ウェブ改ざんから始まる新たな攻撃--国内100社以上が感染被害

　トレンドマイクロは、「mstmp」や「lib.dll」といったファイル名で拡散する不正プログラムの攻撃により、日本国内の企業100社以上に感染被害が発生していることを発表した。感染報告の大半が日本国内に集中しており、日本を標的としたターゲット攻撃の可能性もあるという。

　この攻撃は、ユーザーが改ざんされた正規のウェブサイトを閲覧することから始まる。改ざんにより、正規サイト内に仕掛けられたコードによって不正サイトへリダイレクトされ、その不正サイトからJavaの脆弱性を悪用する2種類の不正プログラムがダウンロードされる。

　ダウンロードされた不正プログラムは、さらなる不正プログラムのダウンロード作成を繰り返し、最終的に「TROJ_EXEDOT.SMA」が不正なウェブサイトへ通信する。調査時点では、通信先の不正なウェブサイトにアクセスできず、攻撃者がどのような意図で本攻撃を実施したのかは明らかになっていない。

攻撃の流れ

　本攻撃はJavaの脆弱性を悪用しており、ユーザーが不正なウェブサイトを閲覧した時点で、ユーザーの環境にどのような脆弱性が存在するかを確認し、異なる不正プログラムを送り込む。具体的にはユーザー環境の脆弱性によって、「ガンブラー」攻撃でも使用された偽セキュリティソフト「Security Tool」が送り込まれるという事例も確認されている。

　同社はガンブラー攻撃との相違点として、使用されている不正プログラムがより巧妙なものになっていることを挙げている。また、このような攻撃への対策として、OSやアプリケーションを最新の状態にすることや、最新バージョンのセキュリティソフトを導入し、最新の状態に保つよう呼びかけている。