PR

ドライブバイ・ダウンロード攻撃に新手法が現れる

 シマンテックは2012年6月27日、擬似ランダムなドメインを生成する新種の「ドライブバイ・ダウンロード攻撃」について解説した。現状、この攻撃はまだ広く利用されていないが、将来的には増える可能性もあると注意を促している。

 従来の「ドライブバイ・ダウンロード攻撃」の多くでは、攻撃者は狙ったWebサイトを改ざんしてWebページ内にiframe(アイフレーム)領域を作成するJavaScriptを仕込み、このiframeを抜け穴として各種脆弱性を突き、閲覧者のコンピューターにウイルスを感染させる。抜け穴となるiframeの先のアドレスは通常固定されているので、そこをアクセスできないようにすれば、攻撃を防御することができた。

 新種手法では、防御をかわすために、このアドレスを固定にせず擬似ランダムに作成させる。擬似ランダムは、結果から見るとランダムのように散らばったデータだが、実際には特定のプログラムで予想が可能になる。この性質を利用し、攻撃者から予想された結果のアドレスにウイルスを拡散するサーバー設置させる。

 現状では、擬似ランダムを使う手法は少数だが、シマンテックとしては、今後の攻撃の実験中の可能性もあると見ている。

Javaの既知脆弱性がエクスプロイトキットになり拡大が懸念

 JPCERTコーディネーションセンター(JPCERT/CC)は2012年6月29日、「Java SE JDK」および「JRE」の既知の脆弱性を狙う攻撃を確認したとして注意を促した。該当の脆弱性は6月13日に公開された最新のバージョンは修正されているが、これを使用していない場合は遠隔地の攻撃者からプログラムを実行される危険性がある。

 JPCERT/CCが受けた事例では、改ざんされたWebサイトの閲覧者を攻撃サイトに転送させ、そこでウイルスに感染させようとしていた。またこの脆弱性を突く機能が攻撃用プログラム(エクスプロイトキット)として組み込まれていることも確認した。攻撃用プログラムの開発が容易になるので今後、攻撃が拡大する懸念がある。

 対応は、Javaを配布しているオラクルから修正済みソフトウエアをダウンロードサイトから入手し、アップデートすることである。

 対象は、Java SE JDK および JRE 7 Update 5、Java SE JDK および JRE 6 Update 33。

 なお、「Java SE 6」は2012年11月にサポートが終了される予定なので、これを使用しているアプリケーションは対応状況をふまえたうで、「Java SE 7」への移行が望まれる。

ネットワークプリンターから無駄に印刷させるウイルス

 シマンテックは7月3日、ネットワークプリンターから意味不明の文字を印刷させるワームタイプのウイルスW32.Printloveについて報告した。印刷内容は、本来は印字可能ではないはずのバイナリーコードを無理に印刷させたものである。

 W32.Printloveはネット上のコンピューターと通信し、その印刷スプーラーの脆弱性「CVE 2010-2729」を突いて感染を定期的に試みる。このため、ネットワークから完全に駆除しないと再感染が続き、無意味な印刷が継続される。

 「CVE 2010-2729」は2010年9月に更新プログラム(MS10-061)で修正済みなので、この更新が適応されているなら、ウイルスの被害を受けない。にもかかわらず、シマンテックには被害の報告が続いた。問題があればまず更新プログラム(MS10-061)を確認するとよいだろう。