“Blackhole” エクスプロイト キットの発生: すべてのソフトウェアを最新の状態に保つことの重要性

本記事は、Microsoft Security のブログ“The Rise of the “Blackhole” Exploit Kit: The Importance of Keeping All Software Up To Date” (2012年7月20日公開) を翻訳した記事です。

先日、マイクロソフト セキュリティ インテリジェンス レポート第 12 版 (SIRv12) で公開したデータによると、ドライブバイ ダウンロード攻撃は、世界中の膨大な数のシステムに侵害しようとしている多くの攻撃者がいまだに好んで使用している手法です。以前にもドライブバイ ダウンロード攻撃について書きましたが (「ドライブバイ ダウンロード攻撃に関する注意」のその 1とその 2)、こういった攻撃の影響を緩和するには、すべてのソフトウェアを最新の状態に保つ必要があります。

2011 年後半 (2H11) には、JavaScript によるエクスプロイトの検出が大幅に増加しました。検出数が増加した主な原因は、JS/Blacoleというエクスプロイト ファミリが登場したことです。これは「Blackhole」と呼ばれるエクスプロイト キットで使用されるエクスプロイト ファミリで、感染した Web ページを通じて悪意のあるソフトウェアを配布します。

図 1: 2011 年の各四半期にマイクロソフトのマルウェア対策製品による HTML および JavaScript エクスプロイトの検出/ブロックを報告した固有システムの数 - 出典: SIRv12

Blacoleは、感染時に利用可能ないくつかのエクスプロイトを使用してシステムを侵害するマルウェア ファミリの名称です。攻撃を試みようとする人物は、ハッカー フォーラムやその他の非合法の経路を通じて、Blacole キットを購入するか賃借します。脆弱性をターゲットとするエクスプロイトを組み込んだ悪意のある Web ページの集まりで構成され、Adobe Flash Player、Adobe Reader、Microsoft Data Access Components (MDAC)、Oracle Java Runtime Environment (JRE)、その他の一般的な製品やコンポーネントのバージョンがあります。攻撃者が悪意のある、または侵害された Web サーバー上で Blacole キットをインストールすると、適切なセキュリティ更新プログラムをインストールしていない訪問者は、ドライブバイ ダウンロード攻撃による感染のリスクにさらされます。

そうした攻撃がどのように行われるか実際に例を挙げて説明します。攻撃の対象者が電子メールを受信します。この電子メールは、対象者が使用している一般的なソーシャル ネットワーク内の連絡先から送信されているようです。「Visit your InBox Now (今すぐ受信箱を確認してください)」という電子メール内のリンクをクリックすると、システムにインストールされているマルウェア対策ソフトウェアが起動して JS/Blacole を検出し、Blacole エクスプロイト キットのコンポーネントを検出したことを通知します。

図 2: 悪意のあるリンクを含む電子メールの例

図 3: システムにインストールされているマルウェア対策ソフトウェアで Blacole エクスプロイト キットのコンポーネントを検出

システムに最新のマルウェア対策ソフトウェアがインストールされていない場合、電子メール内の悪意のあるリンクをクリックすると、エクスプロイト サーバーは、システムへの侵害が成功し、マルウェアがシステムにインストールされるまで、複数の既知の脆弱性を悪用しようとする可能性があります。

Microsoft Malware Protection Center (MMPC) は、ブログの公開記事でこのタイプの攻撃例をいくつか取り上げています。

• 安易な行為が後悔を生む (英語情報)

• 無秩序な行動: 警察になりすますローカル マルウェア (英語情報)

• 偽の BBB スパムによる膨大な数の苦情 (英語情報)

上で述べたように、通常、Blacole エクスプロイト キットは、以下のような Adobe Flash Player、Adobe Reader、Microsoft Data Access Components (MDAC)、Oracle Java Runtime Environment (JRE)、その他の一般的な製品やコンポーネントの脆弱性を悪用しようとします。

• CVE-2006-0003 - Microsoft Data Access Components (MDAC) の RDS. Dataspace ActiveX コントロールにおける詳細不明な脆弱性 (英語情報)

• CVE-2007-5659 - Adobe Reader と Acrobat 8.1.1 以前における複数のバッファー オーバーフロー (英語情報)

• CVE-2008-2992 - Adobe Reader の「util.printf」の脆弱性 (英語情報)

• CVE-2009-0927 - Adobe Reader と Adobe Acrobat 9 (複数バージョン) のスタックベースのバッファー オーバーフローによりリモート攻撃者が任意のコードを実行できるようになる (英語情報)

• CVE-2009-1671 - Deployment Toolkit の「deploytk.dll」における ActiveX コントロールでの Java バッファー オーバーフロー (英語情報)

• CVE-2009-4324 - Adobe Reader と Adobe Acrobat の「util.printd」の脆弱性 (英語情報)

• CVE-2010-0188 - Adobe Acrobat Bundled Libtiff の整数オーバーフローの脆弱性 (英語情報)

• CVE-2010-0840 - Sun Java JRE 信頼メソッド連鎖のリモートコード実行の脆弱性 (英語情報)

• CVE-2010-0842 - Java JRE MixerSequencer 無効な配列インデックスのリモート コード実行の脆弱性 (英語情報)

• CVE-2010-0886 - Oracle Java SE の Java Deployment Toolkit コンポーネントの脆弱性 (英語情報)

• CVE-2010-1423 - Java NPAPI プラグインの URI ハンドラーにおける Java 引数インジェクションの脆弱性 (英語情報)

• CVE-2010-1885 - Microsoft Help Center URL 検証の脆弱性 (英語情報)

• CVE-2010-3552 - Sun Java Runtime の新しいプラグイン docbase のバッファー オーバーフロー (「Java Skyline エクスプロイト」) (英語情報)

• CVE-2010-4452 - Sun Java Applet2ClassLoader のリモートコード実行のエクスプロイト (英語情報)

• CVE-2011-2110 - Adobe Flash Player における詳細不明なメモリ破損の脆弱性 (英語情報)

• CVE-2011-3544 - Oracle Java SE JDK と JRE 7 および 6 アップデート 27 以前の Java Runtime Environment コンポーネントの脆弱性 (英語情報)

上のリストの CVE 番号を見てわかるように、エクスプロイト キットがターゲットとする多くの脆弱性は何年も前から発生しています。

以前書いたように(数百万件に及ぶ Java エクスプロイト攻撃: すべてのソフトウェアを最新の状態に保つ重要性 (英語情報))、Java の脆弱性は多くの攻撃のターゲットになっています。それまでと同様に、多くのエクスプロイトのターゲットになった Java の脆弱性は何年も前から発生しており、その脆弱性に対処するためのセキュリティ アップデートも数多くリリースされてきました。以下の SIRv12 の図のように、2H11 (2011 年後半) に固有システムが最も多く報告した Java の脆弱性エクスプロイト案件は、CVE-2010-0840 - Sun Java JRE 信頼メソッド連鎖のリモート コード実行の脆弱性でした。上のリストにあるように、これは Blacole エクスプロイト キットがターゲットにしている脆弱性の 1 つです。

図 4: 2011 年の各四半期に Java エクスプロイトを報告した固有のコンピューター

以下の表 1 は、2H11 (2011 年後半) に Blacole エクスプロイト キット検出を最も多く報告したシステムの上位 10 か国/地域を示しています。表 1 の国/地域の多くは、表 2 のように、同じ時期に CVE-2010-0840 エクスプロイト攻撃の最大の検出/ブロック数も報告しています。

表 1: 2H11 (2011 年後半) に Blacole を最も多く検出した上位 10 か所

表 2: 2H11 (2011 年後半) に CVE-2010-0840 エクスプロイト攻撃を最も多く検出した上位 10 か所

取るべき行動は次のとおりです。

• 自分の環境の Java を最近更新していない場合は、現状のリスクを評価する必要があります。

• 1 つのシステムに複数の Java バージョンがインストールされている可能性を把握することが重要です。残すバージョンを決めたら、不要になる他のすべてのバージョンを確実に削除します。

• Windows だけでなく、環境内のすべてのソフトウェアを最新の状態に保ちます。攻撃者は一般的なすべてのソフトウェアの脆弱性をターゲットにします。

• 信頼できるベンダーがリリースしたマルウェア対策ソフトウェアを実行し、最新の状態に保ちます。上記の例のように、マルウェア対策ソフトウェアはこのタイプの攻撃の影響を緩和する効果があります。

• フィッシングに騙されないこと – 電子メールで送信されたリンクをクリックしたり、添付ファイルを開いたりしないでください。

Trustworthy Computing (信頼できるコンピューティング) 部門
ディレクター、Tim Rains (ティム・レインズ)