5月末に急増した改ざん、「IISサーバ」が標的か - 「Gumblar」と類似点
5月下旬より日本国内において、ウェブサイトの改ざん被害が相次いで発覚しているが、「Windows」の「IIS」が攻撃の標的になっている可能性が高いことがわかった。
攻撃を分析したトレンドマイクロによれば、今回の攻撃は「Black Hole Exploit Kit(BHEK)」により、難読化した「JavaScript」を挿入する攻撃。不正サイトの特定ファイルを「iframe」により気が付かれないように読み込み、著名ソフトの脆弱性を攻撃してマルウェアを感染させる。
「Adobe Reader」「Adobe Acrobat」「Adobe Flash Player」「Java」など利用している各ソフトのバージョンをチェックした上で、未修正となっている脆弱性をピンポイントで攻撃するため、セキュリティアップデートを実施していないと、閲覧によりマルウェアへ感染する可能性が高い。
同社のクラウド基盤において、マルウェア配布サイトへのアクセス件数を調査したところ、4月ごろよりアクセスが発生しているが、5月29日に急増。5月30日にピークを迎えたという。同社は、6月3日の時点で40サイトの改ざんを認識しており、同社のクラウド基盤だけで数万件のアクセスを確認している。
「Black Hole Exploit Kit(BHEK)」による大規模な改ざんは、3月にも発生しているが、3月の攻撃がウェブサーバ「Apache」へ不正モジュールをインストールする手口だったのに対し、今回の攻撃では、ウェブコンテンツへ直接不正スクリプトを挿入しており、特徴が大きく異なる。
さらに、同社が改ざん被害にあったサイトのウェブサーバを調べたところ、確認できたケースでは、すべて「IISサーバ」で運用されており、「Gumblar」と類似点があると指摘している。
一連の攻撃でダウンロードされるプログラムは、実行できない無意味なファイルで、攻撃の意図は明らかになっていない。今後、有効な不正プログラムに置き換えられ、本格的な攻撃へ移行する可能性があり、注意が必要だという。
(Security NEXT - 2013/06/06 )
ツイート
関連リンク
PR
関連記事
楽天モバイルのホームルータに複数の脆弱性 - アップデートを実施
WP向けセキュリティプラグインに深刻な脆弱性 - アップデートで修正
「MS Edge 131」を公開 - 独自含む脆弱性9件を解消
「Ivanti Avalanche」に複数脆弱性 - DoS攻撃や情報漏洩のおそれ
「Apache Airflow」に構成情報など漏洩する脆弱性
「Laravel」に動作環境を変更される脆弱性 - CNAとCISAで異なる評価
「Chrome 131」をリリース - 12件のセキュリティ修正
「FortiManager」脆弱性、PoCや詳細が公開 - 検出回避の情報も
Palo Alto製移行ツールの利用者狙う攻撃に注意喚起 - 米当局
Palo Altoの移行ツールに脆弱性 - ファイアウォールの認証情報などが漏洩するおそれ