最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆モジラ、ゼロデイ脆弱性を修正した「Firefox 3.6.2」緊急リリース(2010/03/24) | メイン | ◆「Kenzero」騒動~5千名超の被害者を出し「さらしサイト」閉鎖、終焉へ(2010/03/25) »

2010/03/24

◆拡大するIE6/7のゼロデイ攻撃~国内の改ざんサイトにも攻撃のワナ(2010/03/24)

 Internet Explorer(IE)6/7の未修整の脆弱性を悪用した攻撃が、広がりを見せている。マクロソフトがアドバイザリを公開した今月10日夜には、早くもゼロデイ攻撃を仕掛ける攻撃サイトへと誘導しようとする書き込みが、国内の掲示板サイトに投稿されている。15日夜には、ゼロデイ攻撃を仕掛ける別の攻撃サイトへ誘導するリンクが、国内の改ざんサイトに埋め込まれた。

 イーブックイニシアティブジャパン(東京都千代田区)は16日、同社が運営する電子書籍販売サイト「eBookJapan」が不正アクセスを受け、改ざんされたと発表した。3月15日午後9時45分~16日午前11時20分の間、IEを利用して同サイトを閲覧した場合には、ウイルス感染のおそれがある。

 編集部の調査では、書籍名などの特定の項目に不正なscriptタグが埋め込まれており、SQLインジェクションによる改ざんではないかと思われる。埋め込まれたscriptタグは、攻撃サーバーから分割されたJavaScriptを次々に読み込んで実行し、IEの2種類の脆弱性攻撃を仕掛け、ウイルス本体を自動実行しようとする。

 仕掛けられていた攻撃のひとつは、今年1月にゼロデイ攻撃が発覚した脆弱性(CVE-2010-0249)。そしてもうひとつが、現在もゼロデイ状態が続いているIE6/7の脆弱性だ(CVE-2010-0806)。前者は俗にオーロラ攻撃と呼ばれいるもので、1月に緊急パッチ(MS10-002)がリリース。Windows Updateを行っていれば、この攻撃は回避できる。後者は、IE8ならば攻撃を受けないが、IE6/7のユーザーでマイクロソフトのアドバイザリ(981374)にある回避策を実施していない場合には、サイトを閲覧しただけでウイルス感染の危険がある。

 自動実行されるウイルス本体「s.exe」は、「Sasfis」「Downloader」などの名前で検出される。この本体はウイルスセットのインストーラーに相当するもので、これが実行されると、ダウンローダーやゲームのアカウントを盗み取るウイルスが、次々にシステムにインストールされてしまう。

 いまのところは、IEのゼロデイ攻撃を仕掛けてくるサイトの多くが海外のサイトだが、このように国内サイトにもワナは仕掛けられており、いつ攻撃を受けてもおかしくない状態にある。アップグレード可能な方はIE8に、何らかの事情でIE6/7を使い続けなかればならない方は必ず回避策(下欄参照)を実施し、攻撃に備えていただきたい。

(ネットセキュリティニュース2010/03/24)

■コンピュータウィルス感染の報告とお詫び(eBookJapan)
http://www.ebookjapan.jp/ebj/info/news/2010/03/post-46.asp
■「eBookJapan」サイトをご覧になったお客様へご確認のお願い(eBookJapan)
http://www.ebookjapan.jp/ebj/information/20100315.asp
■脆弱性関連情報
・CVE-2010-0249[英文]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0249
・CVE-2010-0806[英文]
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806
・MS10-002 : Internet Explorer の重要な更新(マイクロソフト)
http://www.microsoft.com/japan/security/bulletins/ms10-002e.mspx
・セキュリティ アドバイザリ (981374) Internet Explorer の脆弱性により、リモートでコードが実行される(マイクロソフト)
http://www.microsoft.com/japan/technet/security/advisory/981374.mspx
・サポート技術情報(981374)(マイクロソフト)
http://support.microsoft.com/kb/981374

【ウイルス情報:トレンドマイクロの例】
・JS_SHELLCODE.YY(IE6/7のゼロデイ攻撃コード)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_SHELLCODE.YY
・TROJ_SASFIS.VR(実行されるウイルス本体)
http://trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_SASFIS.VR
・TROJ_DLOADR.VR(インストールされるダウンローダー)
http://trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DLOADR.VR
・TSPY_GAMETI.WOW(インストールされるスパイウェア)
http://trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY_GAMETI.WOW

投稿情報: 10:53 |

|