2014年2月25日火曜日

IE9、10に潜む不具合を狙った攻撃が日本に集中! 脆弱性の緩和策かIE11への更新

IE9、10に潜む不具合への攻撃(俗に言う「ゼロデイ攻撃」)が日本国内のWebサイトで発見されたと、”トレンドマイクロ セキュリティ ブログ”で報告されています。

なお、トレンドマイクロによると、オンライン銀行の認証情報詐取を行う不正プログラムの感染につながっていることが確認され、速やかに IE11 へのアップデートを行うことが強く推奨されています。(注)ただし、IEアップデートが難しい場合は回避策(Fix it、EMET)を必ず実施しましょう。


(注)IE 10狙いのゼロデイ攻撃は日本に集中、標的の9割近くに - ITmedia ニュース
   2014年02月26日
   http://www.itmedia.co.jp/news/articles/1402/26/news041.html

ITmedia ニュースによると、Symantec発表で、2月22日ごろからこの脆弱性を付くゼロデイ攻撃が急増し、脆弱性を突くコードは誰にでも入手して再利用できる状態になっているということです。

Symantecが確認しただけでも、トレッキング愛好家向けサイト、アダルト出会い系サイト、語学学習サイト、金融情報サイト、通販サイト、旅行会社のサイトなどに不正なコードが仕掛けられているそうです。

もし、このようなサイトをIE 9/10で閲覧した場合、ユーザーが知らないうちに、特定の銀行のログイン情報を盗み出すマルウェアに感染する恐れがあるということですので、対策が急務ですね。


  日本国内で Internet Explorer9、10 へのゼロデイ攻撃を確認
   トレンドマイクロ セキュリティ ブログ
  http://blog.trendmicro.co.jp/archives/8632


上記のブログによると、もし、改ざん(不正に攻撃が埋め込まれた)WebサイトをIE9、10で閲覧すると、不正プログラム感染の被害を受ける可能性があるとのこと。

なお、今回の攻撃は、まだ不具合修正が発表されていない箇所を狙う「ゼロデイ攻撃」で、マイクロソフトでは正式なアップデートは未公開とのことです(2014.2.24現在)。



■トレンドマイクロ ”速やかに IE11 へのアップデートを行うことを強く推奨”

  国内でのInternet Explorerゼロデイ攻撃事例:オンライン銀行詐欺ツール感染目的と確認
   トレンドマイクロ セキュリティ ブログ
  http://blog.trendmicro.co.jp/archives/8655


トレンドマイクロによると、Internet Explorer(IE)9、10 に影響するゼロデイ攻撃が、最終的な被害としてはオンライン銀行の認証情報詐取を行う不正プログラムの感染につながっていることが確認されたとのこと。改ざん被害を受けている正規Webサイトも複数確認されており、同様の攻撃が今後も継続される可能性が高くなっており、速やかに IE11 へのアップデートを行うことが強く推奨されています。

なお、どうしても、IE11 へのアップデートが出来ない場合は、次の回避策を実施ください。



■回避策

情報処理推進機構 IPAで、下記でIE10とIE9の脆弱性回避方法が詳しく説明されています。以下に簡単に紹介します。

  Internet Explorer の脆弱性対策について(CVE-2014-0322):IPA 情報処理推進機構
   http://www.ipa.go.jp/security/ciadr/vul/20140220-ms.html


(1) Fix it を適用する

Microsoftの下記のサイトに記載されている「Fix it で解決する」の「この解決策を有効にする」ボタンをクリックし、画面の指示に従い、Fix it 51007 をインストールしてください。
Fix it 51007 を解除する場合は、同ページ内の、Fix it 51008 をインストールしてください。

  Microsoft security advisory:
  Vulnerability in Internet Explorer could allow remote code execution
     https://support.microsoft.com/kb/2934088

(2) Enhanced Mitigation Experience Toolkit (EMET) を使用する

EMET は、ソフトウェアの脆弱性が悪用されるのを防止するためのツールです。導入する際には、次のサイトを参考にしてください。

    Enhanced Mitigation Experience Toolkit
    http://support.microsoft.com/kb/2458544/ja


■ゼロデイ攻撃とは

「ソフトの不具合箇所が修正される前に、その不具合を利用した攻撃が行われる」ことです。

ゼロデイという言葉は、ソフトの修正情報が提供された日を1日(目)とすると、それ以前に攻撃が始まったという意味です。

ソフトを家に例えると、”家の中の無防備な箇所を狙う泥棒”と同じで、無防備な箇所が修復されないうちに、泥棒が入るのが”ゼロデイ攻撃”です。


■Fix it(フィックスイット)とは

WindowsやIEなどのちょっとした不具合を修正できるツールが“Fix it”です。“Fix it”はMSI形式のインストーラーとなっており、実行するだけで簡単に不具合を回避可能。

“Fix it”は、発生する不具合をレジストリの編集などで回避するツールで、2009年1月以来、提供開始されており、最近では、対策プログラムが発表されていない深刻な脆弱性などが発見されたときに、脆弱性からパソコンを保護するためのステップとして提供されることがあります。


■EMET(Enhanced Mitigation Experience Toolkit)とは

マイクロソフトが提供しているWindows用の脆弱性緩和ツールです。

「セキュリティ更新プログラム」はソフトウェアの脆弱性そのものを解消するものですが、EMETは、未修正の脆弱性を突く攻撃(ゼロディ攻撃)を受けた場合、攻撃者による任意コードの実行を阻止するものです。*「任意コード」とは、バックドアだったりトロイの木馬のような、悪意を持ったもの。

EMETはセキュリティホールをふさぐ機能は備えていませんが、「悪意を持つコードの実行防止」の役目を果たします。あくまでもセキュリティ修正を行う更新プログラム公開までの"つなぎ"であり、修正前の脆弱性を狙ったゼロディ攻撃を緩和するツールで、EMETをインストールすれば万全、という訳ではありません。