エクスプロイトキット「Rig」による攻撃を多数観測、IEやFlashの脆弱性を悪用、IIJ-SECTや米Symantecが注意喚起

　株式会社インターネットイニシアティブのセキュリティチームであるIIJ-SECT（IIJ group Security Coordination Team）は17日、脆弱性を悪用するエクスプロイトキット「Rig」による日本国内のウェブサイトを経由した攻撃が、9月以降に多数観測されていることについて、注意を喚起している。

　IIJではRigを用いた攻撃について、Internet ExplorerやAdobe Flashの脆弱性を悪用し、侵入に成功すると「Locky」「Ursnif」といったマルウェアがダウンロードされることを9月29日から確認、10月12日以降にはさらに増加している。

　誘導元のウェブサイトには、WordPressで運用されるものが複数あるが、そのほかのウェブサイトからの誘導も多数あり、共通点も確認できないとのこと。ただし、2016年9月上旬から終息傾向にあるエクスプロイトキット「Neutrino」や、2016年6月に終息したエクスプロイトキット「Angler」、そのほかの詐欺行為などに悪用されていたことのあるウェブサイトが散見されるという。

　IIJ-SECTでは、RigのInfector IPアドレスも公開している。これらはほぼ日次で更新されているが、AS単位では海外の一部ASに集中しているため、関連ログの調査などを行う際はAS単位での検索が有効としている。また、IIJ-SECTでは、日本国内のクライアントPCを対象にドライブバイダウンロード攻撃を行う勢力が、「Rig」を本格的に利用し始めているとの見方を示している。

　Rigの全世界における拡大傾向については、米Symantecでも公式ブログで注意を促している。エクスプロイトキットを用いたウェブ経由での攻撃のうち、Rigの比率は、8月調査の3.2％から9月には24.6％へ増加している。

　Symantecでは、あわせて9月のサイバーセキュリティ上の脅威やトレンドの分析を報告しており、マルウェアの亜種は過去12カ月で最大となる5010万種を記録、マルウェアメールの比率も3カ月連続で増加し、113通中1通に上った。なお、スパムメールの比率は53.4％、フィッシングメールの比率は3127通中1通でいずれも微増だった。