シマンテックは2014年5月8日、Internet Explorer 8(IE8)のゼロデイ脆弱性を突く「水飲み場型攻撃」が国内で2月および3月に発生していたことを明らかにした(水飲み場型攻撃の関連記事)。日本バスケットボール協会(JBA)の公式サイトを“水飲み場”にして、国内の政府関係者などを狙った可能性があるという(画面)。
今回報告された攻撃で使われたのは、IE8/9/10/11が影響を受ける脆弱性。脆弱性番号「CVE-2014-0324」で、日本マイクロソフトが2014年3月12日に公開したセキュリティ情報「MS14-012」に含まれる(3月12日にパッチが公開された脆弱性の関連記事)。同日公開されたセキュリティ更新プログラム(パッチ)を適用すれば修正される。5月2日にパッチが公開された脆弱性とは異なる(5月2日にパッチが公開された脆弱性の関連記事)
シマンテックでは3月13日、該当の脆弱性(CVE-2014-0324)を悪用した攻撃を2月中旬時点で確認したとして、公式ブログで注意を呼びかけていた。そして、その後の調査により、その詳細が明らかになったとして、今回公表した。
同社の情報によると、攻撃者はJBAのWebサイトに侵入してトップページを改ざんし、別のWebサイトにリダイレクトするようなスクリプトを仕掛けたという。リダイレクト先のWebサイトも正規のWebサイトだが、攻撃者によって、IEの脆弱性を悪用するようなウイルス(マルウエア)が仕掛けられていた。
このためJBAのWebサイトにIEでアクセスするだけでウイルスに感染する恐れがあった。なお、JBAのトップページの改ざんは、2月中旬、2月下旬、そして3月のパッチ公開直後の3回にわたって行われた。
シマンテックによると、該当の脆弱性を悪用した水飲み場型攻撃はJBAのWebサイトのみで確認されたという。JBAのWebサイトが標的になった理由として同社では、「スポーツ界は、国民とも政府とも深く結び付いて」いることを挙げている。例えばJBAの現在の会長は、政治家の麻生太郎氏が務めている。このため、JBAのWebサイトが、日本政府への“格好”の侵入口とみなされたのかもしれないとしている。
