まだまだ狙われるIE、脆弱性を突く大規模攻撃が発生か
セキュリティ・ベンダーがすでに数十の攻撃サイトの存在を確認済み
米国Microsoftが緊急セキュリティ・パッチを公開した「Internet Explorer(IE)」の脆弱性を突く大規模な攻撃が発生している。
米国のセキュリティ・ベンダー、SymantecのSecurity Response部門の研究者は、1月20日遅くからIEの脆弱性を突く攻撃に使われている数十のWebサイトを発見し始めた。この攻撃は、Windows XP上でIE 6が使われている場合に有効に機能する。
その仕組みは、一部のセキュリティ製品の機能を回避できるトロイの木馬プログラムをインストールし、それによってハッカーがシステムにアクセスするというものだと、Symantecのセキュリティ・インテリジェンス・マネジャー、ジョシュア・タルボット(Joshua Talbot)氏は述べている。
トロイの木馬プログラムはPCに感染すると、攻撃者に電子メールで通知を送る。この送信には、米国で運用されている無料の電子メール・サービスが使われているが、Symantecはそのサービスの名前を明らかにしていない。
1月21日昼の時点でSymantecは、攻撃コードをホストしている何百ものWebサイトを発見している。これらのWebサイトは、主に無料Webホスティング・サービスか、攻撃者が自分で登録したドメインを使って開設されている。
攻撃に悪用されているIEの脆弱性は、2009年12月に発生したGoogleの社内ネットワークへのハッキングにも使われたほか、Adobe Systemsなど、33社で発生した同様のインシデントでも標的にされた。Microsoftは1月21日午前、「セキュリティ情報 MS10-002 - 緊急」を公開し、この脆弱性を修正する緊急セキュリティ更新プログラム「KB978207」をリリースしている。
Googleに対する攻撃では、Windows XP上で稼働していたIE 6が餌食になったが、ここ1週間でIEのより新しいバージョン(IE 7やIE 8)の脆弱性を悪用する方法もハッカーによって発見されている。だが、Symantecが発見した攻撃サイトでは、この最新の方法は使われていないもようだ。「これらのサイトではIE 6の脆弱性悪用コードが用いられている」(タルボット氏)
しかし、IE 6はいまだに広く利用されているため、大規模な攻撃が続発する可能性が懸念されている。「今回の攻撃は、攻撃者がついに攻撃ツールキットを強化し、大規模な攻撃を仕掛ける準備を整えたことを示しているのかもしれない」(タルボット氏)
同氏は、犯罪者が電子メールやIM(インスタント・メッセージ)で、攻撃サイトへのリンクを含むスパムを送り、受信者をだましてこうしたサイトに誘導していると考えている。
セキュリティ・ベンダーのWebsenseは21日、IEの脆弱性を突いて特定の標的を狙って行われる攻撃に使われている電子メールのサンプルを公開した。その典型的な件名は、「Helping You Serve Your Customers」(顧客対応のお手伝い)だ。本文では、「ニュースで見た。顧客対応に役立つ」として、悪意あるサイトのリンクが示されている。
これらのメールでは、受信者が同僚からのメールと思い込むように送信者アドレスが偽装されている。しかし、攻撃に使われているトロイの木馬プログラムは、Googleへの攻撃に使われたものとは違っているという。
Websenseの調査では、これらのメールは、米国と英国の特定の企業に送りつけられていると、Websenseのセキュリティ・リサーチ・マネジャー、パトリック・ラナルド(Patrik Runald)氏は述べている。「こうした攻撃は継続的に行われている。今日も発生しているし、昨日も一昨日も発生した」
しかし、Websenseは同社が追跡しているメールは、特定の標的を狙った小規模な攻撃の一部であり、GoogleやAdobeに対する攻撃で使われたのと似たものだと考えている。Websenseはこれまでに25程度の攻撃サイトしか見つけていないが、その数は急速に増えていると、ラナルド氏は語っている。
特定の相手を狙う攻撃手法は、組織的なサイバースパイ活動の中で使われている、とセキュリティ専門家は考えている。また、中国がそれに関与しているとの見方もある。
(Robert McMillan/IDG News Serviceサンフランシスコ支局)
