コンテンツ
セキュリティ情報
アクセス解析サービスを使用した Web サイト経由での攻撃に関する注意喚起
2010年10月27日(水曜日)掲載
■概要
JPCERT/CC では,2010年9月末から10月中旬の期間において,特定の Web アクセス解析サービスを感染経路としたと想定されるマルウエア感染に関する報告を受けています.上記期間において,当該アクセス解析サービスを使用する Webサイトを閲覧した場合,ユーザの PC がマルウエアに感染した可能性があります.当該アクセス解析サービスは,多くの商用 Web サイトで利用されている事から,広範囲のユーザが影響を受けた可能性があります.
現在,JPCERT/CC ではアクセス解析サービスを感染経路としたマルウエアの感染活動が停止している事を確認していますが,上記期間に該当する Web サイトを閲覧したユーザの PC が脆弱性のある古いソフトウエアを使用していた場合,マルウエアに感染した可能性があります.念のため,PC がマルウエアに感染していない事を確認してください.
再び同様の攻撃が行われる可能性があります.OS やアプリケーションに修正プログラムを随時適用し,常に最新の状態となるようにしてください.
※ 本攻撃に関しては,まだ不明な点が存在しているため,JPCERT/CC では引き続き調査を行っています.
■攻撃シナリオ
想定される攻撃シナリオは以下の通りです.
(1)攻撃者は何らかの方法でアクセス解析サービスを提供する事業者のサーバに攻撃コードを混入させ,アクセス解析サービスを利用している Webサイトが表示されたときにマルウエアに感染するように細工を施します.
-- このアクセス解析サービスが多くの商用 Web サイトで利用されている事から,広範囲のユーザが影響を受けた可能性があります.
(2)アクセス解析サービスを利用している Web サイトをユーザが閲覧したときに,(1) の攻撃コードが実行され,ユーザの PC がマルウエアに感染します.
-- 既知の Java の脆弱性が使用されていたことを確認しています.
(3)マルウエアに感染した PC は,外部から別のマルウエアをダウンロードするため,複数のマルウエアに感染します.
※ JPCERT/CC では,(2) および (3) のマルウエア感染に使用されたサイトの停止に向けて調整を行っています.
■検知情報
JPCERT/CC では,マルウエアに感染した PC に以下のファイルが含まれていた事を確認しています.システムに以下のファイル名のファイルが存在している場合,マルウエアに感染している可能性があります.
・感染した PC に含まれるファイル:
-- mstmp
-- lib.dll
-- lib.sig
-- AdvBHO.dll
・ファイルの検索手順例 (Windows XP の場合)
(1) [スタート]メニューから,検索をクリックする.
(2)検索コンパニオンの"ファイルとフォルダすべて"をクリックする.
(3)"ファイル名のすべてまたは一部" にファイル名を入力し,検索ボタンをクリックする.
(4)検索結果に上記ファイル名が表示されないことを確認する.
※ 検索結果に,部分一致するファイル名 (xxxxlib.dll など) が表示される場合があります.感染ファイルではない可能性があるため,ウイルス対策ソフトで別途スキャンしてください.
上記以外のファイル名のファイルが攻撃に使用されている可能性があります.ウイルス対策ソフトでシステム全体のスキャンを併せて実施することを推奨します.
■対策
検知情報を参考に,PC がマルウエアに感染しているか確認してください.
[マルウエアに感染している場合]
-- PC をネットワークから切り離し,システム担当者の指示に従いマルウエアを駆除してください.駆除が困難な場合は,クリーンインストールの実施を検討してください.
※ マルウエアに感染した PC は,外部から別のマルウエアをダウンロードするため,感染が確認された場合,複数のマルウエアに感染している可能性があります.
-- マルウエアの駆除後,使用する PC の OS やインストールされているソフトウエアを最新の状態に更新してください.
-- ウイルス対策ソフトの定義ファイルを最新の状態に更新し,ウイルス検知機能が有効になっていることを確認してください.
[マルウエアに感染していない場合]
-- 使用する PC の OS やインストールされているソフトウエアが最新かどうか確認し,必要に応じて最新の状態に更新してください.
-- ウイルス対策ソフトの定義ファイルを最新の状態に更新し,ウイルス検知機能が有効になっていることを確認してください.
■参考情報
トレンドマイクロ セキュリティ ブログ
国内100社以上で感染被害を確認.”mstmp” ”lib.dll” のファイル名で拡散する不正プログラム
http://blog.trendmicro.co.jp/archives/3723
関連情報 |
アクセス解析サービスを使用した Web サイト経由での攻撃に関する注意喚起(JPCERT/CC) |
お問い合わせ |
京都大学 情報環境部 情報基盤課 情報セキュリティ対策室
電話番号:075-753-7490/7492(内線7490/7491/7492) E-mail:i-s-office ![]() お問い合わせフォーム |