ニュース

「はとバス」「ヤマレコ」のサイト改ざん、IEへのゼロデイ攻撃を仕込まれていた可能性

閲覧で不正プログラム感染、日本を標的とした攻撃が拡大

 Symantecは25日、Internet Explorer 10(IE10)の未修正の脆弱性を悪用するゼロデイ攻撃が拡大しており、特に日本のサイトを狙った攻撃が多く発生しているとして、注意を喚起した。

 この脆弱性は、米国の海外戦争復員兵協会のサイトを狙った攻撃の中で発見された「CVE-2014-0322」。サイトは何らかの方法で改ざんされており、IE10でこのサイトを閲覧したユーザーのPCに脆弱性を悪用して不正プログラムを感染させるコードが埋め込まれていた。

 Symantecでは、この脆弱性を悪用する攻撃が2月22日から大幅に増加し始めており、特に日本のサイトが標的にされていると説明。CVE-2014-0322の悪用コードを検出したPCの地域分布では、日本が世界全体の89.3%を占めているという。

CVE-2014-0322悪用コードの標的になったコンピュータの地域分布

 Symantecでは、攻撃を受けたサイトとして以下の6件を挙げている。攻撃に使われているコンポーネントから判断すると、ほとんどの攻撃は同一の攻撃者が仕掛けたと考えられるとしている。

・登山者を対象としたコミュニティサイト
・出会い系アダルトサイト
・言語教育を推進するサイト
・金融市場の情報を提供するサイト
・オンラインショッピングサイト
・日本の旅行代理店のサイト

 これらのサイトには、改ざんによりIEの脆弱性を悪用して不正プログラムをインストールさせるためのコードが埋め込まれていた。不正プログラムは、日本のインターネットバンキング利用者を狙う不正プログラム「Infostealer.Bankeiya」で、ゆうちょ銀行とみずほ銀行のオンラインバンキングへのアクセスを監視し、アクセス時に偽のログイン画面を表示し、IDやパスワード、第2暗証番号などの情報を盗もうとするものだという。

Infostealer.Bankeiyaが表示するゆうちょ銀行の偽の画面(ログイン後)
Infostealer.Bankeiyaが表示するみずほ銀行の偽の画面(ログイン後)

 被害に遭ったと思われるサイトとしては、株式会社はとバスが26日、サイトが改ざんされていたことを公表している。はとバスに確認したところ、IE10の未修正の脆弱性を狙った悪用コードが改ざんにより埋め込まれていた可能性が高いという。また、登山者向けのコミュニティサイト「ヤマレコ」も、同様の攻撃と思われるサイト改ざんがあったことを公表している。

 マイクロソフトでは、この脆弱性に関するセキュリティアドバイザリを公開しているが、現時点でセキュリティ更新プログラムは提供していない。セキュリティ更新プログラム提供までの攻撃への対策としては、脆弱性の影響を受けないIE11へのアップデートや、攻撃の影響を緩和するための設定を行うツール「Fix it」の適用、脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit(EMET)」を利用することを推奨している。

(三柳 英樹)