トレンドマイクロは11月28日、Webサイトの改ざんを起点とするサイバー攻撃について、最新情報をブログで公開した。
トレンドマイクロは、2014年10月の1カ月間に国内のIPアドレスからアクセスされた攻撃サイトのURLを抽出。その結果、攻撃サイトとして1200以上のドメインに対し、日本国内から約3万8000件のアクセスがあった。また、攻撃サイトで使用されている脆弱性攻撃キットを分類したところ約80%が「Rig Exploit Kit」が使われていた。
同社は「Rig Exploit Kit」を使用した攻撃サイトに対し、その攻撃手法の解析。「Rig Exploit Kit」に限らず、多くの脆弱性攻撃キットではアクセスしてきた利用者の環境をJava Scriptによる判定で確認し、攻撃可能な脆弱性の攻撃コー(EXPLOIT)を送り込む機能を持っていることがわかった。
脆弱性攻撃キットが複数の脆弱性を攻撃する仕組みを確認したところ、IE、Java、Silverlight、Adobe Flash といったWebの利用時によく使われる技術の脆弱性を一通り狙う。そして、1つでもクライアント側でアップデートが行われていなかった場合には、攻撃が発動して不正プログラムが侵入する。
また、脆弱性の有無だけが攻撃の基準ではなく、ウイルス対策製品が導入されている環境には攻撃を行わないという条件も入っていた。ウイルス対策製品を入れていないセキュリティ意識の甘い環境を狙うという意図に加え、セキュリティベンダーに対し攻撃が発覚しないようにという意図もあるものと推測されるという。
明確にセキュリティベンダーによる調査の妨害を狙った活動としては、同じ IPアドレスからのアクセスについて最初の 1回のみ攻撃スクリプトが実行される条件があることを確認した。
どの脆弱性攻撃キットを使用しているかに関わらず、攻撃者は IE、Java、Silverlight、Adobe Flash と言ったインターネット上でよく使用される製品の脆弱性をすべて攻撃する。
1つの製品でもアップデートが行われていなかった場合には、脆弱性攻撃が成功し不正プログラム感染被害に遭うため、インターネット利用者はこれらすべての製品のアップデートする必要がある。
特に、IE以外の Java、Adobe Flash、Silverlight はネット利用者にとって使用している意識が薄いものであり、アップデートが行われていない可能性が高いという。Javaと Flash Player の自動更新するように呼びかけた。