SCAN DISPATCH : 1,000を超える企業や政府サイトがウイルスを配布 | ScanNetSecurity
2025.12.11(木)

SCAN DISPATCH : 1,000を超える企業や政府サイトがウイルスを配布

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

国際 海外情報
22 views
facebookLINE
 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 カリフォルニア州のFinjan社が、興味深い二つのレポートを発表している。

 一つ目のレポートは、最近一番「人気」の攻撃ベクター、正規Webページの改変についての調査だ。同社の「SecureBrowsing」というSaaSタイプのサービスが、1,000を超える正規Webページが、今月になって始まった新たなWebアタックにより改ざんされていることを突き止めている。

 攻撃者は、「Asprox」という名前のツールキットを使って、正規サイトを改ざんしている。この「Asprox」というツールは、まずGoogleでファイルの拡張子が「.asp」を持つページをリストアップし、そのリスト内のサイトにSQLインジェクション攻撃を次々としかけ、世界中に140以上あるドメインの一つから、iFrameを使ってマルウエアをダウンロードさせるように改ざんするもの。Finjan社CTOのYuval Ben-Itzhak 氏は「マルウエアを送り込むサイトの数は毎日増えているから、今回の発見は氷山の一角であろう」と言っている。

 Webサイトが改ざんされるのは日常茶飯事ではあるが、今回のFinjan社の発表で注目すべきは、「ほとんどのサイトが(リリースが発表された7月13日の時点で)未だにマルウエアをばら撒いている」という事実と、1,000のサイトの中には、サンフランシスコ市のWebサイト(このサイトは既に中和されており安全)や、ボトル入り飲料のスナップル社、カリフォルニア州大学アーバイン校、米国の新聞 The Baltimore Times や、コカコーラブラジルなどが含まれていることの二点だ。

 原稿を書いている7月15日時点で、site:jp ngg.js や、fgg.js で Google検索をかけてみると、500以上のサイトが見つかる。Googleが「このサイトはコンピュータに損害を与える可能性があります」と注意を呼びかけるのは、このうちの一部にすぎない。

 問題の改ざんだが、攻撃者は.aspのファイルに以下のJavaScriptを挿入し(図1)、そしてiFrameを用いてユーザーのマシンにマルウエアをダウンロードさせている(図2)。

図1:
https://www.netsecurity.ne.jp/images/article/finjan0715_1.jpg
図2:
https://www.netsecurity.ne.jp/images/article/finjan0715_2.jpg

 上記のスクリプトは、ユーザーのマシンの MDAC機能の脆弱性(MS06-014)と、QuickTime rtsp の脆弱性、AOLの SuperBuddy ActiveX Control Code Execution Vulnerability の脆弱性をエクスプロイトして、ユーザーのマシンへのダウンロードを行う。

 Yuval Ben-Itzhak氏は「SQLインジェクションが発生するのは、デベロッパーのコードが問題」としているが、一般ユーザーとしては、最新のパッチを当てることが何よりも重要だ。

 その一方、ウイルス検知ソフトに頼れると思うのは間違いのようだ。なぜなら、Finjanではそのブログで、この一連の攻撃がウイルス検知ソフトで認識されるかを、7月3日にチェックしている。

Finjan社blog(2008年7月3日)
http://www.finjan.com/MCRCblog.aspx?EntryId=1993

 オンライン上で疑わしいファイルの解析を行う Virus Totalにアップロードしてみると、問題の悪意のあるファイルがWin32/agentの一種であることを認識・警告したのは33製品のうちの19製品のみで、マカフィーやシマンテックを含めた14の製品がマルウエアだと認識しない…

【執筆:米国 笠原利香】

【関連リンク】
Finjan社
http://www.finjan.com
MDAC機能の脆弱性
http://www.microsoft.com/japan/technet/security/Bulletin/MS06-014.mspx
QuickTime rtspの脆弱性
http://www.us-cert.gov/cas/alerts/SA07-024A.html
AOL SuperBuddy ActiveX Control Code Execution の脆弱性
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-5820
Virus Total
http://www.virustotal.com/jp/
FinjanのSecureBrowsing無料ツール
http://securebrowsing.finjan.com/

──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 北大研究室に「学生風の人物」侵入しパソコン操作 106名の学生情報漏えいの可能性「頼まれた」と説明し退室

    北大研究室に「学生風の人物」侵入しパソコン操作 106名の学生情報漏えいの可能性「頼まれた」と説明し退室

  2. ITコンサル企業、特別損失 73,000,000 円計上 ~ 連結子会社への不正アクセス受け

    ITコンサル企業、特別損失 73,000,000 円計上 ~ 連結子会社への不正アクセス受け

  3. 柴田産業の委託先でサイバー攻撃による顧客情報漏えいの可能性

    柴田産業の委託先でサイバー攻撃による顧客情報漏えいの可能性

  4. 191.4万件の個人情報が漏えいした可能性 ~ アサヒグループホールディングスへのランサムウェア攻撃

    191.4万件の個人情報が漏えいした可能性 ~ アサヒグループホールディングスへのランサムウェア攻撃

  5. Apache HTTP Server 2.4 に複数の脆弱性

    Apache HTTP Server 2.4 に複数の脆弱性

ランキングをもっと見る
PageTop
ホーム 国際 海外情報 記事
TOP