ソフトウェアにセキュリティ上の脆弱性(セキュリティホール)が発見されたときに、問題の存在自体が広く公表される前にその脆弱性を悪用して行なわれる、いわゆる「ゼロデイ攻撃」が増加しています。その中でも最もターゲットにされやすい脆弱性として、Internet Explorer(IE)における脆弱性があげられます。今回はその事例を紹介したいと思います。
2009年7月4日を含む週末に、マイクロソフトのDirectShow ActiveXオブジェクトに存在する脆弱性を狙った大規模なゼロデイ攻撃が、中国の多くのWebサイトで見つかりました。 調査したところ、ハイジャックされたWebサイトが100個以上発見されました。このようなWebサイトには、現在も問題のトロイの木馬を配布している悪質なWebサイトへのリンクが挿入されていました。改変されたWebサイトの多くは、「悪質」とか「怪しい」といった印象を受けないサイトでした。例えば、教育機関のWebサイトや、地域コミュニティのWebサイトが乗っ取られたり改変されたりしていました。
ユーザーがWebブラウザで改変済みWebサイト(下図の「Hijacked website #1」)にアクセスすると、プロキシとして機能しているらしい「Hijacked website #2」へのリンクで誘導されます。Hijacked website #1のソースコードを調べても、このリンクが(Hijacked website #2という)無害なWebサイトを指していると思うでしょう。ところがHijacked website #2は、アクセスしてきたユーザーをWebエクスプロイトツールキットの配布元である、悪質なWebサイトへと導きます。
この攻撃で興味深い点を示します。このWebエクスプロイトツールキットは、アクセス元ドメインが「.gov.cn」(中国の政府機関)および「.edu.cn」(中国の教育機関)からでないことを明からさまに確認しているのです。他のドメインからのアクセスだった場合、ツールキットは以下のエクスプロイトをまとめて送りつけてきます。
- Exploit-MSDirectShow.b(ゼロデイエクスプロイト)
- Exploit-XMLhttp.d
- Exploit-RealPlay.a
- JS/Exploit-BBar
- Exploit-MS06-014
これらのエクスプロイトは,脆弱性の残っている可能性があり、IEからアクセス可能な「IE 6/7」「DirectShow ActiveX」「RealPlayer」「Baidu Toolbar」といったそれぞれ別のアプリケーションを狙います。
これまでの調査によると、このツールキットはハイジャックされた多くの中国系Webサイトでよく使用されていました。背後にいる攻撃者たちは、中国政府に気付かれることを避けたり、遅らせたりしようとしていると考えられます。
攻撃が成功すると、ダウンローダとして機能するトロイの木馬をパソコンに感染させ、他のマルウェアのダウンロードを行います。
関連記事
- [2012/10/02] 終わりのないゼロデイ報道
- [2011/06/08] IEの新たな脆弱性を悪用してcookie狙う、「Cookiejacking」攻撃
- [2010/12/28] Adobe Readerをターゲットにした、ゼロデイ攻撃
- [2010/09/13] 拡散中のアドビPDFゼロデイエクスプロイトを発見
- [2010/08/06] Windowsのショートカットを悪用するゼロデイ攻撃
※本ページの内容はMcAfee Blogの抄訳です。
原文:New Attacks Against Internet Explorer
