各位
Web サイト経由でのマルウエア感染拡大に関する注意喚起
Web sites attempting to infect users with malware increasing
https://www.jpcert.or.jp/at/2009/at090023.txt
I. 概要
JPCERT/CC では、Web サイトが改ざんされ、意図しない JavaScript を埋め込まれる事象が発生しているとの報告を受けています。今週に入って報告数が急増しているため、広くユーザに対策を伝える目的で本注意喚起を発行致します。
ユーザが改ざんされた Web サイトを閲覧した場合、別の Web サイトに誘導され、結果としてマルウエアに感染する可能性があります。また、ベンダ等の情報によると、多数のユーザがマルウエアに感染し、コンピュータが起動不能となる事象が発生しています。これらは上記改ざんされた Web サイトを閲覧した結果によるものと思われます。
このマルウエアに感染するとコンピュータが起動不能になるなど大きな影響を受ける可能性があるため、以下の対策が完了しているか否かを確認の上、対策が未実施である場合には速やかに対策を実施してください。
II. 対策
JPCERT/CC では、この攻撃で Adobe Flash Player、Adobe Acrobat、AdobeReader の脆弱性が使用されていることを確認しています。Adobe FlashPlayer、Adobe Acrobat、Adobe Reader を最新のバージョンに更新してください。
[Adobe Acrobat、Adobe Reader]
メニューの"ヘルプ (H)" -> "アップデートの有無をチェック (U)" をクリッ
クし、製品を最新に更新してください。更新が不可能な場合は、以下の URL
から最新の Adobe Reader 及び Acrobat をインストールしてください。
Adobe.com - New downloads
http://www.adobe.com/support/downloads/new.jsp
[Adobe Flash Player]
以下の URL にて Flash Player のバージョンを確認してください。
Adobe Flash Player:Version Information
http://www.adobe.com/jp/software/flash/about/
インストールされている Flash Player が最新でない場合は、以下の URL よ
り最新の Flash Player をインストールしてください。
Adobe Flash Playerのインストール
http://get.adobe.com/jp/flashplayer/
* 更新: 2009年12月24日追記 ****************2009年12月24日現在、以下の製品の脆弱性が使用されていることが確認されています。
[Java(JRE)]
以下の URL にて Java のバージョンを確認してください。(Java がインストールされていない環境では、Java のインストールが要求
される可能性があります。不要な場合は、インストールしないように注意
してください。)
Java ソフトウェアのインストール状況の確認:
http://www.java.com/ja/download/installed.jsp
インストールされている Java が最新でない場合は、以下の URL より最新のJava をインストールしてください。
全オペレーティングシステムの Java のダウンロード一覧
http://java.com/ja/download/manual.jsp?locale=ja&host=java.com
※ Java を最新に更新した場合、一部の Java 上で動作するアプリ
ケーションが動作しなくなる可能性があります。利用するアプリケー
ションへの影響を考慮した上で、更新を適用してください。
**************************************************
また、改ざんされたサイトの改ざん内容が更新され続けているため攻撃の手法が変わる可能性があります。使用するコンピュータの OS やインストールされているソフトウエアを最新のパッチを適用することをおすすめします。
Microsoft Update
https://update.microsoft.com/
III. 参考情報
Kaspersky Labs Japan
Gumblar に酷似、新たな脅威発生に警告
http://www.kaspersky.co.jp/news?id=207578788
セキュアブレイン
「Gumblarウイルス」と類似した新たな攻撃手法を確認 以前に感染したウェブサイトの1/3以上が再び改ざん被害に
http://www.securebrain.co.jp/about/news/2009/10/gred-gumbler.html
Microsoft
黒い画面にマウスカーソル (Win32/Daonol)
http://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
* 更新: 2009年10月28日追記 ****************
Adobe Reader / Acrobatを狙う攻撃が急増(続報)【Tokyo SOC Report】(IBM)
http://www-935.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1333854?cntxt=a1010214
**************************************************
* 更新: 2009年12月24日追記 ****************
IBM ISS
クライアントアプリケーションの脆弱性を狙う攻撃ツール JustExploit【Tokyo SOC Report】
http://www-935.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1333933?cntxt=a1010214
**************************************************
コンピュータウイルス「Win32/Daonol」に関するご注意 (Dell)
http://supportapj.dell.com/support/topics/topic.aspx/jp/shared/support/news/2009/20091022
電話お問い合わせ窓口の混雑について(お詫び) (富士通)
http://azby.fmworld.net/support/info/apology/20091022.html
【お詫び】電話お問い合わせ窓口の混雑について (NEC)
http://121ware.com/navigate/support/121cc/info/20091026/
コンピュータウイルス「Trojan.Win32/Daonol.H」について (東芝)
http://dynabook.com/assistpc/info/20091022.htm
【お詫び】VAIOカスタマーリンク電話相談窓口の混雑について (Sony)
http://vcl.vaio.sony.co.jp/iforu/hotnews/2009/10/003/
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2009-10-27 初版
2009-10-28 IBM 社の検知情報を追記
2009-12-24 対策と参考情報を追記
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2009-0023
JPCERT/CC
2009-10-27(初版)
2009-12-24(更新)
JPCERT/CC Alert 2009-10-27
Web サイト経由でのマルウエア感染拡大に関する注意喚起
Web sites attempting to infect users with malware increasing
https://www.jpcert.or.jp/at/2009/at090023.txt
I. 概要
JPCERT/CC では、Web サイトが改ざんされ、意図しない JavaScript を埋め込まれる事象が発生しているとの報告を受けています。今週に入って報告数が急増しているため、広くユーザに対策を伝える目的で本注意喚起を発行致します。
ユーザが改ざんされた Web サイトを閲覧した場合、別の Web サイトに誘導され、結果としてマルウエアに感染する可能性があります。また、ベンダ等の情報によると、多数のユーザがマルウエアに感染し、コンピュータが起動不能となる事象が発生しています。これらは上記改ざんされた Web サイトを閲覧した結果によるものと思われます。
このマルウエアに感染するとコンピュータが起動不能になるなど大きな影響を受ける可能性があるため、以下の対策が完了しているか否かを確認の上、対策が未実施である場合には速やかに対策を実施してください。
II. 対策
JPCERT/CC では、この攻撃で Adobe Flash Player、Adobe Acrobat、AdobeReader の脆弱性が使用されていることを確認しています。Adobe FlashPlayer、Adobe Acrobat、Adobe Reader を最新のバージョンに更新してください。
[Adobe Acrobat、Adobe Reader]
メニューの"ヘルプ (H)" -> "アップデートの有無をチェック (U)" をクリッ
クし、製品を最新に更新してください。更新が不可能な場合は、以下の URL
から最新の Adobe Reader 及び Acrobat をインストールしてください。
Adobe.com - New downloads
http://www.adobe.com/support/downloads/new.jsp
[Adobe Flash Player]
以下の URL にて Flash Player のバージョンを確認してください。
Adobe Flash Player:Version Information
http://www.adobe.com/jp/software/flash/about/
インストールされている Flash Player が最新でない場合は、以下の URL よ
り最新の Flash Player をインストールしてください。
Adobe Flash Playerのインストール
http://get.adobe.com/jp/flashplayer/
* 更新: 2009年12月24日追記 ****************2009年12月24日現在、以下の製品の脆弱性が使用されていることが確認されています。
[Java(JRE)]
以下の URL にて Java のバージョンを確認してください。(Java がインストールされていない環境では、Java のインストールが要求
される可能性があります。不要な場合は、インストールしないように注意
してください。)
Java ソフトウェアのインストール状況の確認:
http://www.java.com/ja/download/installed.jsp
インストールされている Java が最新でない場合は、以下の URL より最新のJava をインストールしてください。
全オペレーティングシステムの Java のダウンロード一覧
http://java.com/ja/download/manual.jsp?locale=ja&host=java.com
※ Java を最新に更新した場合、一部の Java 上で動作するアプリ
ケーションが動作しなくなる可能性があります。利用するアプリケー
ションへの影響を考慮した上で、更新を適用してください。
**************************************************
また、改ざんされたサイトの改ざん内容が更新され続けているため攻撃の手法が変わる可能性があります。使用するコンピュータの OS やインストールされているソフトウエアを最新のパッチを適用することをおすすめします。
Microsoft Update
https://update.microsoft.com/
III. 参考情報
Kaspersky Labs Japan
Gumblar に酷似、新たな脅威発生に警告
http://www.kaspersky.co.jp/news?id=207578788
セキュアブレイン
「Gumblarウイルス」と類似した新たな攻撃手法を確認 以前に感染したウェブサイトの1/3以上が再び改ざん被害に
http://www.securebrain.co.jp/about/news/2009/10/gred-gumbler.html
Microsoft
黒い画面にマウスカーソル (Win32/Daonol)
http://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
* 更新: 2009年10月28日追記 ****************
Adobe Reader / Acrobatを狙う攻撃が急増(続報)【Tokyo SOC Report】(IBM)
http://www-935.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1333854?cntxt=a1010214
**************************************************
* 更新: 2009年12月24日追記 ****************
IBM ISS
クライアントアプリケーションの脆弱性を狙う攻撃ツール JustExploit【Tokyo SOC Report】
http://www-935.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1333933?cntxt=a1010214
**************************************************
コンピュータウイルス「Win32/Daonol」に関するご注意 (Dell)
http://supportapj.dell.com/support/topics/topic.aspx/jp/shared/support/news/2009/20091022
電話お問い合わせ窓口の混雑について(お詫び) (富士通)
http://azby.fmworld.net/support/info/apology/20091022.html
【お詫び】電話お問い合わせ窓口の混雑について (NEC)
http://121ware.com/navigate/support/121cc/info/20091026/
コンピュータウイルス「Trojan.Win32/Daonol.H」について (東芝)
http://dynabook.com/assistpc/info/20091022.htm
【お詫び】VAIOカスタマーリンク電話相談窓口の混雑について (Sony)
http://vcl.vaio.sony.co.jp/iforu/hotnews/2009/10/003/
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2009-10-27 初版
2009-10-28 IBM 社の検知情報を追記
2009-12-24 対策と参考情報を追記
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/