ニュース

IEへのゼロデイ攻撃で用いられた“水飲み場型”攻撃

 日本マイクロソフト株式会社が1月7日付のセキュリティアドバイザリ(2794220)で公表したInternet Explorer(IE)8/7/6のゼロデイ脆弱性について、これを悪用した標的型攻撃の概要をシマンテックが公式ブログで解説している。今回はいわゆる“水飲み場型”攻撃の手法でこの脆弱性が悪用されたという。

 株式会社シマンテックによると、水飲み場型攻撃とは、標的ユーザーが利用する可能性の高いサイトに悪質なコードを仕掛けておき、ドライブバイダウンロードでマルウェアに感染させる手法。攻撃者はまず、標的ユーザーがアクセスしそうなサイトを調査し、それらのサイトに脆弱性がないかチェック。脆弱性の見つかったサイトに侵入し、マルウェアをホスティングしている別サイトへ誘導するHTMLやJavaScriptのコードを注入する。その後は、水飲み場で獲物を待ち伏せるライオンのように、標的ユーザーがアクセスしてくるのを待つ――という流れだ。

 今回は、米国のシンクタンクのサイトに侵入して待ち伏せしていたという。標的ユーザーがアクセスしてくると、JavaScriptが実行され、ブラウザーがIE 8かどうか、Flashがインストールされているかどうか、システムの言語は何かをチェック。標的の条件に合致する場合のみ攻撃を次の段階に進め、さらにJavaのバージョンなどもチェックした上でIE 8の脆弱性を突く悪用コードを含むFlashオブジェクトをロードし、最終的に悪質なペイロードをロードするようになっていたという。

 シマンテックでは、水飲み場型攻撃について2009年から調査を続けているとしており、その解析結果を「The Elderwood Project」というレポート(英文)として2012年9月に公開。増加傾向にあることなどを伝えている。

 トレンドマイクロ株式会社でも、この手法を“Watering Hole(たまり場)”型攻撃として2009年から確認しており、新しい手法ではないが効果的だと指摘。今後、主に標的型攻撃に悪用されることが一般的になるとみている。

 なお、日本マイクロソフトでは、修正パッチを提供するまで間の対策として、脆弱性そのものは修正しないが、攻撃の影響を回避するための設定を自動的に適用する「Fix it」の提供を開始している。また、この脆弱性は新しいバージョンであるIE 10/9には影響しないため、これらのバージョンにアップデートする方法もある。

(永沢 茂)