Adobe Flash, Oracle Java等の脆弱性を悪用した改竄されたWebサイトに注意!

タイトルに「改竄(改ざん)されたWebサイトに注意!」と書いたが、アクセスする当人は、改ざんされたサイトかどうか、わからないはずだ。
検索エンジンからリンクされるURLも場合によっては疑う必要がある。難しい世の中になったものだ。今回お話する、ランサムウェアは実に厄介。そして、バレにくい。

常に最新のソフトウエアを利用する。開発終了したソフトや、アップデートをおろそかにしているソフトウエアがあれば、100%完璧なソフトはありえないわけだから、欠陥が見つかり悪用され、知らず知らずウイルスに感染、データが暗号化され修復不可に陥る可能性が大だ。請求書ウイルス等、ウイルス駆除ソフトでも見つからない不正プログラムが多発している。インターネットを利用にあたっては、誰しもが注意をすべき課題だ。注意しよう。

 

(参考)ランサムウェア拡散を狙うWeb改ざん、国内サイト70件以上で被害を確認(トレンドマイクロ)

トレンドマイクロセキュリティブログによると、「ランサムウェア拡散を狙うWeb改ざん、国内サイト70件以上で被害を確認」しているという。

ランサムウェアとは、身代金要求ウイルスと呼ばれ、感染したパソコンのハードディスクを暗号化(読めないように)し、身代金を支払わなければ、復号(読めるような形)しないという凶悪な不正プログラムだ。

トレンドマイクロのブログによると、「今回改ざん被害を確認した 70件以上のサイトは、中小企業、各種学校や地域の団体、個人ページなど多岐にわたっており、インターネット利用者が改ざんサイトへアクセスした場合、脆弱性攻撃サイトへ誘導される」とのことだった。

ここで、アクセスしたPCに、Adobe FlashOracle Java等の脆弱性(アップデートをしていない古いソフト)が見つかった場合には、結果的に、このランサムウエアに感染するというシナリオになる。というのも、この脆弱性攻撃サイトは、「Angler(アングラー)」と呼ばれる脆弱性攻撃ツール(エクスプロイトキット)で作られているためだ。

(参考)ゲームのデータを人質に身代金を要求するマルウェアが発見される(Gigazine)

Gigazineによると、感染手口について解説されている。「典型的な「iframe」の代わりに、目に見えない「div」タグで囲んだFlashムービーを使用しており、サイトやブログを閲覧するだけで実行ファイルを強制的に送り込む」ということだ。divタグだと、防ぎようがない。

(参考)McAfee Lab 脅威レポート 2015年2月(McAfee)

McAfeeでは、この「Angler」についてのリスクを、すでに2月のレポートにて「強力で簡単に入手できるAnglerエク スプロイト キットを利用する犯罪者 が増えています。」と注意喚起している。更に、「Anglerは、Microsoft Silverlightの脆弱性を悪用してランサムウェアを 散布する最初のエクスプロイト キット」と書かれている。

(参考)Microsoft: Stop using Microsoft Silverlight. (the register)

この記事によると、Silverlightの利用を中止せよ、という記載がある。Windows 10 Edgeでは、Silverlightが利用できない点もあり、サポート終了もしくは、開発終了した製品については、こう言った犯罪目的でのリスクウエアがどんどん出てくる可能性もあるため、注意が必要だ。

 

トレンドマイクロでは、被害に遭わないための対策として、次のように記載されている。

■被害に遭わないためには 
現在、Web経由で不正プログラムを感染させる手法は、エクスプロイトキットによる脆弱性攻撃が中心となっています。ゼロデイでない既知の脆弱性を利用する攻撃は、使用するソフトウェアを脆弱性が解消された最新バージョンにアップデートしておくことにより、100% 防げるものです。特に、Adobe Flash、Java、各種インターネットブラウザなど、インターネット利用時に使用されるアプリケーションのバージョンは必ず最新にしてください。

McAfeeでは、この「Angler」に対して防ぐ対策として、次のようにリリースされている。

Anglerエクスプロイト キットからシステムを保護する方法として、推奨事項をいくつか 挙げておきます。

■ 強力なスパム対策とフィッシング詐欺対策を実施しているセキュリティ意 識の高いインターネット サービス プロバイダーを利用する。

Windowsの自動更新を有効にするか、Microsoftの更新を定期的にダウン ロードし、オペレーティング システムにパッチを適用して既知の脆弱性を解決する。ソフトウェア ベンダーが公開したパッチを速やかに適用する。トロイの木馬やスパイウェアの攻撃を防ぐには、すべてのパッチを適用したコンピューターをファイアウォールで保護する必要があります。

■ 添付ファイルを開くときには十分に注意する。メールやインスタント メッセージの添付ファイルを自動的にスキャンするように、ウイルス対策ソフトウェアを設定しましょう。また、メール プログラムで添付ファイルを自動 的に開いたり、画像を自動的に表示しないように設定し、プレビューウィンドウを非表示にしてください。未請求メールや予期しない添付ファイル は絶対に開かないでください。知人からのメールも例外ではありません。

  • スパムを利用したフィッシング詐欺に注意する。メールやインスタント メッセージにあるリンクをクリックしない。
  • ブラウザー プラグインを使用してスクリプトとiFrameの実行をブロックする。

(参考)「シスコ 2015年 中期セキュリティ レポート」発表(シスコシステムズ)

Ciscoによると、Flashに関連する新たなリスク、ランサムウェア(身代金要求ウィルス)の進化、オンラインバンキングを狙ったDridexの変異マルウェアについて注意喚起している他、Anglerは、Flash、Java、Internet Explorer、Silverlightの脆弱性を巧みに利用する、現在最も洗練され、広く使用されているエクスプロイト キットの1つとリリースしている。

(参考)Hacking Team社のFlashのゼロデイが複数のエクスプロイトキットとともに押し寄せる(F-Secure)

エフセキュアブログによると、「FlashのエクスプロイトはAngler、Magnitude、Nuclear、Neutrino、Rig、HanJuanといったエクスプロイトに組み込まれている」という。日本では、Anglerが流行の兆しを見せているが、グローバルでは、Magnitude Exploit Kit(MagnitudeEK)が増加傾向にあるように見られる。

f-secure-exploit 2015

(参考)活発化する「Cryptoランサムウェア」(トレンドマイクロ)

トレンドマイクロブログに詳しく書かれていたので参考頂きたい。