シマンテックは17日、同社のセキュリティレスポンスブログにおいて、Internet Explorer 10の脆弱性を突くゼロデイ攻撃の詳細を公開した。シマンテックは14日にも、この情報に関する初期解析の結果を同ブログに掲載している。
|
シマンテック セキュリティレスポンスブログ日本語版より |
悪用されているInternet Explorer 10の脆弱性は、「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」(CVE-2014-0322)というもので、攻撃は「水飲み場型」に分類される。
標的となったのは「海外戦争復員兵協会」のWebサイト。攻撃が有効だった間にこのWebサイトへアクセスすると、攻撃者が挿入したiframeによって最終的にマルウェアがダウンロードされる。マルウェアはInternet Explorer 10の脆弱性を悪用し、攻撃者が仕込んだプログラムをユーザーのPC上で実行。攻撃者がコントロールするサーバーに接続する。
今回の攻撃は、シマンテックが「Hidden Lynx」(謎の山猫)と呼ぶ悪質なグループと関係する可能性があるという。このグループが以前に行った攻撃で確認されたインフラが、今回も使われたというデータを得たとしている。
防止策および緩和策として、Internet Explorer 10以外のブラウザやMac OS X環境のブラウザを使うこと、MicrosoftのEMET(Enhanced Mitigation Experience Toolkit)を導入すること、Internet Explorer 11へのアップグレードを推奨している。同時に、Microsoftから修正プログラムが公開されしだい、速やかに適用することも呼びかけている。
また、シマンテックのセキュリティ対策製品を使っている場合、以下の定義によって今回の攻撃から保護されるという。「Trojan.Malscript」「Trojan.Swifi」「Trojan Horse」「Backdoor.Winnti.C」「Web Attack: Malicious SWF Download 19」「Web Attack: MSIE Generic Browser Exploit 3」「SONAR.Heuristic.112」「Suspicious.Cloud.2」「WS.Trojan.H」。
