初回投稿 2014年4月5日

<解決>エクスプロイトキットとは対策2つウイルス感染防ぐ効果2022

次のセキュリティ用語を見かけたけれど、いったい何者でしょうか?

エクスプロイトキット
(英語 Exploit Kit)

わかりやすくエクスプロイトキットとは、自宅や企業などで使われている Windows XP/Vista/7/8/10/11 パソコンを攻撃する場面で採用される 悪意のある不正な Web アプリケーション のことです。

エクスプロイトキット関連の影響環境
Windows コンピュータウイルスの感染攻撃を仕掛ける主戦場
Mac OS X だいぶ前に Mac 向けのバックドア Flashback のウイルス感染例あり
(「Java for Mac」 の脆弱性を悪用)
Android OS だいぶ前にスマホ/タブレット/スマートTVの画面をロックするランサムウェア感染例あり
(「Android 標準ブラウザ」 の脆弱性を悪用)

エクスプロイトキットの目的は、ターゲットとなる端末に コンピュータウイルス (マルウェア) を ”強制的” にダウンロードさせて感染 させることです。

エクスプロイトキットの攻撃経路はネットサーフィン中

Web アプリケーションであるエクスプロイトキットに出会うタイミングは 2 パターンあります。

  1. Web 広告のサーバーから不正なコンテンツが配信される
    国内外の一般サイトで目にする Web 広告を介して攻撃処理が流れてくる
    → 広告配信システムを悪用する 「マルバタイジング」 と呼ばれる攻撃

  2. 改ざん被害を喰らってる Web サイトを運悪く閲覧する
    企業や個人が管理する国内外の Web サイトが第三者にハッキングされている

【マルバタイジングとは?】
マルバタイジング 「malvertising」 は、「malware」 + 「advertising」 に由来する造語

Q. 広告のバナーやリンクをユーザーがポチッとクリックしなければ危険性なし?
いいえ。様々な広告コンテンツを ”表示” するブラウザの内部処理だけで攻撃を喰らうリスクがあります。

Q. コンテンツブロッカー機能を持つブラウザ拡張機能は有効?
広告コンテンツの表示を抑制する拡張機能によって、広告配信サーバーから流れてくるエクスプロイトキットの遭遇率を下げる効果は十分にあります。ただ、正規の Web サイトそのものがハッキングされるシチュエーションでは効果が期待できません。

エクスプロイトキットに遭遇するのはブラウザでてネットサーフィン中というのが基本なので、次のような作業で出会うことはありません。

  • 善人を装う詐欺師から DM で受け取ったファイルをダブルクリックして開く

  • メールソフトや Web メール上で受信したEメールの本文を読む

  • Eメールの添付ファイルをダブルクリックして開く

  • パソコンの USB ポートに USB フラッシュメモリを接続する

ただ。、エクスプロイトキットはユーザーの目視で明らかに異常に気づける脅威でもなく、Windows ユーザーさんに対して次のウイルス対策を提案するのは 無謀 です。

× 注意を払ってエクスプロイトキットの攻撃をササッとよける
× ブラウザで怪しい海外サイトやエッチなサイトを閲覧しない

無料! エクスプロイトキットに効果的なウイルス対策 2 つ

エクスプロイトキットを採用してウイルス感染攻撃が成功するか失敗するか?

その成否は PC にセキュリティ上の欠陥 (脆弱性 : ぜいじゃくせい) が存在し、それを上手く悪用できるかどうか次第です。

ところが、脆弱性は無料で提供されている最新バージョンで修正済み なので、ブラウザの脆弱性を解消してエクスプロイトキットを無に帰すウイルス対策が重要です。

ウイルス対策に最新の Windows ブラウザを使う】
Microsoft Edge (Chromium ベース)
Google Chrome
Mozilla Firefox

一方、サポート終了済みで旧式のブラウザやプラグインは、エクスプロイトキットの影響を受けやすく使用禁止です。

ウイルス対策に旧 Windows ブラウザを使用しない】
Internet Explorer … 2022年6月にマイクロソフトのサポート終了
Microsoft Edge 従来版 … 2021年3月にマイクロソフトのサポート終了

【Internet Explorer 向けの旧プラグインも使用しない】
Adobe Flash Player … 2020年12月に Adobe のサポート終了
Adobe Reader
Adobe Shockwave Player … 2019年4月に Adobe のサポート終了
Oracle Java (JRE)
Microsoft Silverlight … 2021年10月にマイクロソフトのサポート終了

Microsoft Defender を代表的に、Windows 10 や Windows 11 には何かしらセキュリティソフトがインストール済みだけど、その導入の効果に 脆弱性そのものは解消しない ところがポイントです。

エクスプロイトキットの対策?
セキュリティ製品の購入を提案するだけの 「広告」 ページに注意


エクスプロイトキットのウイルス対策は無料♪

Windows 10 や Windows 11 でエクスプロイトキットの脅威に 100% 対抗する効果的な 無料ウイルス対策 2 つ がこれ!

  1. 毎月の定例更新 Windows Update は実施できていますか?
    https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx

  2. インストールしてあるブラウザは最新版に更新できていますか?
    「Microsoft Edge」 「Google Chrome」 「Mozilla Firefox」

マイクロソフトのサポートが終了した Windows XPWindows VistaWindows 7Windows 8、大昔にもてはやされて狙われやすいブラウザ Internet Explorer は、攻撃に悪用されうる脆弱性の修正がもう行われません。

これは脆弱性が新たに発見されていく時間の経過に伴って使用するリスクが上昇していき、すでに危険レベルが振り切れているから、「危険! 使用しないで!」 という呼びかけになっています。

(参考) エクスプロイトキットの種類とウイルス検出名

エクスプロイトキットは 1 つだけではなく、複数のブランドが存在します。

特にロシア語圏の攻撃者グループが、マルウェア (コンピュータウイルス) を拡散させたいサイバー犯罪者を相手にエクスプロイトキットを使用する権利を貸し出すサービスを提供しているみたいです。

Internet Explorer (CVE-2016-0189 CVE-2018-8174) / Microsoft Edge (VE-2016-7200) / Flash Player (CVE-2015-3105 CVE-2015-5119 CVE-2018-4878) / Java (CVE-2011-3544 CVE-2012-4681 CVE-2013-0422)
〔2018年〕 エクスプロイトキットで悪用される脆弱性
(出典 Malwarebytes

RigEK Silverlight (CVE-2016-0034) / Neutrino Flash (CVE-2016-4117 CVE-2016-1019) / Angler Flash (CVE-2016-4117 CVE-2016-1001) Silverlight (CVE-2016-1034) / Sundown Silverlight (CVE-2016-0034) / Nuclear Flash (CVE-2016-1019) / Magnitude Flash (CVE-2016-4117 CVE-2016-1019)
〔2016年〕 エクスプロイトキットで悪用される脆弱性
(出典 Trend Micro


〔2015年〕 エクスプロイトキットで悪用される脆弱性
(出典 Malwarebytes

ネットサーフィン中にエクスプロイトキットが仕掛けられた不正なページが読み込まれると、「実行ファイルをダウンロードして保存していいか?」 とか 「ダウンロードされた実行ファイルを起動してもいいか?」 といった確認の場面が一切なく、コンピュータウイルス (マルウェア) の感染が実現しうることになります。

  • エクスプロイトキットを介してマルウェアに強制感染する
    UrsnifRamnit、Dridex、AZORult、Smoke Loader、Phorpiex、Fareit、RedLine など

  • エクスプロイトキットを介してランサムウェアに強制感染する
    GandCrabLocky、Mole Ransomware、CerberSodinokibi など

ユーザーは実被害が発生して始めて異変に気づくかもしれないし、あるいは感染した事実にすら気づけない恐れもあります。


現役の 「RIG Exploit Kit」 で悪用される脆弱性

2022 年においても攻撃が観測されているというエクスプロイトキットの 1 つ 「RIG Exploit Kit」 (RIG EK) は、ブラウザの 「Internet Explorer」 「Microsoft Edge 従来版」、アドオンの 「Adobe Flash Player」 の脆弱性を悪用します。

【エクスプロイトキット 「RIG Exploit Kit」 で悪用される脆弱性】

CVE-2021-26411 「Microsoft Internet Explorer 9、11、Microsoft Edge には、メモリ破損の脆弱性が存在します。」

CVE-2020-0674 「Microsoft が提供する Internet Explorer の JScript スクリプトエンジンには、メモリ破損の脆弱性が存在します。」

CVE-2019-0752 「Internet Explorer 10 および 11 には、スクリプトエンジンが Internet Explorer のメモリ内のオブジェクトを処理する方法に不備があるため、リモートでコードを実行される脆弱性が存在します。」

CVE-2018-8174 「複数の Microsoft Windows 製品には、VBScript エンジンのメモリ内のオブジェクト処理に不備があるため、リモートでコードを実行される脆弱性が存在します。」

CVE-2016-0189 「Internet Explorer 9 から 11 およびその他の製品で使用される Microsoft (1) JScript および (2) VBScript エンジンには、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。」

CVE-2015-2419 「Microsoft Internet Explorer 10 および 11 の JScript 9 には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態にされる脆弱性が存在します。」

CVE-2015-0313 「Adobe Flash Player には、ヒープベースのバッファオーバーフローの脆弱性が存在します。」 「Windows 版と Macintosh 版の Adobe Flash Player 16.0.0.296 以前のバージョンに重大な脆弱性 (CVE-2015-0313) が存在します。 この脆弱性に付け込まれた場合、クラッシュを引き起こしたり、場合によっては対象システムが攻撃者に乗っ取られたりするおそれがあります。」

CVE-2014-6332 「複数の Microsoft 製品の OLE には、任意のコードを実行される脆弱性が存在します。」

CVE-2013-2551 「Microsoft Internet Explorer 6 から 10 は、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される脆弱性が存在します。」

https://www.prodaft.com/resource/detail/rig-rig-exploit-kit-depth-analysis
【エクスプロイトキット 「Spelevo Exploit Kit」 で悪用される脆弱性】

CVE-2018-8174 「複数の Microsoft Windows 製品には、VBScript エンジンのメモリ内のオブジェクト処理に不備があるため、リモートでコードを実行される脆弱性が存在します。」

CVE-2018-15982 「Adobe が提供する Flash Player および Flash Player Installer には、次の脆弱性が存在します。Adobe Flash Player に解放済みメモリの使用 (Use-after-free) (CWE-416) - CVE-2018-15982」 「Windows 版、macOS 版、Linux 版、および Chrome OS 版の Adobe Flash Player を対象としたセキュリティアップデートが公開されました。これらのアップデートは、Adobe Flash Player におけるクリティカルな脆弱性と、Adobe Flash Player における重要の脆弱性に対処します。この脆弱性が悪用されると、現在のユーザーのコンテキストでの任意のコード実行や権限昇格の原因になりかねません。」

https://blog.talosintelligence.com/spelevo-exploit-kit/

脆弱性の ID 番号は 「CVE-[報告された西暦]-****」 になっているので、エクスプロイトキットで悪用される脆弱性に対処する無料ウイルス対策 ができている Windows 10 や Windows 11 ならば影響なしです。

サポート切れの Windows は危険という理由
2021年4月 CVE-2021-26411 に対処するセキュリティ更新プログラムを配信
2020年2月 CVE-2020-0674 に対処するセキュリティ更新プログラムを配信
(サポート終了済みだった Windows 7 にも特別に配信された)
2020年1月17日 マイクロソフトが未修正の脆弱性 CVE-2020-0674 を報告
2020年1月14日 マイクロソフトによる Windows 7 のサポート終了
2017年4月 マイクロソフトによる Windows Vista のサポート終了
2014年4月 マイクロソフトによる Windows XP のサポート終了


エクスプロイトキットの攻撃は意外と身近!?

エクスプロイトキット 「RIG Exploit Kit」 (RIG EK) を使ってネットバンキング不正送金被害に繋がるコンピュータウイルス (マルウェア) を感染させるサイバー攻撃が確認され、ここに日本の複数の正規サイトが意図せず加担していた おっかない事案が報告されています。

RIG-EK 改ざんサイト無害化の取組 (JC3 日本サイバー犯罪対策センター)
https://www.jc3.or.jp/threats/archive/topics/op_rigek.html

JC3 では、攻撃ツール RIG-EK を使用した不正プログラムの感染拡大を把握しており、日本の改ざんサイトの無害化に取り組んでおります。
JC3 では、不正送金事犯情報分析プロジェクト及び脅威情報活用ワーキンググループの参加企業が中心となり、全国の RIG-EK 改ざんサイトに関する情報を収集してきました。これらの改ざんされたウェブサイトを閲覧したユーザは、不正プログラムに感染してインターネットバンキングの不正送金などの犯罪の被害にあうおそれがあります。
ウイルス感染を目的としたウェブサイト改ざんの対策について (警察庁)
https://www.npa.go.jp/cyber/policy/pdf/rig.pdf

一般財団法人日本サイバー犯罪対策センター (JC3) と連携した分析により、平成28年9月頃から、「RIG-EK」 と呼ばれる攻撃ツールが組み込まれたサイトに誘導するよう改ざんされたウェブサイトが急増していることが確認された。
国内の改ざんされたサイトの管理者が判明した 298 サイトについて、38 都道府県警察において、当該サイト管理者等に対して、改ざん状況の確認、サイトの修復の依頼等の対策を実施。


エクスプロイトキットのウイルス検出名

マイクロソフトのセキュリティソフト Windows Defender が定義するエクスプロイトキットのウイルス検出名です。

Nuclear Pack
Exploit:JS/Neclu Exploit:HTML/Neclu Exploit:SWF/Neclu

・ Angler Exploit Kit
Exploit:JS/Axpergle Exploit:HTML/Axpergle Exploit:SWF/Axpergle

・ Nutrino Pack
Exploit:HTML/NeutrinoEK Exploit:JS/NeutrinoEK TrojanDownloader:JS/NeutrinoEK Exploit:JS/Urntone

・ FlashPack Exploit Kit
Exploit:JS/Fashack Exploit:HTML/Fashack Exploit:SWF/Fashack Exploit:Java/Fashack

・ GongDa Pack, KaiXin Exploit Kit → 珍しい中国製
Exploit:JS/DonxRef VirTool:JS/DonxRef Exploit:JS/Kaixin Exploit:HTML/Kaixin

・ Fiesta Exploit Kit
Exploit:JS/Fiexp Exploit:HTML/Fiexp Exploit:Win32/Fiexp Exploit:Java/Fiexp

・ RIG Exploit Pack, Goon/Infinity Exploit Kit
Exploit:JS/Meadgive Exploit:HTML/Meadgive Exploit:SWF/Meadgive TrojanDownloader:HTML/Meadgive Exploit:Java/Meadgive TrojanDownloader:VBS/Meadgive Exploit:JS/Rigploit

・ Magnitude Exploit Kit
Exploit:HTML/Pangimop Trojan:JS/Pangimop Behavior:Win32/Pangimop

・ Stegano Exploit Kit, Astrum
Exploit:HTML/SteganoEK

・ Sundown Exploit Kit
Exploit:HTML/SundownEK Exploit:JS/SundownEK

・ Sweet Orange Exploit Kit
Exploit:JS/Anogre Exploit:Java/Anogre Exploit:SWF/Anogre Exploit:Win32/Anogre Exploit:Win64/Anogre TrojanDownloader:Win32/Anogre

・ Blackhole Exploit Kit, Cool Exploit Kit → 開発者とされるロシア人が摘発された
Exploit:JS/Blacole Exploit:Java/Blacole Exploit:SWF/Blacole Trojan:JS/BlacoleRef Trojan:HTML/BlacoleRef Exploit:JS/Coolex Exploit:JS/Aimesu Exploit:JS/Blacole.GB

・ その他
Exploit:HTML/Wecalo Exploit:HTML/Tunec

エクスプロイトキットが仕掛けられた不正なページの <JavaScript> タグ、あるいは <iframe> タグのウイルス検出名です。

Exploit:HTML/IframeRef
Exploit:HTML/IframeRef.gen
Exploit:HTML/IFrame
Trojan:JS/IframeRef
Trojan:JS/Redirector
Trojan:JS/Quidvetis
Trojan:JS/Seedabutor
Trojan:HTML/Redirector

これらのウイルス検出名をキーワードに Google や Yahoo! で調べると、評価の低いシステムメンテナンスソフト SpyHunter 5Wiper SoftReimage Repair をダウンロードするよう誘う 偽セキュリティ情報サイト (詐欺サイト) がヒットします。

関連するブログ記事

タグ :
パソコン