IEに対する新たな攻撃

　Geok Meng Ong氏とXiaobo Chen氏が2008年12月に書いたブログ記事を読んだ人なら，今回の件を映画の続編のように感じるだろう。2009年7月4日を含む週末に，米マイクロソフトのDirectShow ActiveXオブジェクトに存在するぜい弱性を狙った大規模なゼロディ攻撃が，中国の多くのWebサイトで見つかったのだ。

　調査したところ，ハイジャックされたWebサイトが100個以上見つかった。こうしたWebサイトには，現在も問題のトロイの木馬を配布している悪質なWebサイトへのリンクが挿入されていた。改変されたWebサイトの多くは，「悪質」とか「怪しい」といった印象を受けないサイトだった。例えば，教育機関のWebサイトや地域コミュニティのWebサイトが乗っ取られたり改変されたりしている。

　ユーザーがWebブラウザで改変済みWebサイト（下図の「Hijacked website #1」）にアクセスすると，プロキシとして機能しているらしい「Hijacked website #2」へのリンクで誘導される。Hijacked website #1のソースコードを調べても，このリンクが（Hijacked website #2という）無害なWebサイトを指していると思うだろう。ところがHijacked website #2は，アクセスしてきたユーザーをWebエクスプロイト・ツールキットの配布元である悪質なWebサイトへ導く。

　調査の過程で，今回の攻撃で興味深い点を見つけた。このWebエクスプロイト・ツールキットは，アクセス元ドメインが「.gov.cn」（中国の政府機関）および「.edu.cn」（中国の教育機関）からでないことを明からさまに確認しているのだ。ほかのドメインからのアクセスだった場合，ツールキットは以下のエクスプロイトをまとめて送りつけてくる。

・Exploit-MSDirectShow.b（ゼロディ・エクスプロイト）
・Exploit-XMLhttp.d
・Exploit-RealPlay.a
・JS/Exploit-BBar
・Exploit-MS06-014

　これらのエクスプロイトは，ぜい弱性の残っている可能性があり，Webブラウザ「Internet Explorer（IE）」からアクセス可能な，「IE 6/7」「DirectShow ActiveX」「RealPlayer」「Baidu Toolbar」といったそれぞれ別のアプリケーションを狙う。

　これまでの調査によると，2009年になってこのツールキットは，ハイジャックされた多くの中国系Webサイトでよく使われていた。背後にいる攻撃者たちは，中国政府に気付かれることを避けたり，遅らせたりしようとしているらしい。

　攻撃が成功すると，ダウンローダとして機能するトロイの木馬をパソコンに感染させ，ほかのマルウエアのダウンロードを図る。

　このゼロディ攻撃の対象となるぜい弱性は，少なくとも「Windows XP」上のIE 6.x/7.xに存在することが確認されている。ただし「Windows Vista」上のIE 7は，初期状態で危険なActiveXオブジェクトをブロックする設定になっているため，ゼロディ攻撃を避けられる可能性がある。こうした既知のエクスプロイトに対抗するため，Windowsを常に最新状態にしておこう。

　「McAfee VirusScan」は今回のゼロディ・エクスプロイトを，2009年7月6日付け定義ファイル（DAT）「5668」で「Exploit-MSDirectShow.b」として検出する。そしてこのエクスプロイトによって感染するダウンローダ型トロイの木馬を，（3月23日リリースの）DAT「5567」以降で「Generic.dx」として検出できている。

　今後，新たな情報が入ったら当ブログで紹介していく。

（調査に協力してくれた同僚のWei Wang氏に感謝する）

---

Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり，含まれている情報やリンクの正確性，完全性，妥当性について保証するものではありません。
◆この記事は，マカフィーの許可を得て，米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は，「New Attacks Against Internet Explorer」でお読みいただけます。