インターネット利用者を不正プログラムに感染させる目的のWeb改ざんが後を絶ちません。JPCERT/CCの発表(※)によると2014年1月~6月に報告されたWebサイト改ざん件数は2624件。この Web改ざんを起点として、Webサイトの閲覧者を不正プログラムに感染させる手段として利用されているのが「エクスプロイトキット(Exploit Kit)」と呼ばれる脆弱性攻撃ツールです。
攻撃者は改ざんした正規Webサイトから、エクスプロイトキットを設置した不正サイトへユーザーを誘導します。このとき、エクスプロイトキットがユーザーの環境をスキャンして、どの脆弱性があるか判別したあと、脆弱性を利用して不正プログラムを感染させます。
※独立行政法人情報処理推進機構および一般社団法人JPCERT コーディネーションセンターの発表より(https://www.jpcert.or.jp/pr/2014/pr140003.html)
日本国内のエクスプロイトキット検出状況
トレンドマイクロでは、2015年3月下旬に特定のエクスプロイトキットが設置された不正サイトへのアクセスが急増していることを確認しました。調査の結果、攻撃はエクスプロイトキットの一つである「Nuclear Exploit Kit」を利用したものであり、ピーク時には1日9万件近くのアクセスが日本国内から発生していました。
また、ピーク時に行われたアクセスの多くは(正規の)成人向けWebサイトの広告を介して不正サイトへ誘導されていることが分かりました。これは、成人向けWebサイトへ広告を表示する広告配信会社の配信コンテンツを攻撃者が改ざんし、ユーザーが成人向けWebサイトを表示した時点で、不正な広告によりExploit Kitを設置した不正サイトへユーザーを誘導するという攻撃でした。
図1●2015年3月に確認された「Nuclear Exploit Kit」が設置された不正サイトへのアクセス数
[画像のクリックで拡大表示]
今回はこの「広告配信会社の配信コンテンツ改ざん」と「Nuclear Exploit Kit」を用いた攻撃の流れと対策について解説します。
