日本国内に存在する Rig Exploit Kit への誘導サイトの撲滅
更新日: 2017年02月02日
2016年 9月頃より、Rig Exploit Kit (RIG - EK) によるランサムウェア CryLocker、インターネットバンキングマルウェア Gozi などへのマルウェア感染が報告されています。Rig Exploit Kit を使用したマルウェア感染には、日本国内に存在する誘導サイト (攻撃サイトにアクセスするようページ改ざんされた正規ウェブサイト) が利用されています。
HIRT-PUB17003 では、日立が加盟している一般財団法人日本サイバー犯罪対策センタ (JC3) が取り組んでいる日本国内に存在する Rig Exploit Kit への誘導サイトの撲滅活動について紹介します。
Rig Exploit Kit を使用したマルウェア感染拡大の仕組みを図 1に示します。 ページ改ざんされた正規ウェブサイト (誘導サイト) を閲覧したユーザは、Rig Exploit Kit が配備された攻撃サイトに誘導され、マルウェアに感染してしまう可能性があります。 感染した場合には、金融口座の関連情報が窃取されてインターネットバンキングの不正送金や、データが勝手に暗号化されて復号のための金銭を要求されるランサムウェアなどの被害に合う恐れがあります。
図 1:Rig Exploit Kit を使用したマルウェア感染拡大の仕組みと JC3 での取り組み
JC3 では、攻撃ツール Rig Exploit Kit を使用したマルウェア感染拡大を把握しており、不正送金事犯情報分析プロジェクトおよび脅威情報活用 WG の参加企業が中心となり、日本国内に存在する誘導サイトに関する情報を収集してきました。 JC3 が進めている「 RIG - EK 改ざんサイト無害化の取組 (図 1の青点線枠) 」は、収集した日本国内に存在する誘導サイトに関する情報を警察に提供し、全国の都道府県警察からサイト管理者に対して誘導サイトの無害化 (正規ウェブサイトの改ざんされたページを復旧する) 対策を実施してもらうとともに、攻撃活動の全容解明に取り組むというものです。
ウェブサイト管理者は、ウェブサイトが改ざんされ、誘導サイトとして悪用されていないことを確認してください。また、下記に示すサイトの総合的なセキュリティ対策を実施してください。
インターネット利用者は、ウイルス対策ソフトを導入し、定義ファイル (パターンファイル) を最新状態に更新し、マルウェアに感染していないかを定期的にチェックしてください。また、攻撃ツール Rig Exploit Kit を使用したマルウェア感染の被害に合わないようにするためにも、端末で使用している OS (特に、Windows)、ブラウザ (特に、Internet Explorer)、ブラウザのプラグイン (特に、Adobe Flash Player) や各種ソフトウェアを最新バージョンにし、常に、最新の状態を維持してください。
担当:寺田、大西、関口竜也(日立システムズ)
グローバルサイン:
重要な電子文書にデジタル署名。広報にも役立っています
