バナー広告をマルウエア配布手段として利用する攻撃 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.15(金)

バナー広告をマルウエア配布手段として利用する攻撃

国際 海外情報

SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

IBMのX-Forceとシマンテックが相次いで、セキュリティレポートを出している。IBMのものは「Cyber Attacks on the Rise: IBM X-Force 2007 Midyear Report」、シマンテックのものは「Internet Security Threat Report」。この両方を参照すると、マルウエアのトレンドがよく分かる。

まず結論から述べると、今後のインターネット・セキュリティを考える場合、スパム、特に感染した添付画像ファイルによるウイルス攻撃といった攻撃モデルから、Webベースの攻撃モデル(ブラウザやプラグインの脆弱性を利用したトロイの木馬による攻撃)へと攻撃方法が移行していることだ。

最近相次いで発見されたWebベースの攻撃もこのトレンドを物語っており、それには3つの特徴がある。

(1)正規Webページを改ざんして、マルウエアを潜ませる
(2)正規Web広告にマルウエアを潜ませる
(3)ブラウザのプラグインの脆弱性を悪用する

つまり、メールの添付ファイルを開けない、怪しいWebページに行かない、といった「パソコン衛生管理」の基本を行っているユーザーでも、正規Webページを訪れるだけでアウトになってしまうという、Web2.0の厳しい現実を指摘しているのだ。

いくつか実例をあげてみよう。

(1)の例としては、9月の初めに、セント・ピーターズバーグにある米国領事館のWebサイトが改ざんされて、Mal/ObfJS-Cというマルウエアが搭載されてしまったインシデントが挙げられる。領事館のページを訪れた人が、知らぬ間にトロイの木馬をダウンロードしてしまうという攻撃だ。

(2)も最近の例が多い。まず、Exploit Prevention Labs が今月半ばに発見した FaceBook の広告の攻撃。FaceBook に掲載された広告が、去年9月にマイクロソフトから配布された、MS06-140とMS-06-142のパッチを当てていないPCに、Remote Data Service でスパイウエアをダウンロードさせようとした。

ScanSafe社により発見された攻撃には、MySpace や Photobucket などのバナー広告に VBS.Agent.n というダウンローダーが潜伏しており、自動的にトロイの木馬をダウンロードさせてしまうというものがあった。

実際のバナーアドを参照して欲しい(掲載図版 Copyright : ScanSafe Inc)。今年2月に発見された ActiveX の脆弱性のパッチを当てていないマシンが危ないそうだが、この悪意のある広告は70以上の広告サーバーを通じて1,200万件以上のバナー広告となっていたそうだから、パッチを当てていないマシンがトロイの木馬をダウンロードした可能性は高いだろう。

この攻撃が悪質なのは、広告配布会社が、広告配布前にマルウエア検出のチェックを行っていたが、広告は検出方法を回避するように作られていたことだ…

【執筆:米国 笠原利香】

【関連リンク】
Cyber Attacks on the Rise: IBM X-Force 2007 Midyear Report
http://www.iss.net/x-force_report_images/2007
Internet Security Threat Report
http://www.symantec.com/region/jp/enterprise/articles/20050405.html
金床さんによる DNS Spoofing, Anit-DNS Pinningの記事は下記を参照
http://www.jumperz.net/texts/anti_dns_pinning.html
http://wizardbible.org/33/33.txt
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  5. ロシアが中印らと独自インターネット構築か、グローバルDNS分裂の危機を追う(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  8. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  9. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  10. Mac OS X のシングルユーザモードの root アクセス(2)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×