シマンテックは5月30日、セキュリティブログで「Adobe Flashの脆弱性を悪用して日本のユーザーの銀行口座情報を狙う攻撃」と題した報告を発表した。

発表によると、シマンテックは5月中旬、Adobe Flash Playerに存在するバッファオーバーフローの脆弱性(CVE-2014-0515)を悪用する攻撃が徐々に増加していることを確認。現在も、この傾向が続いているという。大規模な範囲で行われており、その大部分は日本を標的としていることがわかっているという。

4月にさかのぼると、CVE-2014-0515は当初、特定の組織や業界を狙った水飲み場型攻撃で悪用されており、その後同じ4月にAdobe社はこの脆弱性に対するパッチをリリース。しかし、シマンテックの遠隔測定によると、当初の標的だけではなく幅広いインターネットユーザーを狙ってこれを悪用したコードが使われていることがわかっている。脆弱性を悪用する攻撃の90%以上は日本のユーザーを標的としている。

日本がメインターゲットになっている

攻撃は主にドライブバイダウンロードによって実行され、侵害された正規のWebサイトが利用。これらのWebサイトから、攻撃者が用意した悪質なサイトにリダイレクトされる仕組みだ。

同社は侵害されたサイトを公表しており、旅行代理店の「his-j.com」、ブログサイトの「jugem.jp」、動画共有サイトの「pandora.tv」などがある。また、JUGEMについては、JUGEMレンタルサービスを使用しているブログサイトについても影響が確認されている。

これらのサイトから悪質なサイト(IPアドレス1.234.35.42)にリダイレクトされると、CVE-2014-0515の悪用を試みる悪質なコードが読み込まれる。

古いバージョンのソフトウェアがコンピュータにインストールされている場合、この攻撃により一連の悪質なファイルが実行され、マルウェアInfostealer.Bankeiya.Bに感染してしまい、このマルウェアがユーザーから銀行口座情報を盗み取る。

Infostealer.Bankeiya.Bは、Google Chrome、Mozilla Firefox、およびMicrosoft Internet Explorerを監視し、通常オンラインバンキング取引で使われる特定のユーザーデータを収集する。

また、Infostealer.Bankeiya.Bは自身を更新して、さらにほかの銀行を標的にしたり別の悪質な処理を実行するための機能を追加したりすることができる。

シマンテックでは、Adobe Flash Playerに存在するバッファオーバーフローの脆弱性(CVE-2014-0515)は広範囲に悪用されているため、Adobe Flashを最新のバージョンに更新することを勧めている。