ゼロデイ脆弱性を悪用した攻撃についてこのブログでご報告したのは、つい最近のことです。本日、ブログ「Malware don't need Coffee」の Kafeine 氏が投稿した記事によれば、現在さらに別の Java ゼロデイ攻撃が Cool 悪用ツールキットパックを通じて拡散され、活動中ということです。と言っても、シマンテック製品で侵入防止シグネチャ(IPS)の技術をお使いのお客様は心配ありません。Cool 悪用ツールキットによる脅威に利用される JAR ファイルは、IPS のシグネチャ Web Attack: Malicious JAR File Download 11によって感染前に遮断されます。シマンテックの遠隔測定では、Cool 悪用ツールキットが 1 月 9 日の時点でこの悪用を開始し、シマンテック製品によって未然に捕捉されていることも確認済みです。一方、シマンテックが鋭意調査中であるこの脅威が、他の悪用ツールキットでも使われているという報告も受けています。
図 1.新しい Java のゼロデイ脆弱性を利用する Cool 悪用ツールキット
Cool 悪用ツールキットでゼロデイ脆弱性が利用されていることは、まったく意外ではありません。Cool 悪用ツールキットの作成者(Blackhole 悪用ツールキットの作成者と同一と目されています)については、新しい脆弱性を買い占めるほど潤沢な資金を持っていることが、最近も頻繁に報じられています。だとすれば、Cool 悪用ツールキットによるゼロデイ攻撃は、今回を皮切りに今後も続く恐れがあります。
Oracle 社からのセキュリティ勧告はまだ発表されていませんが、今回のゼロデイ攻撃は、Oracle 社の Web サイトで公開されている最新版の Java(1.7.0_10)も悪用できることが、シマンテックのテストで確認されています。
シマンテックは、Cool 悪用ツールキットから保護するために以下の IPS シグネチャを提供しています。
今回の脅威を含む JAR ファイルをシマンテックは Trojan.Maljavaとして検出しますが、解析は引き続き進行中です。
最近、ゼロデイ脆弱性を悪用する活動は増加傾向にあります。ゼロデイ攻撃に対する万全の備えとして、シマンテックの最新技術(英語)をお使いいただくことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。