McAfee Avert Labs Blog
More Details on “Operation Aurora”」より
January 14,2010 Posted by Craig Schmugar

 当社(米マカフィー)CTOのGeorge Kurtz氏が2010年1月14日(米国時間)、ブログ記事「Operation "Aurora" Hit Google, Others」(「グーグルなどを襲った『オーロラ』攻撃」)を投稿した。そこで今回は、疑問に答える形式でこの攻撃の流れと当社製品の対応状況を説明しよう(関連記事:Googleなどを狙う攻撃コードが流出、McAfeeが警戒を呼びかけ/突如勃発したGoogleの中国撤退問題、そのときMicrosoftは?)。

感染の仕組み

 ぜい弱なWindowsを使っているユーザーが攻撃用Webページにアクセスすると、そのページ内のJavaScriptコードが「Internet Explorer」(IE)に存在する修正パッチ未リリースのセキュリティ・ホール「Microsoft Internet Explorer DOM Operation Memory Corruption Vulnerability」を突く。米マイクロソフトはこのセキュリティ・ホール(CVE-2010-0249)に関する情報(979352)を出している。

このエクスプロイト用ペイロードの正体

 感染に成功したエクスプロイトは、あるWebサイトからダウンロードした実行ファイルを起動した後、自分は外部との通信を絶つ。この実行ファイルはリモート・アクセス機能を備えるトロイの木馬をインストールし、パソコンの起動時に動くよう設定する。そしてトロイの木馬が外部サーバーとの通信を担う。この結果、攻撃者は遠隔地から感染パソコンの情報をのぞいたり、修正したり、新たに作ったりできるようになる。

攻撃の広がり具合

 オーロラ攻撃の対象は、極めて狭い範囲に限定されているようだ。現在時点ではあまり広がっていないと思う。

狙われるセキュリティ・ホールの深刻度

 IEに存在する問題のセキュリティ・ホールは、今回の攻撃で遠隔コード実行手段として悪用される。ただし、コード実行にはユーザーの操作が必要だ(例えば、ユーザーがWebサイトを指すハイパー・リンクをクリックしたり、メールの添付ファイルを開いたりしない限りコードは実行されない)。さらにこの攻撃を行うエクスプロイトのうち既知の一つは、メモリー保護機構「Data Execution Prevention(DEP)」(IE 8だと初期状態で有効、IE 7でも利用可能)で阻止できる。マイクロソフトは、攻撃の影響を受ける可能性のある危険な環境としてWindows 2000 Service Pack 4上のSP1適用済みIE 6と、Windows XP/Vista/7およびWindows Server 2003/2008/2008 R2の対応エディション上のIE 6/7/8を挙げた(関連記事:MicrosoftがIE用の修正パッチを臨時公開へ、中国発の攻撃に対応)。

マカフィーの対応状況

・ウイルス対策用定義ファイル(DAT):1月15日リリースのDAT「5862」で関連マルウエア「Exploit-Comele」「Roarur.dr」「Roarur.dll」に対応。DAT「5861」(記事執筆時点の最新版)でも、「Generic.dx!kwv」「Generic Spy.e」「Spy-Agent.ey」「Exploit-Comele」といったコンポーネントには対応している

・「McAfee VirusScan Enterprise」のバッファ・オーバーフロー保護機能:汎用的なバッファ・オーバーフロー保護機能により、エクスプロイトの一部は阻止できると見込む

・「McAfee Host Intrusion Prevention」:汎用的なバッファ・オーバーフロー保護機能により、エクスプロイトの一部は阻止できると見込む

・「McAfee Network Security Platform」:1月14日リリースのユーザー定義シグネチャ(UDS)に入れるシグネチャ「UDS-HTTP:Microsoft Internet Explorer HTML DOM Memory Corruption」で対応

・「McAfee Vulnerability Manager(MVM)」(旧名称は「Foundstone」):1月14日リリースのFoundstoneスクリプティング言語(FSL)/MVMパッケージのぜい弱性検査機能で、対象システムの危険性を調査できる

追記(1月14日)

・「McAfee Web Gateway」(旧名称は「Webwasher」):問題のマルウエアが通信するドメイン/IPアドレスと関連マルウエアは、1月15日リリースのレピュテーション(評判分析)システム「TrustedSource」で(「BehavesLike.JS.Obfuscated.E」として)対応。一部コンポーネントは(「Trojan.Crypt.XDR.Gen」として)予防的に対応している

追記(1月16日)

・「McAfee Firewall Enterprise」(旧名称は「Sidewinder」):問題のマルウエアが通信するドメイン/IPアドレスと関連マルウエアは、1月15日リリースのレピュテーション(評判分析)システム「TrustedSource」で(「BehavesLike.JS.Obfuscated.E」として)対応。一部コンポーネントは(「Trojan.Crypt.XDR.Gen」として)予防的に対応している

 今後の対応状況は、当社のセキュリティ情報サイト(http://www.mcafee.com/us/threat_center/securityadvisory/signup.aspx)で提供する。


Copyrights (C) 2010 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「More Details on “Operation Aurora”」でお読みいただけます。