今日では、サイバー犯罪者は、彼らの典型的な攻撃の手口として対策の施されていない脆弱性「ゼロデイ脆弱性」を利用する傾向があるようです。マイクロソフトやAdobeといった大手のコンピュータソフトウェア会社が提供するソフトウェアは、ほとんどすべてのデスクトップパソコンやノートパソコンで利用できるだけでなく、コンピュータのユーザに広く用いられ、また使用頻度も高いことから、たびたびサイバー犯罪者の攻撃対象となってきました。トレンドマイクロは、2010年3月に公開したホワイトペーパー「2009’s Most Persistent Malware Threats(英語のみ)」で、ゼロデイ攻撃を、今日までに広まっている多数の「Webからの脅威」の1つと見なしています。さらに、このホワイトペーパーでは、ゼロデイ攻撃の標的となりやすいソフトウェアとして、Internet Explorer (IE)、"Adobe Reader" および "Adobe Acrobat" を挙げています。
 2010年11月上旬、IEは再び、ゼロデイ脆弱性を悪用する攻撃の標的となりました。この脆弱性は、IEにおける無効なフラグの参照に起因するもので、悪用されると、ユーザの知らないうちに、この脆弱性を抱えるIEでリモートコードが実行される可能性があるとのことです。

この脅威は、どのようにしてコンピュータに侵入しますか?

 この脅威は、ユーザがこの脆弱性を利用するスクリプトコードの埋め込まれたWebページを閲覧することにより、コンピュータに侵入します。

この脅威は、どのような攻撃をユーザに仕掛けますか?

 ユーザがこの脆弱性を利用する不正なスクリプトの埋め込まれたWebページを閲覧すると、この不正スクリプトは実行され、マイクロソフトが提供するWebブラウザ「Internet Explorer (IE)」内の脆弱性を確認します。不正プログラムは、脆弱性を確認すると、Webサイトにアクセスし、不正なファイル(「BKDR_BADEY.A」として検出)をダウンロードします。「BKDR_BADEY.A」はまた、他のWebサイトにアクセスし、暗号化されたファイルをダウンロードすることも確認されています。これらのファイルには、不正プログラムがコンピュータ上で実行するバックドアコマンドが含まれています。
 「BKDR_BADEY.A」は、これらのファイルを復号することにより、不正活動を行います。


サイバー犯罪者がこの攻撃を仕掛けた動機はなんですか?

 この脅威における「HTML_BADEY.A」の主な目的は、IEに存在する脆弱性を突いてコンピュータに侵入し、バックドア型不正プログラムを作成することです。サイバー犯罪者がバックドア型不正プログラムをコンピュータにインストールする理由は複数ありますが、そのうちの1つであり、最も一般的な理由は、バックドア型不正プログラムを用いて感染コンピュータを制御し、意図する不正活動のコードを実行することです。これにより、他の不正プログラムをダウンロードすることから、感染コンピュータを完全に支配するといったことまで、多岐にわたる活動が可能になります。

どのバージョンのIEがこの攻撃の対象になりますか?

 このゼロデイ脆弱性は、以下のバージョンに存在します。

・Internet Explorer 6
・Internet Explorer 7
・Internet Explorer 8

感染ユーザは、この脅威をどのようにして取り除くことができますか?

 この脅威に関連する不正プログラムの手動削除手順については、以下をご参照ください。

・「HTML_BADEY.A
・「BKDR_BADEY.A

トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?

 トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」を構成する主要技術の1つである「ファイルレピュテーション」技術によって、不正なファイル(「HTML_BADEY.A」および「BKDR_BADEY.A」)を検出し、実行を防ぎます。また、「Webレピュテーション」技術により、ユーザがアクセスする前に、不正プログラムがダウンロードされる不正Webサイトをブロックし、また、収集された情報のHTTPポストを介してのアップロードや、Command and Control(C&C)サーバからのコマンドによる不正プログラムのダウンロードもブロックします。
 ウイルスバスターコーポレートエディションのプラグイン製品である「Trend Micro 侵入防御ファイアウォール」も、脆弱性フィルタ「1004496」以降、この攻撃に対応しています。1004496の更新版は、IDFパターン「10-035」に含まれています。

コンピュータを攻撃から守るにはどうすればいいのですか?

 マイクロソフトは、本稿執筆の時点では、この脆弱性の修正パッチを公開していません。しかし、マイクロソフトは、以下のサポートページで、回避策を公開しています。

トレンドマイクロの専門家からのコメント:

 「TrendLabs(トレンドラボ)」のウイルス解析者Roland Dela Pazは、脆弱性を悪用するスクリプトまたはプログラム「エクスプロイトコード」に関して、アンダーグラウンドマーケットでの需要の高さを次のように述べています。

 ゼロデイ脆弱性を狙う攻撃は、不正プログラムを拡散するための効果的な手口の1つであることに間違いはありません。アンダーグラウンドでは、サイバー犯罪者が、ソフトウェア内の脆弱性を突くエクスプロイトコードを販売しており、その需要はますます高まっています。エクスプロイトコードは、さまざまなかたちで取引されています。サイバー犯罪者は、感染コンピュータに不正プログラムや不正コードをインストールさせ、その見返りとして支払いを受ける「ペイ・パー・インストール(pay-per-install:PPI)」での「サービス」や、脆弱性を利用しコンピュータを不正プログラムに感染させることのできるツール「エクスプロイトキット」として販売します。さらには、他のサイバー犯罪者に脆弱性の概念やアイデア自体を売る場合もあります。このことから、アンダーグラウンドでは、「脆弱性は金になる」と言われています。

関連マルウェア