5月末に急増した改ざん、「IISサーバ」が標的か - 「Gumblar」と類似点

5月下旬より日本国内において、ウェブサイトの改ざん被害が相次いで発覚しているが、「Windows」の「IIS」が攻撃の標的になっている可能性が高いことがわかった。

攻撃を分析したトレンドマイクロによれば、今回の攻撃は「Black Hole Exploit Kit（BHEK）」により、難読化した「JavaScript」を挿入する攻撃。不正サイトの特定ファイルを「iframe」により気が付かれないように読み込み、著名ソフトの脆弱性を攻撃してマルウェアを感染させる。

「Adobe Reader」「Adobe Acrobat」「Adobe Flash Player」「Java」など利用している各ソフトのバージョンをチェックした上で、未修正となっている脆弱性をピンポイントで攻撃するため、セキュリティアップデートを実施していないと、閲覧によりマルウェアへ感染する可能性が高い。

同社のクラウド基盤において、マルウェア配布サイトへのアクセス件数を調査したところ、4月ごろよりアクセスが発生しているが、5月29日に急増。5月30日にピークを迎えたという。同社は、6月3日の時点で40サイトの改ざんを認識しており、同社のクラウド基盤だけで数万件のアクセスを確認している。

「Black Hole Exploit Kit（BHEK）」による大規模な改ざんは、3月にも発生しているが、3月の攻撃がウェブサーバ「Apache」へ不正モジュールをインストールする手口だったのに対し、今回の攻撃では、ウェブコンテンツへ直接不正スクリプトを挿入しており、特徴が大きく異なる。

さらに、同社が改ざん被害にあったサイトのウェブサーバを調べたところ、確認できたケースでは、すべて「IISサーバ」で運用されており、「Gumblar」と類似点があると指摘している。

一連の攻撃でダウンロードされるプログラムは、実行できない無意味なファイルで、攻撃の意図は明らかになっていない。今後、有効な不正プログラムに置き換えられ、本格的な攻撃へ移行する可能性があり、注意が必要だという。

（Security NEXT - 2013/06/06 ） ツイート

PR

関連記事

「ConnectWise ScreenConnect」に脆弱性 - 修正版が公開
Python向けHTTPライブラリに脆弱性 - リクエストスマグリング攻撃のおそれ
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開
「GitHub Enterprise Server」に複数脆弱性 - アップデートで修正
NVIDIA製GPUドライバに複数の脆弱性 - 権限昇格やDoSのおそれ
トレンドの法人向け複数製品に脆弱性 - アップデートで修正
「Erlang/OTP」に深刻なRCE脆弱性 - 概念実証コードも公開済み
「GitLab」に5件の脆弱性 - 最新パッチで修正