JUGEM、HISはウェブサイトを閲覧しただけでマルウェアに感染する危険性があったという。しかし、今回のバッファローについては、ウェブサイトに保管してあるプログラムが書き換えられ、使用したユーザーが感染するという脆弱性をつかない新たな手法になっている。
バッファローによると委託先であるCDNetworksのサービスを利用していて改ざんにあったということである。この後CDNetworks自身によるコンテンツアップロードサービスでの改ざん被害の公表があったようだが、詳細は不明。
攻撃対象範囲も攻撃手法も不明なため、利用者側としてはどういうサービスに気を付ければよいのか、どういう自衛手段を講じればよいのかがわからない。
感染するとウイルスは、オンラインバンキングにアクセスした際に、ログイン情報やID、パスワードなどが不正に取得し、最悪の場合不正送金を行う可能性があるとのこと。
CDNetworksを利用しているすべてのコンテンツの安全性が確認されたわけでもなく、対策が講じられたわけでもなく、CDNetworks以外の同様のサービスも同様の改ざんを受けている可能性も否定できないだけに、しばらくは大手の安心できるサイト以外からのダウンロードは控えた方がよさそうだ。
6/11に日本マイクロソフトのWindows Updateによるセキュリティパッチの提供が行われるが、改ざんを受けてなければいいのだが...
日本のオンラインバンキングを狙う「Infostealer.Bankeiya」、被害が頻発
今回感染が確認されたマルウェア「Infostealer.Bankeiya」は、日本のオンラインバンキングに特有の機密情報を監視して盗み取る点が特徴で、5月にはブログサービスの「JUGEM」、旅行会社のエイチ・アイ・エス(H.I.S.)、動画サイト「PANDORA.TV」などでも、同じマルウェアを感染させようとする攻撃が確認されている。シマンテックによると、Infostealer.Bankeiyaは2月にInternet Explorerの脆弱性を悪用する攻撃で確認されており、5月のJUGEMやH.I.S.の改ざんではFlash Playerの脆弱性を悪用して、閲覧したユーザーに感染させようとしている。
一方、今回のバッファローへの攻撃では脆弱性の悪用ではなく、配布しているインストーラーを改ざんするという方法で感染の拡大を図っている。
インストーラーの改ざん方法は2通りあり、1つ目の方法では自己解凍形式のRARファイル「setup.exe」が、インストール処理中に悪質な.dllファイルを実行するように改ざんされていた。この.dllファイルは別の.dllファイルを投下するトロイの木馬であり、投下される.dllファイルがInfostealer.Bankeiya.Bをダウンロードしてインストールする。ファイルが改ざんされたため、デジタル署名証明書は破損しているという。
コメント (0件)