8月末に検出されたJavaのゼロデイ脆弱性(CVE-2012-4681)は既に「Blackhole Exploit Kit」をはじめとする多くの攻撃ツールで実際に利用されている。トレンドマイクロは確認した攻撃手口の一部についてブログで説明し、注意を促した。
攻撃につながる不正なWebページにユーザーを誘導する手口には、スパムメール配信、改ざんされたサイト、ポルノサイトからのリダイレクト、不正広告など様々ある。ユーザーを誘導する手口が多ければ、それだけユーザーが攻撃に遭う危険性が増すことになる。スパムメールについて見ても、ビジネスSNS「LinkedIn」のメッセージを装ったもの、アンチウイルスサービスの通知を装ったもの、「eFax」サービスのインターネットファックス送信を装ったもの、米ウエスタンユニオンの送金サービスを装ったものなどいくつもある。
スパムメッセージには改ざんされたWebサイトにユーザーを誘導するリンクが含まれ、さらにリンク先のサイトから不正ランディングページにユーザーをリダイレクトする。ランディングページはまずシステムをスキャンして脆弱性が存在しないか探し、脆弱性が見つかった場合はそれに応じた攻撃に誘導する。
トレンドマイクロが問題のJava脆弱性を利用する攻撃の1つを調べると、100以上のサーバーでホスティングされた300以上の不正ドメインを使用するランディングページを確認した。これらドメインのほぼ半分は、「.com」「.org」「.net」といったよく目にするトップレベルドメイン(TLD)で設置されている。
ランディングページのTLDの割合
また、不正サイトの約半数は米国で、約4分の1はロシアでホスティングされている。
ランディングページの国別割合
攻撃を受けたユーザーの多くは不正サイトがホスティングされている国に住んでおり、全体の3分の2が米国、残りの3分の1のほとんどが欧州諸国で占められている。
被害者の国別シェア
