トレンドマイクロ、Angler Exploit Kitを悪用してPOSシステムを事前調査をする攻撃を確認
トレンドマイクロはAngler Exploit Kit を悪用してPOSシステムに不正プログラムを侵入させ、事前調査を実行する攻撃を確認した。この不正プログラムはシステムに侵入すると複数の条件でPOS端末又はPOSシステムの一部であるかを確認して、条件にあった特定の不正プログラムをダウンロードする。同社が今回の感染連鎖の検証を行った結果、事前調査としてWebサイトや企業情報の検索を行っていることが判明した。
今回のAngler Exploit KitはAdobe Flash Player のCVE-2015-0336とCVE-2015-3104の脆弱性が悪用されてTROJ_RECOLOAD.Aに感染している。この不正プログラムはファイルを用いずに感染する機能を利用するため、セキュリティ製品での検出が困難な場所に感染する。また、事前調査はユーザに気づかれないようにする必要があるため、不正活動実行の前に仮想化やサンドボックスなど不正プログラムを解析するモジュールが読み込まれていないか、ユーザが不正プログラムの解析に関連したユーザ名をもっていないかを確認し、条件に合う場合には不正活動を実行しない。条件にあわないと、どの不正ファイルが感染システム端末に適しているのかを決定する。
エクスプロイトキットの利用はシステム端末を狙う範囲拡大にとても有効となっている。また、不正プログラムの作成者はセキュリティ対策製品にとても注意深くなっている。エクスプロイトキットは脆弱性を悪用して不正プログラム感染させるため、ユーザは公開された修正プログラムをきちんと適用する必要がある。但しこれだけではゼロデイ脆弱性の悪用の可能性もあるため、不審なWebサイトにアクセスはしないようにするなどのセキュリティ対策も必要となる。またPOSシステム保護のため、管理者は脆弱性に対処してOSをより強固にし、Webフィルタリングでアクセスサイトの制限をし、複数のシステムやサービスを統合したネットワークセキュリティ対策製品を使用するよう推奨している。
