トレンドマイクロは、「mstmp」や「lib.dll」といったファイル名で拡散する不正プログラムの攻撃により、日本国内の企業100社以上に感染被害が発生していることを発表した。感染報告の大半が日本国内に集中しており、日本を標的としたターゲット攻撃の可能性もあるという。
この攻撃は、ユーザーが改ざんされた正規のウェブサイトを閲覧することから始まる。改ざんにより、正規サイト内に仕掛けられたコードによって不正サイトへリダイレクトされ、その不正サイトからJavaの脆弱性を悪用する2種類の不正プログラムがダウンロードされる。
ダウンロードされた不正プログラムは、さらなる不正プログラムのダウンロード作成を繰り返し、最終的に「TROJ_EXEDOT.SMA」が不正なウェブサイトへ通信する。調査時点では、通信先の不正なウェブサイトにアクセスできず、攻撃者がどのような意図で本攻撃を実施したのかは明らかになっていない。
本攻撃はJavaの脆弱性を悪用しており、ユーザーが不正なウェブサイトを閲覧した時点で、ユーザーの環境にどのような脆弱性が存在するかを確認し、異なる不正プログラムを送り込む。具体的にはユーザー環境の脆弱性によって、「ガンブラー」攻撃でも使用された偽セキュリティソフト「Security Tool」が送り込まれるという事例も確認されている。
同社はガンブラー攻撃との相違点として、使用されている不正プログラムがより巧妙なものになっていることを挙げている。また、このような攻撃への対策として、OSやアプリケーションを最新の状態にすることや、最新バージョンのセキュリティソフトを導入し、最新の状態に保つよう呼びかけている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」