たった1つの脆弱性から多数のマルウェアに感染!「HTML_SHELLCOD.SM」はどのように活動するのか
市販のソフトウェアに脆弱性が存在することは、避けられないこととなっており、これらの脆弱性は、サイバー犯罪者に悪用されやすい状況にあります。
この原因は、ソフトウェアには脆弱性が無数にあり、コードに欠陥があるものから、複数のソフトウェアが競合することによって発生するものまで広範囲に及ぶからです。脆弱性の中でも特に、対策の施されていない「ゼロデイ脆弱性」は、とりわけ危険なものといえます。それは、ユーザがこの脆弱性について何も知らず、無防備な状態となる可能性があるためです。サイバー犯罪者は、こうした脆弱性の利用により、感染コンピュータにコマンドを送信し、ユーザの許可なしで不正な操作をすることができるようになります。 さらに金儲けをしようと、あらゆる機会に目を光らせているサイバー犯罪者は、現在、存在するすべての脆弱性を利用し、できるだけ効率良く不正に金銭を得る方法を探しています。 この最たる例として、2010年12月下旬に確認された、Internet Explorer(IE)のに存在する特定の脆弱性を利用する「HTML_SHELLCOD.SM」を挙げることができます。トレンドマイクロでは、このIEの脆弱性を利用する不正なファイルをすべて「HTML_SHELLCOD.SM」として検出します。 この「HTML_SHELLCOD.SM」を例として、どのようにしてたった1つの脆弱性が悪用され、個人情報や機密情報の収集、また破壊活動がコンピュータやネットワーク上で実行されるのかを紹介します。 この脅威は、どのような影響をユーザに与えますか?「HTML_SHELLCOD.SM」は、特定のWebサイトに組み込まれています。「HTML_SHELLCOD.SM」は、ユーザがこのWebサイトにアクセスすることで実行されます。
この脅威は、どのような影響をユーザに与えますか?「HTML_SHELLCOD.SM」は、IEに存在する「初期化されていないメモリ破損の脆弱性(CVE-2010-3962)」を利用すると、複数のWebサイトにアクセスし、感染コンピュータ内に以下として検出されるマルウェアをダウンロードします。
- TROJ_LAMECHI.D
- JS_EXPLOIT.ADA
- JS_EXPLOIT.SM1
- HTML_SHELLCOD.SM
- TROJ_DLOADR.DAM
- TROJ_GAMETHI.FMS
- PE_PARITE.A
- TSPY_ARDAMAX.HR
複数の不正なファイルがこの脆弱性を利用するため、「HTML_SHELLCOD.SM」に感染したコンピュータのユーザは、「HTML_SHELLCOD.SM」だけでなく他のマルウェアにも感染していることに気付く可能性があります。
「HTML_SHELLCOD.SM」は、感染コンピュータを使用不能にすることができます。バックドアの機能やスパウェアの機能を備えたマルウェアがこの脆弱性を利用しコンピュータに侵入した場合、ユーザの個人情報が危険にさらされることになります。例えば、「HTML_SHELLCOD.SM」がダウンロードするマルウェアの1つである「TROJ_GAMETHI.FMS」は、「メイプルストーリー」、「Dungeon Fighter」、「ラグナロクオンライン」および「World of Warcraft」といった人気オンラインゲームに関連するユーザ名およびパスワードを収集します。 これにより、オンラインゲームのアカウント情報が不正に利用されることになります。 また、他のマルウェア「TSPY_ARDAMAX.HR」は、ユーザのキー入力操作情報を記録します。また、特定のWebサイトおよびチャットの記録にアクセスし、さらにユーザのプライバシーを脅かします。 どのようにして感染タからこの脅威を削除することができますか?「HTML_SHELLCOD.SM」に感染してしまったユーザは、システムの復元を無効にし、すべてのブラウザを閉じてください。その後、登録済みのトレンドマイクロ製品でコンピュータの検査をしてください。
検出されたファイルは、即座に削除、除去または、隔離されます。また、ユーザは、コンピュータが再び感染することを防ぐために、IEの深刻な脆弱性を対処するセキュリティパッチをダウンロードしてください。 コンピュータを攻撃から守るにはどうすればいいのですか?ユーザは、ソフトウェアの問題(IEの脆弱性など)に対処する修正パッチを適用し、ソフトウェアを常に最新の状態に保つことにより、コンピュータが「HTML_SHELLCOD.SM」に感染するのを防ぐことができます。ユーザは、ここからこの重大な問題に対応するパッチをダウンロードすることができます。また、Webサイトを閲覧する際には、以下のような対策を習慣づけることも必要です。
どのWebサイトを閲覧するかが明確な場合、ブラウザのアドレスバーに直接そのURLを入力することで、検索エンジンから不正なリンクに行き当たるのを避けることができます。- 検索エンジンの検索結果で上位に表示された場合でも、疑わしく見えるURLはクリックしない。
- URLの一部、またはいくつかの部分がランダムな文字列の場合(例:「:////?」)、疑わしいリンクだと考える。
- 検索結果の概要(太字のタイトルの真下に表示される文章)を読むこと。概要にWebサイトについての適切で簡単な説明がない場合は、疑わしいと考えられる。また、概要にランダムに並べたキーワードが表示される場合、SEOポイズニング(悪質なSEO対策)に関連するWebサイトだという重要な手掛かりとなる。
- 検索エンジンでの検索結果に表示されたWebサイトのリンクをクリックする前に、そのサイトのページランクの評価を確認する。
- ブラウザに統合できる「Trend Micro Web Protection Add-On」など、危険なサイトへの接続をブロックする有効なアプリケーションをインストールする。
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」では、「Webレピュテーション」技術により、マルウェアがアクセスし他の不正なファイルをダウンロードするURLをブロックすることで、この脅威からユーザを守ります。また、、「HTML_SHELLCOD.SM」がダウンロードするマルウェアも、トレンドマイクロ製品によって検出され、しかるべき強固な技術によってこれらの脅威に対応します。
「TrendLabs(トレンドラボ)」のウイルス解析者Roland Dela Pazは、今回の脅威について次のようにコメントしています。 「ソーシャルエンジニアリングは、この数年間で、マルウェアを拡散するための最も効果的な手法として立証されています。一方、これに代わり得るのが、ゼロデイ脆弱性を突く技術的な手法です。ユーザがソーシャルエンジニアリングによる攻撃をより認識するようになった今、マルウェア感染の次の主要手口となるのは、脆弱性を利用するものでしょうか。」