イギリス大手新聞インデペンデント紙のメディアサイト「The Independent」の改ざん被害が確認されました。トレンドマイクロの調査によれば、サイトは日本時間 12月9日12時時点で改ざん被害が継続しており、複数の不正プログラムが拡散されている状態です。この改ざんにより、数百万人のサイト読者が不正プログラム感染のリスクにさらされる可能性があります。本件についてはトレンドマイクロから既に「The Independent」へ報告し、サイト側と事態の収拾を図っています。サイト側では、ニュースサイトのスタッフが迅速に対応し、当該サイトとユーザに及ぶ影響を回避する対策を講じています。
この事例では、WordPressを使用しているブログ掲載箇所のみが被害を受け、その他の箇所には影響が及んでいない点は留意すべきです。WordPressは、ブログ掲載に使用される人気のプラットフォームであり、ユーザへ感染させるため、攻撃者やサイバー犯罪者によく悪用されています。
弊社では、エクスプロイトキット「Angler EK」のモニタリングをしている際、この事例を確認しました。調査によると、感染したブログページは、少なくとも 2015年11月21日からこのエクスプロイトキットがホストされ、閲覧したユーザがリダイレクトされていたようです。閲覧したユーザの PCで「Adobe Flash Player」が最新化されていない場合、脆弱性利用により不正プログラムに感染します。トレンドマイクロの当初調査時点ではランサムウェア「Cryptesla 2.2.0」(弊社では「RANSOM_CRYPTESLA.YYSIX」の検出名で対応)がダウンロードされたことが確認されています。
12月8日のブログでお伝えしている通り、「CrypTesla」(別名:TeslaCrypto)は日本でも注目されている暗号化型ランサムウェアです。この不正プログラムに感染すると、PC内のファイルが暗号化され、拡張子が “.vvv” に変更されます。
この事例で確認された脆弱性は「CVE-2015-7645」として識別されています。この脆弱性は、「Angler EK」が新たに追加した利用可能な脆弱性であることも確認しています。
図1:「The Independent」内で改ざんが確認されたブログページ
図2:ランサムウェアが表示する文言のスクリーンショット
「Angler EK」は、「Hacking Team」の情報漏えい事例にも関連する Adobe Flash脆弱性も利用可能な、最も活発なエクスプロイトキットとして知られています。弊社の「2015年第3四半期セキュリティラウンドアップ」でも、このエクスプロイトキットに利用されたサイト数の 2015年5月から 9月にかけての急増を報告しています。
弊社では、「The Independent 」のブログだけでなく「Angler EK」へ誘導されるあらゆる改ざんサイトでの TDS(Threat Detection System)検知数も追跡し、その数は1日あたり 4,000に及ぶことも確認しています。この数値は今後さらに増加することが予想されます。
図3:「Angler EK」により改ざんサイトからリダイレクトされるユーザ数の推移
弊社の製品をご使用いただいているユーザは、今回の事例に関連するあらゆる不正サイトがブロックされ、不正活動も検知されるため、この脅威から守られています。
トレンドマイクロでは今回の攻撃についてさらなる詳細解析を進めています。関連する追加情報があった場合は、本ブログなどを通じてお知らせします。
※調査協力:Feike Hacquebord、Brooks Li、David Agni
参考記事:
- 「Blog of News Site “The Independent” Hacked, Leads to TeslaCrypto Ransomware」
by Joseph C Chen(Fraud Researcher)
翻訳:与那城 務(Core Technology Marketing, TrendLabs)