シマンテックは同社のセキュリティブログにおいて、Internet Explorerなどの脆弱性を突く「Sundown悪用ツールキット」の動向を述べている。
攻撃の影響を受ける地域としては、北米大陸、南米大陸、ユーラシア大陸といったように、世界で広く分布。中でも日本の割合が高く、約50%を占める。日本のユーザーが狙われていること、そしてセキュリティが甘いと認識されていることが見て取れる。
Sundown悪用ツールキットは、攻撃者がさまざまなWebサイトに仕掛けている罠。正規のWebサイトが改ざんされ、Sundown悪用ツールキットが忍び込んでいるケースも多い。そして、アクセスしてきたユーザーのPC環境を調査し、各種ソフトウェアの脆弱性やセキュリティソフトの存在を確認する。攻撃の対象になり得ると判断すると、ユーザーのPCにマルウェア(バックドア型トロイの木馬)を送り込んで感染させる仕組み。マルウェアに感染したユーザーのPCは、攻撃者からリモートコントロールされたり、情報を盗み出されたりする。
シマンテックによると、Sundown悪用ツールキットは、Internet Explorerの脆弱性「CVE-2015-2444」を攻撃する悪用コードをいち早く統合。悪用コードが公開されたのは2015年8月12日で、同日から翌日にはすでに実際の攻撃に使われた。Microsoftも緊急のセキュリティ更新プログラム(MS15-079)を同日に配布済みだが、この悪用スピードに関して、シマンテックは「異例の速さ」としている。
上記の「CVE-2015-2444」以外に、Sundown悪用ツールキットが攻撃するソフトウェアの脆弱性は以下の通り。各ソフトウェアとセキュリティソフトは常に最新の状態に保つようにしていただきたい。
- Adobe Flash Player Use After Free Memory Corruption Vulnerability (CVE-2015-0311)
- Adobe Flash Player APSB15-06 Multiple Remote Code Execution Vulnerabilities (CVE-2015-0359)
- Adobe Flash Player Remote Code Execution Vulnerability (CVE-2015-0313)
- Adobe Flash Player and AIR Unspecified Heap Based Buffer Overflow Vulnerability (CVE-2014-0556)
- Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-6332)
- Microsoft Internet Explorer Information Disclosure Vulnerability (CVE-2013-7331)