イタリアの企業、Hacking Teamが攻撃を受け、流出した情報の中に複数のゼロデイ脆弱性が含まれていたことが明らかになってから3週間あまりが経過した。事態を受け、Adobe Flash PlayerやInternet Explorer、Windows OSの脆弱性を修正するパッチが緊急にリリースされた一方で、これらの脆弱性を悪用する攻撃が日本国内のWebサイトを足掛かりにして行われており、注意が必要だ。
トレンドマイクロは2015年7月23日、24日と連日に渡り、日本国内の正規のWebサイトが改ざんされ、Adobe Flash Playerの脆弱性(CVE-2015-5119ならびにCVE-2015-5122)を悪用する攻撃コードが仕込まれているケースを複数確認したとするブログ記事を投稿し、注意を呼び掛けた。もしAdobe Flash Playerにパッチを適用していない状態でこれらのWebサイトにアクセスすると、脆弱性が悪用され、リモートから攻撃者による操作を可能にするマルウエアに感染する恐れがある。
一連の改ざん攻撃は、過去に発生した改ざん同様、ページ内に不正ファイルを読み込ませるiframeを埋め込むというものだ。これまでに確認できた不正ファイルの名称は「movie.html」の他、「faq.html」やSWF形式の「movie.swf」など。この不正ファイルはステップの一つにすぎず、最終的には「Rdws.exe」というファイルに感染させようとする。
複数の「movie.swf」ファイルには似た構成が見られるという(トレンドマイクロのブログより)
トレンドマイクロによるとRdws.exeの実体は、遠隔操作ツール(RAT)である「Emdivi」や「PlugX」ファミリーの一種。Emdiviは、日本年金機構を対象とした標的型攻撃で用いられたことで知られている。またPlugXは2012年頃から確認されているRATで、これも同様に標的型攻撃で頻繁に悪用されるツールだ。ただし同社の解析によると、Rdws.exeとして実行される部分は比較的容易に交換可能な作りになっており、他の攻撃にも流用される恐れがあるという。
この攻撃では、正規のWebサイトにアクセスしただけのユーザーが、それと気付かぬうちにマルウエアに感染する恐れがある。そうした事態を防ぐには、Adobe Flash Playerの最新のパッチを適用する必要がある。もし何らかの理由でパッチを適用できない場合は、回避策としてFlash Playerを一時的に無効化することが推奨される。
...詳しい情報・続きはこちら >>
http://www.atmarkit.co.jp/ait/articles/1507/25/news025.html
─情報元: @ITサイト様─
