Internet Explorer(IE)の未修正の脆弱性を悪用し、閲覧者のパソコンをウイルスに感染させようとする攻撃が、改ざんされた日本国内の正規サイトで行われていたことが分かった。攻撃拡大のおそれがあり、影響を受けないIE 11にアップグレードするなどの回避策をとることをお勧めする。
■「はとバス」公式サイト改ざん
「はとバス」の公式サイトにIEのゼロデイ攻撃が仕掛けられているとの情報が、24日朝、Twitterに流れた。同日、同社はホームページを一時閉鎖し、現在も調査を行っている。同社によれば、改ざんされた可能性のある期間は、今月18日21時48分から24日10時50分。この間にサイトを閲覧した場合には、ウイルスに感染する可能性があったという。改ざんされたのは、パソコン用の日本語版サイトのみで、モバイルサイトや外国語サイトでは、今のところ改ざんは確認されていないそうだ。
Twitterなどで示されていた同サイトのキャプチャ情報や解析情報をもとに、状況を確認したところ、サイト内に攻撃コードが書かれたHTMLファイルと攻撃に使用するAdobe Flashのコンテンツファイル、Javaアーカイブファイルが設置されていた。さらに、トップページが読み込むJavaScriptファイルが改ざんされており、ページ上の見えないフレームから、用意した攻撃用のHTMLファイルを開くように細工されていた。
攻撃コードは、インターネット上で公開されているものをほぼそのまま(ブラウザーチェックが外されているの)使用したもので、Adobe FlashとJRE(Java Runtime Environment:Java実行環境)が有効で、なおかつ回避策をとっていないIE 9/10で閲覧した場合には、ウイルスに感染してしまう可能性があった。
■「ヤマコレ」も改ざん
24日には、山専用のコミュニティサイト「ヤマコレ」も改ざん被害を受けており、25日付で同じ脆弱性攻撃を仕掛ける攻撃だった可能性があるとのコメントを出している。改ざんされていた期間は、2月24日2時から12時と、16時から16時20分までの間。
同社は、解析サイトの「VirusTotal」で解析した設置されていたファイルの解析結果も掲示しており、この情報からは、「はとバス」と同一の攻撃者だった可能性が伺える。
■IE 9/10は今すぐ回避策を
この脆弱性は、IE 9/10のみに影響する。これらをお使いの方は、今すぐ回避策をとり
攻撃を受けてもウイルスに感染しないように対処していただきたい。現在使用中のIEのバージョンは、歯車アイコンまたはヘルプメニュー(メニュー非表示の場合は[Alt]キーを押すと表示される)の「バージョン情報」で確認できる。
Windows 7 以降をお使いの方は、脆弱性の影響を受けないIE 11へのアップグレードを推奨する。IE 11は「Windows Update」にIE 11が用意されており、特に何もしていなければ、IE 11に自動更新されているはずだ。
IE 11が利用できないWindows Vistaや、IE 9/10を継続使用しなければならない方は、マイクロソフトが提供している「Fix it」を適用していただきたい。下記「サポート技術情報 2934088」のページにある「MSHTMLのシムの回避策を有効にします」側のアイコン(Microsoft Fix it 51007)をダウンロード/実行すると、脆弱性の悪用を阻止するようになる。「MSHTMLのシムの回避策を無効にします」側のアイコン(Microsoft Fix it 51008)をダウンロード/実行すると、適用した回避策を無効化し適用前の元の状態に戻る。
(2014/02/26 ネットセキュリティニュース)
【関連URL】
・弊社ホームページの改ざんに関するお詫びとご報告(はとバス)
http://www.hatobus.co.jp/
・サイト改ざんの影響について(ヤマコレ)
http://www.yamareco.com/modules/diary/67-detail-67764
・日本国内で Internet Explorer9、10 へのゼロデイ攻撃を確認(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/8632
・セキュリティ アドバイザリ (2934088)Internet Explorer の脆弱性により、リモートでコードが実行される(マイクロソフト)
http://technet.microsoft.com/ja-jp/security/advisory/2934088
・サポート技術情報 2934088(マイクロソフト)
https://support.microsoft.com/kb/2934088/ja