初回投稿 2014年4月5日

エクスプロイトキットとは? サイト見るだけウイルス感染の対策3つ2019

イメージ 3

次のセキュリティ用語を目にするけど、いったい何ゾ?

エクスプロイトキット
(Exploit Kit)

または

エクスプロイトパック
(Exploit Pack)

一般的な Web ベースのエクスプロイトキットとは?

Windows XP/Vista/7/8/10 パソコンをバシーッと攻撃する Web アプリケーションを指し、ターゲットの PC に何かしらコンピュータウイルスを送り込んで感染させる場面でエクスプロイトキットが使われています。

  • Windows … エクスプロイトキットの最大の主戦場

  • macOS (Mac OS X)
    Mac 向けバックドア Flashback 感染事例がだいぶ前にアリ
    [ウイルス感染に悪用された脆弱性 → Java for Mac の欠陥]

  • Android OS
    警察機関を騙ってスマホ/タブレット/スマートTVの画面をロックするランサムウェア感染事例が過去にアリ
    [ウイルス感染に悪用された脆弱性 → Android 標準ブラウザの欠陥]


エクスプロイトキットで攻撃されるタイミングはいつ?

エクスプロイトキットに出会うタイミングは2つあります。

  1. ネットサーフィン中に…
    改ざん被害を喰らってる一般サイトをたまたま閲覧する
    └ 企業や個人が運営するウェブサイトがハッキングされるのは世界中で日常茶飯事

  2. ネットサーフィン中に…
    正当な広告配信サーバーを介して裏でコッソリ読み込まれる
    └ 一般サイトに掲載されている広告コンテンツから不正な攻撃処理が配信される悲劇

それこそ、「受け取ったEメールの文章を単に読む」「Eメールの添付ファイルをダブルクリックして開く」 といった Windows の操作から、エクスプロイトキットに出会うパターンはまずありません。

☆ エクスプロイトキットの役目
→ ネット閲覧で欠かせない ブラウザ を介しての 「自動ウイルス配信システム」

ネットサーフィン中に偶発的に突然出会ってしまうパターンが多いエクスプロイトキットという脅威の前に、次のようなウイルス対策は、完全に 無謀 です。 

ユーザーが常に注意を払ってエクスプロイトキットの攻撃を回避する
怪しいサイト にアクセスしないことでエクスプロイトキットに出会わないようにする

エクスプロイトキットのブランドと検出名

エクスプロイトキットは1つではなく、複数のブランドが存在します。

特に、ロシア語圏のクラッカーが、エクスプロイトキットを貸し出すサービスを有償で提供しているみたい。

イメージ 4
2018年7月  エクスプロイトキットで悪用される脆弱性
(出典 Malwarebytes

イメージ 2
2016年上半期 エクスプロイトキットで悪用される脆弱性
(出典 Trend Micro

イメージ 1
2015年3月 エクスプロイトキットで悪用される脆弱性
(出典 Malwarebytes

エクスプロイトキットが仕掛けられたページが読み込まれるとどうなる?

Windows ユーザーさんに対して確認する場面なく、マルウェアがババァ~ンと強制的に起動して感染する から、おっかない。 <この攻撃手口はセキュリティ用語で ドライブバイ・ダウンロード

  • エクスプロイトキットでランサムウェア感染!?
    GandCrabLocky、Mole Ransomware、CerberSodinokibi など

  • エクスプロイトキットでネットバンキングウイルス、スパイウェア、ワームに感染!?
    UrsnifRamnit、AZORult、Smoke Loader、Phorpiex、Fareit などなど


エクスプロイトキットのウイルス検出名

マイクロソフトのセキュリティ製品で定義されてる主要エクスプロイトキットのウイルス検出名です。

【Nuclear Pack】
Exploit:JS/Neclu Exploit:HTML/Neclu Exploit:SWF/Neclu

【Angler Exploit Kit】
Exploit:JS/Axpergle Exploit:HTML/Axpergle Exploit:SWF/Axpergle

【Nutrino Pack】
Exploit:HTML/NeutrinoEK Exploit:JS/NeutrinoEK TrojanDownloader:JS/NeutrinoEK Exploit:JS/Urntone

【FlashPack Exploit Kit】
Exploit:JS/Fashack Exploit:HTML/Fashack Exploit:SWF/Fashack Exploit:Java/Fashack

【GongDa Pack, KaiXin Exploit Kit】 ※ 珍しい中国製
Exploit:JS/DonxRef VirTool:JS/DonxRef Exploit:JS/Kaixin Exploit:HTML/Kaixin

【Fiesta Exploit Kit】
Exploit:JS/Fiexp Exploit:HTML/Fiexp Exploit:Win32/Fiexp Exploit:Java/Fiexp

【RIG Exploit Pack, Goon/Infinity Exploit Kit】
Exploit:JS/Meadgive Exploit:HTML/Meadgive Exploit:SWF/Meadgive TrojanDownloader:HTML/Meadgive Exploit:Java/Meadgive TrojanDownloader:VBS/Meadgive Exploit:JS/Rigploit

【Magnitude Exploit Kit】
Exploit:HTML/Pangimop Trojan:JS/Pangimop Behavior:Win32/Pangimop

【Stegano Exploit Kit, Astrum】
Exploit:HTML/SteganoEK

【Sundown Exploit Kit】
Exploit:HTML/SundownEK Exploit:JS/SundownEK

【Sweet Orange Exploit Kit】
Exploit:JS/Anogre Exploit:Java/Anogre Exploit:SWF/Anogre Exploit:Win32/Anogre Exploit:Win64/Anogre TrojanDownloader:Win32/Anogre

【Blackhole Exploit Kit, Cool Exploit Kit】 ※ 開発者とされる人物は逮捕
Exploit:JS/Blacole Exploit:Java/Blacole Exploit:SWF/Blacole Trojan:JS/BlacoleRef Trojan:HTML/BlacoleRef Exploit:JS/Coolex Exploit:JS/Aimesu Exploit:JS/Blacole.GB

エクスプロイトキットが設置されてる不正なページをブラウザ内部で読み込ませる不正な <JavaScript>タグ や <iframe>タグ のウイルス検出名です。

Exploit:HTML/IframeRef Exploit:HTML/IframeRef.gen Exploit:HTML/IFrame Trojan:JS/IframeRef Trojan:JS/Redirector Trojan:JS/Quidvetis Trojan:JS/SeedabutorTrojan:HTML/Redirector

なお、このウイルス検出名で Google や Yahoo! を検索してみると、有償のセキュリティ製品 SpyHunterWiperSoftReimage Repair をダウンロードするよう仕向ける 詐欺サイト が大量ヒットします。

ほとんど無益な情報がダラダラ書かれてある 詐欺サイト は、長い文章を読む価値もなく単なる時間のムダです。

エクスプロイトキットの悪用経路は? IE11 & Flash

エクスプロイトキットを使った攻撃の場面でセキュリティ上の欠陥を悪用されるソフトウェアの種類は2タイプあります。

  1. インターネットブラウザ本体

  2. ブラウザ上で動作するプラグイン
    → プラグインはブラウザの種類を選ばず攻略できうるから都合が良い

この欠陥のことをセキュリティ用語で 脆弱性(ぜいじゃくせい、×きじゃくせい)と呼び、その 脆弱性は最新バージョンで修正されていて完全に解決済み の場合が多いです。


狙われる有名な Windows ソフトウェア

具体的に、狙われるソフトウェアを名指しすると次の通りです。 (赤色は悪用される攻撃経路の定番)

【ブラウザ本体】
Internet Explorer 11

Google Chrome
Mozilla Firefox
Microsoft Edge

【ブラウザのプラグイン】
Adobe Flash Player (→ 2020年12月末サポート終了)
Adobe Reader
Adobe Shockwave Player
Oracle Java (JRE)
Windows Media Player
Microsoft Silverlight
Apple QuickTime

どこぞの怪しい無名なソフトではないです。

多くのユーザーを抱えていて影響度が大きく、”安全” なソフトウェアの脆弱性を突く攻撃処理がエクスプロイトキットで広く採用されます。 86c89d05.gif<2018、2019年は IE11 と Flash の2つ

エクスプロイトキットに対抗するウイルス対策3つ

ということで、エクスプロイトキットによるドライブバイ・ダウンロード攻撃が成功裏に終わるかどうかの運命は?

それは 旧バージョンに存在する脆弱性が解消できているか です。

ネットサーフィン中に意図せず出会ってしまうエクスプロイトキットを意識して避けることは現実性がないからどうでもよく、ウイルス対策のキモは、「エクスプロイトキットにブチ当たっても攻撃は不成立に終わる」 ことへ持っていき、ウイルス感染100%回避が実現されます。

更新済みかどうか確認する 最強のウイルス対策 でエクスプロイトキットに対抗しましょう♪

  1. 定例更新 Windows Update は実施できていますか?
    Internet Explorer 11、Microsoft Edge、Microsoft Silverlight など
    https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx

  2. Adobe Flash Player は最新版に更新できていますか?
    https://get.adobe.com/jp/flashplayer/about/


  3. Oracle Java (JRE)Adobe Reader は最新版に更新できていますか?
    → 利用場面がないなら PC からアンインストールして削除でも OK

Windows Update や Flash Player の更新作業そのものにお金はかからず、このウイルス対策は無料です。


<2021年 追記...>

2020年12月末に Adobe Flash Player のサポートが終了し、マイクロソフトのサポートが継続している Windows 8.1 や Windows 10 環境で、エクスプロイトキットに対抗するウイルス対策ははたして…?

  1. 定例更新 Windows Update は実施できている?

  2. ブラウザは最新版に更新できている?
    Google Chrome、Microsoft Edge、Mozilla Firefox
    IE11 → Windows 8 や Windows 10 での最新版は影響なし

サポート終了済みの Windows XP、Windows Vista、Windows 7 は、悪用されうる脆弱性の修正がまったく行われておらず、エクスプロイトキットの影響を強く受けるため危険です。 <特に Internet Explorer 11 の使用は止めないと

関連するブログ記事