SCAN DISPATCH : 1,000を超える企業や政府サイトがウイルスを配布 | ScanNetSecurity
2020.11.26(木)

SCAN DISPATCH : 1,000を超える企業や政府サイトがウイルスを配布

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

国際 海外情報
 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 カリフォルニア州のFinjan社が、興味深い二つのレポートを発表している。

 一つ目のレポートは、最近一番「人気」の攻撃ベクター、正規Webページの改変についての調査だ。同社の「SecureBrowsing」というSaaSタイプのサービスが、1,000を超える正規Webページが、今月になって始まった新たなWebアタックにより改ざんされていることを突き止めている。

 攻撃者は、「Asprox」という名前のツールキットを使って、正規サイトを改ざんしている。この「Asprox」というツールは、まずGoogleでファイルの拡張子が「.asp」を持つページをリストアップし、そのリスト内のサイトにSQLインジェクション攻撃を次々としかけ、世界中に140以上あるドメインの一つから、iFrameを使ってマルウエアをダウンロードさせるように改ざんするもの。Finjan社CTOのYuval Ben-Itzhak 氏は「マルウエアを送り込むサイトの数は毎日増えているから、今回の発見は氷山の一角であろう」と言っている。

 Webサイトが改ざんされるのは日常茶飯事ではあるが、今回のFinjan社の発表で注目すべきは、「ほとんどのサイトが(リリースが発表された7月13日の時点で)未だにマルウエアをばら撒いている」という事実と、1,000のサイトの中には、サンフランシスコ市のWebサイト(このサイトは既に中和されており安全)や、ボトル入り飲料のスナップル社、カリフォルニア州大学アーバイン校、米国の新聞 The Baltimore Times や、コカコーラブラジルなどが含まれていることの二点だ。

 原稿を書いている7月15日時点で、site:jp ngg.js や、fgg.js で Google検索をかけてみると、500以上のサイトが見つかる。Googleが「このサイトはコンピュータに損害を与える可能性があります」と注意を呼びかけるのは、このうちの一部にすぎない。

 問題の改ざんだが、攻撃者は.aspのファイルに以下のJavaScriptを挿入し(図1)、そしてiFrameを用いてユーザーのマシンにマルウエアをダウンロードさせている(図2)。

図1:
https://www.netsecurity.ne.jp/images/article/finjan0715_1.jpg
図2:
https://www.netsecurity.ne.jp/images/article/finjan0715_2.jpg

 上記のスクリプトは、ユーザーのマシンの MDAC機能の脆弱性(MS06-014)と、QuickTime rtsp の脆弱性、AOLの SuperBuddy ActiveX Control Code Execution Vulnerability の脆弱性をエクスプロイトして、ユーザーのマシンへのダウンロードを行う。

 Yuval Ben-Itzhak氏は「SQLインジェクションが発生するのは、デベロッパーのコードが問題」としているが、一般ユーザーとしては、最新のパッチを当てることが何よりも重要だ。

 その一方、ウイルス検知ソフトに頼れると思うのは間違いのようだ。なぜなら、Finjanではそのブログで、この一連の攻撃がウイルス検知ソフトで認識されるかを、7月3日にチェックしている。

Finjan社blog(2008年7月3日)
http://www.finjan.com/MCRCblog.aspx?EntryId=1993

 オンライン上で疑わしいファイルの解析を行う Virus Totalにアップロードしてみると、問題の悪意のあるファイルがWin32/agentの一種であることを認識・警告したのは33製品のうちの19製品のみで、マカフィーやシマンテックを含めた14の製品がマルウエアだと認識しない…

【執筆:米国 笠原利香】

【関連リンク】
Finjan社
http://www.finjan.com
MDAC機能の脆弱性
http://www.microsoft.com/japan/technet/security/Bulletin/MS06-014.mspx
QuickTime rtspの脆弱性
http://www.us-cert.gov/cas/alerts/SA07-024A.html
AOL SuperBuddy ActiveX Control Code Execution の脆弱性
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-5820
Virus Total
http://www.virustotal.com/jp/
FinjanのSecureBrowsing無料ツール
http://securebrowsing.finjan.com/

──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★10/15~11/30迄 創刊22周年記念価格提供中★★
★★10/15~11/30迄 創刊22周年記念価格提供中★★

2020年10月15日(木)~11月30日(月) の間 ScanNetSecurity 創刊22周年記念価格で提供。

×