外郭団体などのサイト改ざんが多発、閲覧すると遠隔操作ツール感染

　日本国内のウェブサイトを改ざんして、Adobe Flash Playerの複数の脆弱性を突く攻撃が継続して行われているという。トレンドマイクロ株式会社が23日、同社公式ブログで伝えた。最終的にRAT（遠隔操作ツール）である「EMDIVI」もしくは「PLUGX」に感染させるのが目的の攻撃だとしている。

　トレンドマイクロでは7月13日から22日までの間、Flash Playerの脆弱性の攻撃コードを含む不正ファイルが改ざんされたウェブサイト上にホストされていた事例を25件確認しており、日本国内から合計で約7000件のアクセスがあったことも確認しているという。一方、同じ期間中に日本以外からのアクセスは1000件未満だったため、「日本国内の利用者を狙った攻撃であることを示していると言える」としている。

　なお、改ざんされた1サイトあたりのアクセス数は1日約30件程度のため、「普段から頻繁にアクセスされるサイトが改ざん被害を受けたのではないことが分かる」とも指摘している。

　ホストされていた不正ファイルのファイル名は、25件のうち18件が「movie.html」というもの。そのほか、「faq.html」や、SWF形式の「movie.swf」なども確認されており、こうした不正ファイルを読み込ませるためのiframeがサイトのトップページ上に埋め込まれていた。

　RATのEMDIVIファミリーおよびPLUGXファミリーは標的型攻撃で用いられているツールであることから、トレンドマイクロでは、今回の攻撃が“水飲み場型攻撃”（ウェブ経由の標的型攻撃）である可能性を指摘。ただし、これまでに日本で確認された水飲み場型攻撃の多くの事例で標的としている組織のIPアドレスからアクセスがあった場合のみ攻撃が発動するなど、攻撃対象を限定する仕組みが施されていたのに対し、今回確認できた改ざんサイトではそのような仕組みはなかったという。「改ざんサイトにアクセスしたインターネット利用者は誰でも被害に遭う可能性がある」としている。

　今回の攻撃で悪用された脆弱性は、「CVE-2015-5119」「CVE-2015-5122」「CVE-2015-5123」として分類されているもの。7月に入り、伊Hacking Teamから流出されたとされる機密情報から明らかになったそれまで未確認だった脆弱性だが、Adobeではその後、2回のセキュリティ修正プログラム（パッチ）をリリースすることでこれらの脆弱性を修正している。トレンドマイクロでは、修正パッチを適用することでこの攻撃を防ぐことが可能だと説明している。

【追記 18:10】
　トレンドマイクロは24日、この攻撃についての詳細分析結果を同社公式ブログで続報として公表した。

　次々と新たな改ざんサイトが発見されており、24日時点で数十ドメインの改ざん事例を確認。そのうち約半数が日本に関連するサイトだとしている。

　また、国内の改ざんサイトについては、特定のクラウドホスティングサービスに集中しており、改ざんされたサイトのほとんどが外郭団体などの非営利団体のサイトだという。

　「外郭団体を中心とする非営利の組織が改ざんの犠牲になったこと、また、最終的に感染する不正プログラムのファミリー名から、今回の ウェブ改ざんによる攻撃は、かねてから続いている一連の日本の公的機関を狙う攻撃の一部ではないかと考えられます。」（トレンドマイクロ）

　感染経路としては、改ざんされた正規サイトを閲覧すること、またはフリーメールサービスなどを通じて攻撃者から送信されたメールに含まれる改ざんサイトへのリンクをクリックすることによる“ドライブバイダウンロード攻撃”が確認されているという。特にメールについては、関係者を装った文面であることからソーシャルエンジニアリング的な要素が高いと指摘している。

　このほか、今回の一連の攻撃で使われているSWFファイルは「実行したい不正プログラム部分を誰もが交換できる構造になっており、他の攻撃にも流用される可能性がある」とし、攻撃が持続・拡散する可能性を指摘している。

　なお、攻撃に悪用されている脆弱性については、前述の3件のうち「CVE-2015-5119」「CVE-2015-5122」の2件だという。トレンドマイクロでは「すべてのインターネットユーザーはFlash Playerのパッチを必ず最新にしておかなければならない状況」だと説明。「万が一、修正プログラムの適用ができない場合には、回避策としてFlashの機能をオフにすることをおすすめする」としている。