したWebページを開いただけで、脆弱性を突いてリモートからコードが実行される可能性があると警告されていた。

　FireEyeによると、実際に発生している標的型攻撃もこうしたシナリオに沿ったものだという。改ざんされたWebサイトを閲覧すると、香港に存在していた悪意あるサイトに誘導され、「img20130823.jpg」などの名称で画像ファイルに見せかけた実行ファイルが送り込まれる。このマルウェアに感染すると海外に設置されたC＆Cサーバに接続する仕組みだった。

　FireEyeが初めてこの攻撃を捕捉したのは8月23日。解析の結果、早ければ8月19日から攻撃が展開されていた可能性があるという。

　FireEyeによると、この攻撃に関するアラートが報告されているのは日本の顧客からのみで、特にこの数日間増加している。一方、米国などほかの国では報告されていないことから、ゼロデイ脆弱性を使って日本の組織や企業をターゲットにした攻撃であると判断されるという。KasperskyのニュースサイトであるThreatpostも、日本の複数のメディアのサイトが不正侵入を受けて改ざんされ、日本の政府機関やハイテク企業、製造業ななどが感染されたと報告している。

　なおこの攻撃では、2月に観測された、米Bit9をターゲットにした標的型攻撃と同じIPアドレスの1つが利用されていた。過去の標的型攻撃では、国内のIPアドレスが発信元になっているケースが多かったことを踏まえると、今回の攻撃の主体はやや異なる可能性もあるという。

IE以外のブラウザ利用も視野に

　9月24日の時点で、脆弱性を修正する公式のパッチは公開されていない。マイクロソフトでは、緩和策である「Fix It」の適用を強く推奨している。

　また、ラックがアドバイザリの中で述べているように、一時的にIEの利用を停止し、他のブラウザで代替することも回避策となる。ファイア・アイのCTO、三輪信雄氏も、今後もブラウザの脆弱性を狙う攻撃がなくなることはないことを踏まえ、「普段から、ユーザーが少なくとも2種類のブラウザを使えるようなリテラシーを高めておくことも1つの手だろう」と述べている。

　一方ネットワーク管理者側としては、8月下旬からこの攻撃が観測されていたことから、すでに管理下の端末がマルウェアに感染している可能性があることを前提に対策に臨む必要がある。具体的には、プロキシサーバのログを精査し、今回の攻撃の特徴の1つである、ポート443を使いながら暗号化されていない通信を見つけ出したり、国外の不審なIPアドレスに頻繁にアクセスしている端末がないかどうかを洗い出す、といった作業だ。

　ただし、一連の攻撃に使われているマルウェア本体やC＆Cサーバは固定ではなく、新たなものが観測されており、「もぐらたたきの状態」（三輪氏）であることも事実という。