シマンテックは最近、日本のある出版社の Web サイトに、悪用ツールキットがホストされている別の Web サイトに誘導する悪質な iframe がインジェクトされていたことを確認しました。この出版社は、書籍や雑誌、漫画、映画から、ゲームまで取り扱っている大手です。
確認できた限りで、この出版社のサイト上で少なくとも 3 つのファイルが感染していました。
Image may be NSFW.
Clik here to view.
図 1.出版社のサイトで確認された悪質な iframe
この悪質な iframe は複数のページにわたって存在し、ホームページにも仕掛けられていました。シマンテックの遠隔測定によると、最初の被害者がサイトにアクセスしたのは、太平洋標準時 2014 年 1 月 5 日の 22:00(日本標準時 2014 年 1 月 6 日 15:00)頃で、このセキュリティ問題が修正されたのは、太平洋標準時 1 月 8 日遅く(日本標準時 1 月 9 日夕方以降)になってからでした。
ユーザーが出版社のサイトにアクセスするとすぐに、悪質な iframe は悪用ツールキットがホストされている別の Web サイトを読み込みます。悪用ツールキットは Gongda であると特定されており、今回の攻撃では以下の 5 つの脆弱性を悪用していました。
• Oracle Java SE Runtime Environment に存在するリモートコード実行の脆弱性(CVE-2012-0507)
• Microsoft XML コアサービスに存在するリモートコード実行の脆弱性(CVE-2012-1889)
• Oracle Java Runtime Environment に存在する複数のリモートコード実行の脆弱性(CVE-2013-0422)
• Adobe Flash Player に存在するリモートメモリ破損の脆弱性(CVE-2013-0634)
• Oracle Java SE に存在するメモリ破損の脆弱性(CVE-2013-2465)
Image may be NSFW.
Clik here to view.
図 2.攻撃のシナリオ
脆弱性の悪用に成功すると、Infostealer.Torpplarがダウンロードされます。これは、日本のユーザーから情報を盗み出すために作成されたマルウェアで、以下のサイトを含む日本語の Web サイトがウィンドウに表示されているかどうかを監視します。
• 2 つのオンラインバンキングサイト
• 3 つのオンラインショッピングサイト
• 3 つの Web メールサイト
• 3 つのゲーム/動画 Web サイト
• 14 のクレジットカードサイト
注目に値するのは、オンラインバンキングサイトが 2 つしか標的になっていない点で、そのうち 1 つは地方銀行です。ほとんどの銀行は、Trojan.Zbotといった高度なマルウェアに狙われていることを自覚しているため、オンラインユーザーのために幾重にもわたって保護や検証の手段を実装しています。攻撃者もその点を承知しており、金銭になりそうな情報を扱っていながら基本的なセキュリティ対策しか講じていない他のサイトを意図的に狙ったものと考えられます。
盗み出された情報は、あらかじめ定義された Web サイトに平文で送信されるため、傍受されると容易に読み取られてしまいます。
この攻撃で使われている Gongda 悪用ツールキットによって試みられる悪用を遮断するために、シマンテックは以下の IPS シグネチャを提供しています。
• Web Attack: Gongda Exploit Kit Website
• Web Attack: Gongda Exploit Kit Website 2
Infostealer.Torpplar の検出定義だけでなく、この攻撃に伴うファイルに対して以下のウイルス検出定義も用意しています。
• Trojan.Webkit!html
• Trojan.Malscript
• Trojan.Maljava
• Trojan.Swifi
このような攻撃から保護するために、最新のパッチを適用し、ウイルス検出定義と IPS 定義を常に最新の状態に保つことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。
