バナー広告をマルウエア配布手段として利用する攻撃

SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

IBMのX-Forceとシマンテックが相次いで、セキュリティレポートを出している。IBMのものは「Cyber Attacks on the Rise: IBM X-Force 2007 Midyear Report」、シマンテックのものは「Internet Security Threat Report」。この両方を参照すると、マルウエアのトレンドがよく分かる。

まず結論から述べると、今後のインターネット・セキュリティを考える場合、スパム、特に感染した添付画像ファイルによるウイルス攻撃といった攻撃モデルから、Webベースの攻撃モデル（ブラウザやプラグインの脆弱性を利用したトロイの木馬による攻撃）へと攻撃方法が移行していることだ。

最近相次いで発見されたWebベースの攻撃もこのトレンドを物語っており、それには3つの特徴がある。

（1）正規Webページを改ざんして、マルウエアを潜ませる
（2）正規Web広告にマルウエアを潜ませる
（3）ブラウザのプラグインの脆弱性を悪用する

つまり、メールの添付ファイルを開けない、怪しいWebページに行かない、といった「パソコン衛生管理」の基本を行っているユーザーでも、正規Webページを訪れるだけでアウトになってしまうという、Web2.0の厳しい現実を指摘しているのだ。

いくつか実例をあげてみよう。

（1）の例としては、9月の初めに、セント・ピーターズバーグにある米国領事館のWebサイトが改ざんされて、Mal/ObfJS-Cというマルウエアが搭載されてしまったインシデントが挙げられる。領事館のページを訪れた人が、知らぬ間にトロイの木馬をダウンロードしてしまうという攻撃だ。

（2）も最近の例が多い。まず、Exploit Prevention Labs が今月半ばに発見した FaceBook の広告の攻撃。FaceBook に掲載された広告が、去年9月にマイクロソフトから配布された、MS06-140とMS-06-142のパッチを当てていないPCに、Remote Data Service でスパイウエアをダウンロードさせようとした。

ScanSafe社により発見された攻撃には、MySpace や Photobucket などのバナー広告に VBS.Agent.n というダウンローダーが潜伏しており、自動的にトロイの木馬をダウンロードさせてしまうというものがあった。

実際のバナーアドを参照して欲しい（掲載図版 Copyright : ScanSafe Inc）。今年2月に発見された ActiveX の脆弱性のパッチを当てていないマシンが危ないそうだが、この悪意のある広告は70以上の広告サーバーを通じて1,200万件以上のバナー広告となっていたそうだから、パッチを当てていないマシンがトロイの木馬をダウンロードした可能性は高いだろう。

この攻撃が悪質なのは、広告配布会社が、広告配布前にマルウエア検出のチェックを行っていたが、広告は検出方法を回避するように作られていたことだ…

【執筆：米国　笠原利香】

【関連リンク】
Cyber Attacks on the Rise: IBM X-Force 2007 Midyear Report
http://www.iss.net/x-force_report_images/2007
Internet Security Threat Report
http://www.symantec.com/region/jp/enterprise/articles/20050405.html
金床さんによる DNS Spoofing, Anit-DNS　Pinningの記事は下記を参照
http://www.jumperz.net/texts/anti_dns_pinning.html
http://wizardbible.org/33/33.txt
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw