この攻撃の背景

アプリケーションの脆弱性を利用して感染コンピュータに「HYDRAQ」ファミリをダウンロードする攻撃が相次いで発生しており、トレンドマイクロでは、この攻撃に関する報告や問い合わせを複数受けています。特定の個人を標的とした今回の攻撃ですが、これらの攻撃に用いられた不正コードが公開されたことで人々の関心が高まっていることが背景にあります。今回の攻撃では、Internet Explorer(IE)のバージョン5を除くすべてのバージョンに存在する脆弱性が利用されています。
マイクロソフトは、2010年1月22日、この脅威に対する「定例外のセキュリティ更新プログラム(MS10-002)」を公開しました。セキュリティ対策の面からも同社の説明を参照し、自動更新を有効にしていないユーザは、ただちに更新プログラムを適用してください。

この脅威は、どのような攻撃をユーザに仕掛けますか?

ユーザは、スパムメールや他のオンライン通信手段を経由して、複数の脆弱性利用型マルウェアが仕掛けられたWebサイトに誘導されます。ユーザは、特別に細工されたこれらのWebサイトにアクセスすると、脆弱性利用型マルウェアに感染します。これにより、サイバー犯罪者は、ユーザに気づかれることなくコードをリモートで実行することが可能になります。
今回の攻撃では、広く利用されているアプリケーションに存在する脆弱性が利用されました。この脆弱性は、該当するアプリケーション会社からまだセキュリティ更新プログラムが配布されていませんでした(更新情報:1月22日に公開済)。ユーザが誤って不正Webサイトを閲覧することによりこの攻撃は始まり、ユーザが知らない間に不正なファイルがダウンロードされます。そして、問題の不正ファイルは、バックドア型マルウェアでした。
現在確認されている感染フローは、上図のとおりです。これらの感染経路は、次々に発生しました。まず、「JS_DLOADER.FIS」を用いる感染経路が確認され、次に「JS_ELECOM.C」利用の攻撃、と続きました(1月21日時点での更新情報:「JS_ELECOM.C」が誘導する脆弱性利用型マルウェア「JS_ELECOM.SMA」は、必ず「JS_ELECOM.SMB」を参照して、感染活動を共に実行します)。ただし、この感染フローは未だ変更し続けています。これらの脆弱性利用型マルウェアは、脆弱性「CVE-2010-0249」を悪用し「HYDRAQ」の様々な亜種をダウンロードする不正Webサイトに、ユーザを誘導します。

この脅威はなぜ特別に危険なのでしょうか?

この脅威により、コンピュータのセキュリティが侵害されることとなります。攻撃者は、問題の脆弱性を利用して、感染コンピュータを完全に制御することが可能となります。これにより、マルウェアがインストールされたり、個人データの表示、改ざんまたは削除が実行される恐れがあります。また、全権限を持ったユーザアカウントが新規に作成される可能性もあります。

特にどのようなユーザが危険にさらされますか?

この攻撃は、もはや標的型の攻撃ではありません。この攻撃が確認された当初、特定の個人を標的にしていましたが、不正コードが一般に公開されたため、どのサイバー犯罪者でも自分の攻撃に応じて不正コードを悪用することができるからです。そのため、このような攻撃を受け、利用するブラウザに脆弱性がある場合、トロイの木馬型マルウェアが感染コンピュータ上で実行されます。これにより、ユーザは、不正コードが埋め込まれた複数のWebサイトに誘導されるか、不正リモートユーザにより感染コンピュータを制御される恐れがあります。不正活動の詳細については、ウイルス情報「TROJ_HYDRAQ.SMA」の詳細ページをご参照ください。

Internet Explorer(IE)を最新のバージョンにアップグレードすることで、この攻撃を回避することができますか?

いいえ。この攻撃は継続的に自身の不正活動を展開し続けています。もちろん、マイクロソフトが提供する回避策を講じることを強くお勧めします。例えば、Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2, および Windows 7のOS上で起動する Internet Explorer 8を利用するユーザは、不正なプログラムが実行されるのを防ぐためのデータ実行防止(Data Execution Prevention、DEP)機能(デフォルトでは、「無効」)を有効にするよう推奨されています。しかし、これは、既に確認された脆弱性利用型マルウェアを回避することしかできません。というのも、一部報道で、DEPを回避する亜種が確認されているからです。

コンピュータを攻撃から守るにはどうすればいいのですか?

以下の対策を強くお勧めします。

  1. IE のバージョンを最新版に更新する。
  2. DEPを有効にする。
  3. Windows Vista およびそれ以降の Windows のOS上で起動する IE を利用するユーザの場合、保護モード(Protected Mode)を使用する。

上記以外に、ユーザは、各アプリケーションのJavaScriptを無効にする処置も効果的です。また「Trend Micro 侵入防御ファイアウォール(ウイルスバスター コーポレートエディション プラグイン製品)」を備えた製品をご利用のお客様は、最新のフィルタ(IDF1003879 および IDF1003909)に更新することで、この脆弱性関連の攻撃から守られます。そして、一番大切なことは、マイクロソフトより公開された「定例外のセキュリティ更新プログラム(MS10-002)」を適用することです。