5月21日付け、『The Register』が、数千件の中国のウェブサイトにマルウェアが仕掛けられたと報じている。Windowsに脆弱性のある状態のPCを使用しているユーザがアクセスすると、トロイの木馬がダウンロードされてしまうというものだ。記事は5月19日付けScanSafeのメアリー・ランデスマンのブログに基づく。これらのウェブサイトは中国でホスティングされている英語のサイトだ。しかし、興味深いのは、国別ドメインは中国を示すcnではなく、comだった。改ざんの被害を受けたのはオンラインで株式の売買を行う香港の企業のウェブサイト、kgieworld.comや、ビジネス間でのe-コマースのポータルサービスを提供するworldoil.comなどだ。ビジネス関連サイト以外にも、タトゥーのデザインサンプルを提供するウェブサイトtatoojohnny.comなどにも、マルウェアが仕掛けられていた。ランデスマンが報告した攻撃は、iFrameをウェブサイトに仕掛けるというものだ。改ざんされたサイトは、qiqigm.comというサイトから悪意あるスクリプトを読み込んでいた。qiqigm.comは5月16日に登録されたばかりのドメインだ。タイトルスクリプトは"silent love china"となっていることから、『The Register』では他の中国人ハッカーへの挨拶だとの考えを表明していて、中国人による犯行だと考えているようだ。読み込まれる悪意あるスクリプトは、RealPlayerとExplorerの複数の脆弱性を利用していた。利用された脆弱性の一つは、3月に報告されたばかりのRealPlayerのメモリが破壊される可能性があるというものだった。つまり、攻撃側は極めて新しい脆弱性情報を悪用している。攻撃に成功すると、アクセスしたユーザのPCにトロイの木馬をインストールした。ランデスマンはブログで事態を報告した19日時点で、7020件のサイトが攻撃を受けていると確認している。17日に発見して報告が19日だから、わずか3日という短期間に急速に改ざんの被害は拡大した。一方、トレンドマイクロもやはり19日付けで、"中国語のウェブサイト"がSQLインジェクション攻撃を受けたと報告している。ScanSafeの報告したケースは中国でホスティングされた英語のサイトだったが、トレンドマイクロの報告は中国語だ。つまり攻撃のターゲットは、前者は英語圏、後者は中国、台湾、シンガポールなどだったと見られている。悪用されたのは、中国のファイル交換などのサービスを行うXunleiのThunder DapPlayerやRealPlayer、ActiveXの脆弱性だ。SQLインジェクションを受けたウェブサイトにアクセスすると、トロイの木馬がインストールされた。感染したページは、報告の時点で32万7000ページにのぼっていたという。●国別マルウェア汚染状況とにかくここ数年で、ウェブサイトを通して感染するケースが急増している。セキュリティ企業などは、ネットサーフィンでマルウェアに感染する可能性が大きいため、万全の注意を払う必要があると警告を行っている。しかし、ユーザ側にすれば、感染源となるサイトは政府関連のものから一般企業など多岐にわたるため、何に注意をすればいいのか難しいというのが本音だろう。このような状況下、様々なセキュリティ企業が、危険なウェブサイトについて調査、分析を行い、傾向のようなものが見つからないかと、努力を続けている。何らかの糸口が見つかれば、ユーザがインターネットを使用する際、セキュリティ上の助けになるかもしれないとの希望に基づくものだ。分析例の一つに国別調査がある。6月4日にMcAfeeが"Mapping the Mal Web Revisited"というタイトルで、調査結果を報告した。McAfeeによると、香港(.hk)ドメインが最も危険度が高いらしい。調査は、265ヵ国の国コードのドメインと、".com"や".net"などのgTLDの中から、アドウェアやスパイウェア、スパム、ウイルス、ブラウザ上の問題などが見つかった、危険なウェブサイトの数を調べるというものだ。ちなみに前回、2007年度は南太平洋のサモア諸島の北側にあるトケラウ諸島が、最も危険との結果だった。トケラウ諸島はニュージーランド領の小さな3つの島から成り、tkをドメインとする、人口も1500人に満たない島だ。2007年3月に発表された調査結果では、".tk"ドメインのうち10.1%が危険と判断された。トケラウ諸島のGDPは2004年が世界第228位…【執筆:バンクーバー新報 西川桂子】──※ この記事は Scan購読会員向け記事をダイジェスト掲載しました購読会員登録案内http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
