今回はまず、Javaのゼロデイの脆弱性に関する話題を取り上げる。セキュリティベンダー各社がブログで取り上げている。

 例えばトレンドマイクロ。8月末に検出されたJava Runtime Environment(JRE)に存在するゼロデイ脆弱性(CVE-2012-4681)とサイバースパイ攻撃「Nitro」との関係についてブログで検証した。

 この脆弱性は、Nitro攻撃で使われる「Gondad」あるいは「KaiXin」として知られる中国の攻撃ツールに悪用されていたと見られ、「BlackHole Exploit Kit」にも組み込まれていたようだ。これら攻撃ツール開発の関係性が浮かび上がってきたが、これは攻撃が再開したということではなく、攻撃者が2011年にNitro攻撃がドキュメント化されたあとも休止することなく活動していたということを忘れてはならない。

 実際、今回のJava脆弱性が確認される前も、Nitro攻撃者はを2012年8月上旬に「Poison Ivy」マルウエアへ直接誘導するリンクを付けた電子メールをターゲットに送り続けていた。

Poison Ivyマルウエアへのリンクを掲載した電子メール

 リンク先の「Flashfxp.exe」ファイルは、問題のJava脆弱性とPoison Ivyペイロードに関連するサーバーと同じサーバーの1つでホスティングされ、IPアドレス「{ブロック済み}.{ブロック済み}..233.244」として解決される「ok.{ブロック済み}n.pk」ドメインにつながる。これはJavaゼロデイ攻撃によって投下されるPoison Ivyペイロードとやりとりするマルウエア制御(C&C)サーバーのドメイン「hello.{ブロック済み}n.pk」と同じアドレスでもある。

ホスティングサーバーとPoison Ivyマルウエア、C&Cサーバーの相関図

 Java脆弱性を突く不正ファイルをホスティングするステージングサーバーは少なくとも2台(実行可能ファイルを埋め込んだステージングサーバーは少なくとも3台)あるが、すべてのPoison Ivyペイロードは同じIPアドレスで解決されるドメインに接続する。

 Nitro攻撃に関するPoison Ivy制御サーバーに使われている多数のドメイン名も、同じIPアドレスで解決される。このJava脆弱性がターゲット型攻撃に使われているかどうかについては当初、懐疑的意見があったが、Nitro攻撃者に利用されている形跡が次第に明らかになっている。

 なお、米オラクルがセキュリティパッチをリリースし、8月31日時点で問題のJava脆弱性はすでに修正されている。これにより最新版JREのユーザーは「バージョン7アップデート7」に更新される。