【はとバス】 IEゼロデイ脆弱性 日本国内ユーザーを狙うウイルス感染攻撃も (CVE-2014-0322)

Internet Explorerブラウザの バージョン9(IE9)バージョン10(IE10) で確認された未解決の脆弱性 CVE-2014-0322…
  • Internet Explorer の脆弱性対策について(CVE-2014-0322) (IPA 独立行政法人 情報処理推進機構)
    http://www.ipa.go.jp/security/ciadr/vul/20140220-ms.html
  • セキュリティ アドバイザリ 2934088「Internet Explore の脆弱性により、リモートでコードが実行される」を公開 (Microsoft)
    http://blogs.technet.com/b/jpsecurity/archive/2014/02/20/3623321.aspx
  • IE9/10にパッチ未公開の危険な脆弱性、悪用した標的型攻撃が出現 (ITpro)
    http://itpro.nikkeibp.co.jp/article/NEWS/20140220/537986/

暫定的に対処する Fix itプログラム(Microsoft Fix it 51007) がマイクロソフトから提供されてるので、実行しておいたほうがいいかと。

◆ 日本国内ユーザーを狙うウイルス感染攻撃の例

とある有名な日本国内企業の公式サイトがハッキングされてて、この脆弱性を悪用する処理が仕掛けられてるのを確認してます。

広く一般ユーザーが普通にアクセスするサイトだと思うので結構ヤバイ…。

 
http://www.*****.co.jp/
 http://www.*****.co.jp/js/rollover.js
  http://***.*****.co.jp/main/images/ie.html ← IE 0-day
   http://***.*****.co.jp/main/images/Tope.swf
   http://***.*****.co.jp/main/images/1.htm ← Java Exploit
 
IEのゼロデイ脆弱性を突く処理以外に、Java旧バージョンに存在する脆弱性を突く処理も別に用意されてます。
 
《1》 IEブラウザの脆弱性 (ゼロデイ)
《2》 Javaの脆弱性 (既知のもの)

Javaの方はIEブラウザ以外に Firefox や Chrome なども影響を受けるはずで、Javaをちゃんと最新版に更新してあるか、Java が導入されてないなら無影響。




[2月25日 追記...]

はとバスの公式サイト(www.hatobus.co.jp)が改ざん被害を受けたことを報告、対象期間は2014年2月18日~24日だそうな。

サイト閲覧でウイルスが強制インストールされる脅威で、影響がある環境はWindowsパソコンだけです。スマホ、携帯電話、Mac などは関係ありません。

Java を悪用する処理は、下のどれかに当てはまってれば被害は起こってません。
  • Java は最新版に更新されてる
  • ブラウザの Java は無効化されてる
  • Java はそもそもインストールされてない

セキュリティソフト/ウイルス対策ソフトを導入していて、かつウイルス定義が最新に維持されてたなら、被害は起こってない可能性がかなり高い?

この攻撃に関連するファイルの対応率は高め!
ttp://www.virustotal.com/ja/file/01fa105e84aa410ab4c035a8a72b008f69727fd5bede5346e0b0a7b30dab765c/analysis/1393149422/
ttp://www.virustotal.com/ja/file/b9c9dab0fd30418884800afebbaba4d99f4526ef0c9a47972a20ab20fed0a06d/analysis/

はとバス公式サイト改ざん被害で、地獄へ落ちてもおかしくないWindowsユーザーさんは下のようなパターン。。。
  1. セキュリティソフトが導入されておらず、警告してくれる手段がない状態
  2. ↑は導入されてるものの、期限切れでウイルス定義が更新されてない、あるいは常駐監視機能が動いてない状態