この攻撃の背景

2010年4月9日、2名のセキュリティ研究者が、Javaアプリケーションである "Java Deployment Toolkit (JDT)" 内で確認された脆弱性について公表しました。

この脆弱性は、2008年に既に確認されており、Oracleは、今回のこの脆弱性についても公表前に指摘を受けていましたが、四半期ごとの定例セキュリティ更新の公開を早めるほど深刻な事態ではないと判断しました。しかし、4月9日の公表後、この脆弱性を悪用した攻撃が実際に確認されました。

この攻撃では、人気アーティストの歌詞を提供するWebサイト、「songlyrics.com」が狙われました。そのため、Oracleは、Javaのバージョンを更新した修正パッチの早急な公開を余儀なくされました。

この脅威は、どのようにしてコンピュータに侵入しますか?

この脆弱性を利用する不正なJavaScript(「JS_WEBSTART.A」として検出)は、Webサイトに組み込まれています。

「JS_WEBSTART.A」は、「ドライブバイ・ダウンロード」という手口により、ユーザが不正なWebサイトに気付かずにアクセスした際にコンピュータにダウンロードされ実行されます。この手口を利用すると、ユーザがWebサイトを閲覧しただけで、不正プログラムなどを自動的にダウンロードさせることが可能です。

今回の事例では、マイリー・サイラス(Miley Cyrus)やレディー・ガガ(Lady Gaga)、リアーナ(Rihanna)といった米国の人気ポップアーティストの歌詞を提供するサイトが標的となり、iframeタグが埋め込まれ、上記の不正なWebサイトとして利用されました。この不正なWebサイトを閲覧したユーザは、iframeタグにより、「JS_WEBSTART.A」が含まれる不正なWebサイトにリダイレクトされます。

この脅威は、どのような影響をユーザに与えますか?

「JS_WEBSTART.A」は、特別に細工されたJavaScriptファイルで、Javaアプリケーションに存在する脆弱性を利用します。「JS_WEBSTART.A」は、「JAVA_WEBSTART.A」と検出される不正なJava Applet(Javaアプレット)を実行します。まず、「JS_WEBSTART.A」は、「JAVA_WEBSTART.A」が組み込まれたWebサイトにアクセスします。その後、「JAVA_WEBSTART.A」は、不正なファイルをダウンロードします。このダウンロードされたファイルの不正活動が感染コンピュータ上で展開され、ユーザは、このファイルによる脅威にさらされることになります。

サイバー犯罪者がこの攻撃を仕掛けた動機はなんですか?

この脅威の狙いは、感染コンピュータ内に他の不正なファイルをダウンロードし、これらの不正なファイルを「発端」として、さらなる攻撃が実行されるようにすることだと考えられます。この脅威により、ユーザは、知らないうちに不正なファイルをインストールし、さまざまな危険にさらされてしまう可能性があります。これらのリスクは、不正リモートユーザによる感染コンピュータの制御を可能にするバックドア型不正プログラム、または感染コンピュータから個人情報を盗む情報収集型不正プログラム、あるいは感染コンピュータをサイバー犯罪者の制御下にあるボットネットの一部に取り入れるボットである可能性もあります。

コンピュータを攻撃から守るにはどうすればいいのですか?

Oracleは、Javaの更新版をリリースし、この脅威が利用する 脆弱性に対応しました。コンピュータを感染から防ぐためにも、Javaアプリケーションを最新版に更新してください。そして何よりも、ブラウザのスクリプト機能を無効にしたり、信用できないソースからアプリケーションのダウンロードを避けるなどして、安全にインターネットを利用することが重要です。

トレンドマイクロ製品をご利用のお客様は、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」を構成する主要技術の1つである「Webレピュテーション」技術によって、この脅威が組み込まれた不正なWebサイトへのアクセスをブロックされます。また、「ファイルレピュテーション」技術によって、この脅威に関するすべての不正プログラムを検出し、これらの実行を防ぎます。ウイルスバスターコーポレートエディションのプラグイン製品である「Trend Micro 侵入防御ファイアウォール™(ウイルスバスター コーポレートエディション プラグイン製品)」も、1004091の更新以降、この攻撃に対応しています。

関連マルウェア