2021年8月10日
イーセットジャパン株式会社

ESETのリサーチ部門、政府機関やECサイトを標的とする
新たなIISサーバーへの脅威を発見

インターネットインフォメーションサービス Webサーバーへの新たな3つの脅威
「IIStealer」 「IISpy」 「IISerpent」の解説と脅威軽減への推奨対策を紹介

サイバーセキュリティ業界のグローバルリーダーのESET（本社：スロバキア）は、これまで検出・文書化されていなかった10種類のマルウェアファミリーを発見したことを2021年8月6日に発表しました。ESETのリサーチ部門は、悪意ある何者かによりMicrosoft社のインターネットインフォメーションサービス（IIS）Webサーバーソフトウェアを利用し、脅威につながる拡張機能が実装されていることが明らかにしました。これらの脅威は、政府機関の電子メールやECサイトのクレジットカード情報などを標的としています。さらに、マルウェアの配信を支援しており、サーバーの通信を傍受し、改ざんを行っています。ESETのテレメトリ、ならびに、これらのバックドアを検出するためにESETの研究者が追加で実施したインターネット全体のスキャン結果によると、2021年にはMicrosoft Exchangeメールサーバーを標的とするエクスプロイトを介して、少なくとも5つのIISバックドアが拡散していました。

被害を受けた組織は、主に東南アジアの政府機関、カナダ、ベトナム、インドですが、米国、ニュージーランド、韓国などに所在するさまざまな業種の数十社も含まれています。

2021年8月6日、ESETは「ネイティブIISマルウェアの解析」に関するホワイトペーパー（英語のみ）を発行し、新たに特定された脅威の解説をしています。中でも特に注目すべき脅威であるIIStealer、IISpy、IISerpentについては、今後セキュリティブログで連載を開始します。ESETのIISマルウェアに関する調査結果は、Black Hat USA 2021で初めて公開されました。また、セキュリティコミュニティと情報を共有できるように、10月8日に開催されるVirus Bulletin 2021カンファレンスでも発表される予定です。

IISマルウェアは、サイバー犯罪、サイバースパイ、SEO詐欺などに幅広く悪用されていることが判明しましたが、いずれの場合もこれらのマルウェアの主な目的は、セキュリティが侵害されたIISサーバーに着信するHTTPリクエストを傍受し、これらのリクエストにサーバーが応答する方法を改変することです。ホワイトペーパーの著者であるESET研究者のZuzana Hromcováは次のように述べています。「インターネットインフォメーションサービスのWebサーバーは、サイバー犯罪やサイバースパイなどを目的とするさまざまな攻撃者に狙われています。Web開発者向けに拡張性を重視して設計されているこのソフトウェアのモジュラー型のアーキテクチャは、攻撃者にとっても有用なツールとなる恐れがあります。」

ESETは、IISマルウェアが動作する5つの主なモードを特定しました。

1. IISバックドアIISがインストールされているセキュリティが侵害されたコンピュータを、マルウェアのオペレーターが リモートから操作できるようにします。
2. IIS情報窃取型マルウェアセキュリティが侵害されたサーバーとそのサーバーにアクセスするユーザーとの通常の トラフィックを傍受し、ログイン認証情報や決済情報などを窃取します。
3. IISインジェクターサーバーにアクセスしたユーザーに送信されるHTTPレスポンスを変更し、悪意のあるコンテンツを送信します。
4. IISプロキシセキュリティが侵害されたサーバーを、ユーザーに気づかれることなく、別のマルウェアファミリーのコマンド＆コントロールインフラストラクチャの一部として悪用します。
5. SEO詐欺IISマルウェア検索エンジンに提供されるコンテンツを変更し、SERPアルゴリズムを操作して、攻撃者が意図する他のWebサイトが検索結果のランキングの上位に表示されるようにします。

Hromcováは、IISの脅威について次のように解説しています。「IISサーバーでセキュリティソフトウェアが実行されることはほとんどなく、攻撃者が気が付かれることなく、長期間活動することが容易になっています。Webポータルを管理している組織は、認証情報や決済情報などユーザーのデータ保護の観点から注目すべき問題です。Outlook on the web（Web版Outlook）を使用している組織も注意が必要です。Web版Outlookは、IISを利用しているため、スパイ活動の格好の標的になる恐れがあります。」

ESETは、IISマルウェアによる攻撃の影響を軽減するための次の4点の対策を推奨します。

• IISサーバーの管理者アカウントに一意で強力なパスワードと多要素認証を使用
• オペレーティングシステムは常に最新の状態で維持
• サーバーでWebアプリケーションファイアウォールとエンドポイントセキュリティソリューションを使用
• IISサーバー構成を定期的に確認し、インストールされているすべての拡張機能が正規のものであることを確認

ESETはホワイトペーパーの提供と同時に、今後ホワイトペーパーの内容をまとめたブログを公開します。

1. IIStealer:eコマーストランザクションに対するサーバーサイドの脅威 – クレジットカード情報を窃取するためにサーバートランザクションを傍受する悪意のあるIIS拡張機能（トロイの木馬）について
2. IISpy：フォレンジック機能に対応する複雑なサーバーサイドバックドア – セキュリティが侵害されたサーバーに常駐し長期的なスパイ活動を実施する悪意のあるIIS拡張機能（バックドア）について
3. IISerpent：マルウェアを利用したサービスとしてのSEO詐欺 – サードパーティーWebサイトのページ検索順位を操作するために使用される悪意のある拡張機能（サーバーサイドトロイの木馬）について

これらのIISの脅威に関する技術的な詳細については、ホワイトペーパー（英語のみ）をご覧ください。IIStealer、IISpy、IISerpentに関するフォローアップ記事は、今後イーセットジャパンセキュリティブログで順次公開します。

Microsoft Exchange ServerのProxyLogonの複数の脆弱性を介して拡散する
IISネイティブバックドアの被害

IISマルウェアの仕組みの概要

ESETについて
ESETは30年以上にわたり世界各国におけるの企業および個人に向けて、高度化する脅威から最重要のインフラストラクチャ、企業、そして個人を保護するための業界をリードするITセキュリティソフトウェアとサービスを開発してきました。エンドポイントやモバイルセキュリティからクラウドサンドボックス、EDR、暗号化、多要素認証など、高性能でありながら使いやすいさまざまなソリューションを提供しています。国内においては、キヤノンマーケティングジャパン株式会社が国内総販売代理店およびサポートサービスの提供を行っています。企業や個人がこれらのテクノロジーを最大限に活用し、安全を確保できるよう取り組んでいます。ESETは、24時間365日、ユーザーに製品を意識させることなく、保護および監視を行い、リアルタイムでセキュリティを更新し、安全かつ、円滑に業務を遂行できるようにします。脅威が進化する中で、ITセキュリティ企業も進化し、テクノロジーを安全に利用できるようにしなければなりません。ESETは、世界中にR&D研究開発拠点を有しており、私たち共通の未来のために活動を行っています。詳細については、www.eset.com/jpをご覧ください。ぜひ、LinkedIn、Facebook、TwitterでESET Japanをフォローしてください。

＜本件に関するメディアからのお問合せ＞ 

イーセットジャパン株式会社 マーケティング担当　石原　 Tel: 070-3300-9957 / jp-marketing@eset.com