以前、Gumblar攻撃の被害に遭ったクライアントPCの調査から判明した、クライアントパソコン（PC）に放置されやすい脆弱性について解説した（関連記事)。前回の調査では、クライアントPCに放置されやすい脆弱性の1位はJava、ほぼ同数の2位がAdobe Readerという結果だった。前回の調査から1年経過し、この傾向に変化があるか、改めて同様の調査した。その結果について解説する。

　前回の調査では、Gumblar攻撃の被害に遭ったクライアントPCを対象としたが、今回は、Black Hole Exploit Kitと呼ばれるドライブバイダウンロード攻撃ツールの被害にあったクライアントPCを対象にした。この攻撃ツールは、2011年上半期に日本IBM セキュリティー・オペレーション・センター（以下、東京SOC）の観測範囲において最もウイルス感染の被害が多かった攻撃ツールである（表1）。

表1●Exploit Pack別ウイルスダウンロード発生件数（上位5件）
（東京SOC調べ：2011年1月1日〜6月30日）

　Black Hole Exploit Kitに代表されるドライブバイダウンロード攻撃ツールは、Exploit Packと呼ばれ、アンダーグラウンドで多数売買されている（表1）。また、ツールを管理するために写真1のようなWeb GUIが準備されており、Webサーバーへインストールするためのインストールマニュアルなどが付属している場合もある。

写真1●Black Hole Exploit KitのWeb管理画面

[画像のクリックで拡大表示]

　Black Hole Exploit Kitは、クライアントPCにウイルスを感染させるために多数のクライアントアプリケーションの脆弱性を攻撃する機能を持っている。表2は、攻撃のターゲットとなる脆弱性の一覧である。この11種類の脆弱性のうち、最も攻撃の成功率が高い（脆弱性が残されたままになっている）アプリケーションは、JRE / JDKの脆弱性(CVE-2010-0840)だった。Javaの脆弱性はそのほかにも三つ利用されているが、その中で最も古い脆弱性(脆弱性公開日：2010年3月30日)が最も被害を与えていることが分かる。つまり、最近のアップデート適用をたまたま忘れていたために被害を受けたということではなく、古いバージョンをアップデートすることなく使い続けているケースが多いことがうかがえる。また、Javaの脆弱性をすべて合わせると58%となり、半数以上がJavaの脆弱性が放置されていた結果、被害を受けていたことが分かる。

表2●Black Hole Exploit Kitが攻撃対象とする脆弱性一覧

　さらに、Adobe Readerの脆弱性が放置されている割合が高く、すべて合わせると35%という結果だった（図1）。

図1●マルウエアダウンロードの原因となった脆弱性の割合（東京SOC調べ 総数549件）

[画像のクリックで拡大表示]

　JavaとAdobe Readerを合わせるとサードパーティーのアプリケーションだけで全体の93%を占めており、サードパーティーアプリケーションのアップデート未適用がウイルスダウンロードの主な原因となっていることが分かる。なお、Windows OSの脆弱性が原因となった（Windowsのヘルプとサポートセンターおよび、Microsoft Data Access Components)割合は7％程度であり、Windows OSの脆弱性にはパッチが適応されているが、サードパーティーのアプリケーションまで対応できていない環境が多数存在することがうかがえる。

　最近では、上記のアプリケーション以外にAdobe Flash Playerの脆弱性を悪用する事例も増加している。2011年3月、4月、5月と3カ月連続でAdobe Flash Playerのゼロデイ脆弱性(CVE-2011-0609、CVE-2011-0611、CVE-2011-0627)を悪用する攻撃が確認されており、Java、Adobe Readerに加えてAdobe Flash Playerの脆弱性にも注意する必要がある。

　前回の調査から1年ほど経過しているが、JavaとAdobe Readerの脆弱性が、問題となっている状態は変わっていなかった。1年前と比べると、Javaの脆弱性を悪用する攻撃はインターネット上で明らかに増加している。攻撃者も、サードパーティーのアプリケーションはアップデートされていない状況を把握したうえで、攻撃ツールを作成していると考えられる。

　今後も、JavaとAdobe Readerを含めたサードパーティーのアプリケーションが攻撃のターゲットとなる状況は続いていくと考えられる。改めて、クライアントPCのセキュリティ状況を確認していただきたい。