SCAN DISPATCH : 1,000を超える企業や政府サイトがウイルスを配布
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。
国際
海外情報
──
カリフォルニア州のFinjan社が、興味深い二つのレポートを発表している。
一つ目のレポートは、最近一番「人気」の攻撃ベクター、正規Webページの改変についての調査だ。同社の「SecureBrowsing」というSaaSタイプのサービスが、1,000を超える正規Webページが、今月になって始まった新たなWebアタックにより改ざんされていることを突き止めている。
攻撃者は、「Asprox」という名前のツールキットを使って、正規サイトを改ざんしている。この「Asprox」というツールは、まずGoogleでファイルの拡張子が「.asp」を持つページをリストアップし、そのリスト内のサイトにSQLインジェクション攻撃を次々としかけ、世界中に140以上あるドメインの一つから、iFrameを使ってマルウエアをダウンロードさせるように改ざんするもの。Finjan社CTOのYuval Ben-Itzhak 氏は「マルウエアを送り込むサイトの数は毎日増えているから、今回の発見は氷山の一角であろう」と言っている。
Webサイトが改ざんされるのは日常茶飯事ではあるが、今回のFinjan社の発表で注目すべきは、「ほとんどのサイトが(リリースが発表された7月13日の時点で)未だにマルウエアをばら撒いている」という事実と、1,000のサイトの中には、サンフランシスコ市のWebサイト(このサイトは既に中和されており安全)や、ボトル入り飲料のスナップル社、カリフォルニア州大学アーバイン校、米国の新聞 The Baltimore Times や、コカコーラブラジルなどが含まれていることの二点だ。
原稿を書いている7月15日時点で、site:jp ngg.js や、fgg.js で Google検索をかけてみると、500以上のサイトが見つかる。Googleが「このサイトはコンピュータに損害を与える可能性があります」と注意を呼びかけるのは、このうちの一部にすぎない。
問題の改ざんだが、攻撃者は.aspのファイルに以下のJavaScriptを挿入し(図1)、そしてiFrameを用いてユーザーのマシンにマルウエアをダウンロードさせている(図2)。
図1:
https://www.netsecurity.ne.jp/images/article/finjan0715_1.jpg
図2:
https://www.netsecurity.ne.jp/images/article/finjan0715_2.jpg
上記のスクリプトは、ユーザーのマシンの MDAC機能の脆弱性(MS06-014)と、QuickTime rtsp の脆弱性、AOLの SuperBuddy ActiveX Control Code Execution Vulnerability の脆弱性をエクスプロイトして、ユーザーのマシンへのダウンロードを行う。
Yuval Ben-Itzhak氏は「SQLインジェクションが発生するのは、デベロッパーのコードが問題」としているが、一般ユーザーとしては、最新のパッチを当てることが何よりも重要だ。
その一方、ウイルス検知ソフトに頼れると思うのは間違いのようだ。なぜなら、Finjanではそのブログで、この一連の攻撃がウイルス検知ソフトで認識されるかを、7月3日にチェックしている。
Finjan社blog(2008年7月3日)
http://www.finjan.com/MCRCblog.aspx?EntryId=1993
オンライン上で疑わしいファイルの解析を行う Virus Totalにアップロードしてみると、問題の悪意のあるファイルがWin32/agentの一種であることを認識・警告したのは33製品のうちの19製品のみで、マカフィーやシマンテックを含めた14の製品がマルウエアだと認識しない…
【執筆:米国 笠原利香】
【関連リンク】
Finjan社
http://www.finjan.com
MDAC機能の脆弱性
http://www.microsoft.com/japan/technet/security/Bulletin/MS06-014.mspx
QuickTime rtspの脆弱性
http://www.us-cert.gov/cas/alerts/SA07-024A.html
AOL SuperBuddy ActiveX Control Code Execution の脆弱性
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-5820
Virus Total
http://www.virustotal.com/jp/
FinjanのSecureBrowsing無料ツール
http://securebrowsing.finjan.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》
アクセスランキング
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
-
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR
-
重い 高い 検索も使いにくいメールを企業の 6 割が使う理由
-
研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント
-
RoamWiFi R10 に複数の脆弱性
-
2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか
-
脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供