修正して間もないJRE(Java Runtime Environment:Java実行環境)の脆弱性を悪用するドライブバイダウンロード攻撃で、攻撃サイトに誘導する踏み台の一部に、不正アクセスを受けた国内のWebサイトが使われていることが、編集部の調べで分かった。
この攻撃は、一般のWebサイトから攻撃サイトへと誘導し、閲覧者の環境に応じた様々な脆弱性攻撃を仕掛けるもの。WindowsやAdobe Reader、JREといった定番ソフトが狙われており、2月に修正されたばかりのJREの脆弱性も悪用されている。
踏み台に使われている一般のWebサイトには、トップページの直下に8文字のランダムな英数字のフォルダが作られ、「index.html」またはJavaScriptファイルの「js.js」が設置される。「index.html」は、英文のスパムメールに記載されたリンク先になっており、大量に投入されている世界各国の一般サイトに混ざり、国内のWebサイトが数件見つかった。この「index.html」は、他の複数のサイトから「js.js」を読み込むようになっており、「js.js」を実行すると攻撃サイトにリダイレクトされる。
攻撃サイトでは、Windowsのヘルプとサポートセンター、Media Player、Adobe Reader、Flash Player、JREを狙った脆弱性攻撃が仕掛けられる。いずれも修正済みの脆弱性だが、ひとつでも未更新のソフトウェアがあると攻撃が成功し、オンラインバンキングやメール、FTPのアカウントを盗み取る機能や、パソコンを外部から制御するためのバックドアの機能などを備えた、Zeus/Zbot系のウイルス(トロイの木馬)をダウンロード、実行してしまう。
英文スパムの攻撃は、国内のユーザーにはほとんど影響がないと思われるが、いつ攻撃に巻き込まれても被害を受けないように、下記の「トピックス」を参考に、ソフトウェアのアップデートを必ず実施しておいていただきたい。また、Webサイトを管理されている方は、サイトに前述のような不審なフォルダやファイルがないか確認しておくことをお勧めする。設置されている場合には、サイトに脆弱性がある可能性と、FTPパスワードを盗み取られた可能性の両方をチェックしていただきたい。
(2012/03/29 ネットセキュリティニュース)
【ウイルス情報】
・PWS:Win32/Zbot.gen!AF[英文](マイクロソフト)
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=PWS:Win32/Zbot.gen!AF