SCAN DISPATCH : 1,000を超える企業や政府サイトがウイルスを配布 | ScanNetSecurity
2024.03.28(木)

SCAN DISPATCH : 1,000を超える企業や政府サイトがウイルスを配布

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

国際 海外情報
 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 カリフォルニア州のFinjan社が、興味深い二つのレポートを発表している。

 一つ目のレポートは、最近一番「人気」の攻撃ベクター、正規Webページの改変についての調査だ。同社の「SecureBrowsing」というSaaSタイプのサービスが、1,000を超える正規Webページが、今月になって始まった新たなWebアタックにより改ざんされていることを突き止めている。

 攻撃者は、「Asprox」という名前のツールキットを使って、正規サイトを改ざんしている。この「Asprox」というツールは、まずGoogleでファイルの拡張子が「.asp」を持つページをリストアップし、そのリスト内のサイトにSQLインジェクション攻撃を次々としかけ、世界中に140以上あるドメインの一つから、iFrameを使ってマルウエアをダウンロードさせるように改ざんするもの。Finjan社CTOのYuval Ben-Itzhak 氏は「マルウエアを送り込むサイトの数は毎日増えているから、今回の発見は氷山の一角であろう」と言っている。

 Webサイトが改ざんされるのは日常茶飯事ではあるが、今回のFinjan社の発表で注目すべきは、「ほとんどのサイトが(リリースが発表された7月13日の時点で)未だにマルウエアをばら撒いている」という事実と、1,000のサイトの中には、サンフランシスコ市のWebサイト(このサイトは既に中和されており安全)や、ボトル入り飲料のスナップル社、カリフォルニア州大学アーバイン校、米国の新聞 The Baltimore Times や、コカコーラブラジルなどが含まれていることの二点だ。

 原稿を書いている7月15日時点で、site:jp ngg.js や、fgg.js で Google検索をかけてみると、500以上のサイトが見つかる。Googleが「このサイトはコンピュータに損害を与える可能性があります」と注意を呼びかけるのは、このうちの一部にすぎない。

 問題の改ざんだが、攻撃者は.aspのファイルに以下のJavaScriptを挿入し(図1)、そしてiFrameを用いてユーザーのマシンにマルウエアをダウンロードさせている(図2)。

図1:
https://www.netsecurity.ne.jp/images/article/finjan0715_1.jpg
図2:
https://www.netsecurity.ne.jp/images/article/finjan0715_2.jpg

 上記のスクリプトは、ユーザーのマシンの MDAC機能の脆弱性(MS06-014)と、QuickTime rtsp の脆弱性、AOLの SuperBuddy ActiveX Control Code Execution Vulnerability の脆弱性をエクスプロイトして、ユーザーのマシンへのダウンロードを行う。

 Yuval Ben-Itzhak氏は「SQLインジェクションが発生するのは、デベロッパーのコードが問題」としているが、一般ユーザーとしては、最新のパッチを当てることが何よりも重要だ。

 その一方、ウイルス検知ソフトに頼れると思うのは間違いのようだ。なぜなら、Finjanではそのブログで、この一連の攻撃がウイルス検知ソフトで認識されるかを、7月3日にチェックしている。

Finjan社blog(2008年7月3日)
http://www.finjan.com/MCRCblog.aspx?EntryId=1993

 オンライン上で疑わしいファイルの解析を行う Virus Totalにアップロードしてみると、問題の悪意のあるファイルがWin32/agentの一種であることを認識・警告したのは33製品のうちの19製品のみで、マカフィーやシマンテックを含めた14の製品がマルウエアだと認識しない…

【執筆:米国 笠原利香】

【関連リンク】
Finjan社
http://www.finjan.com
MDAC機能の脆弱性
http://www.microsoft.com/japan/technet/security/Bulletin/MS06-014.mspx
QuickTime rtspの脆弱性
http://www.us-cert.gov/cas/alerts/SA07-024A.html
AOL SuperBuddy ActiveX Control Code Execution の脆弱性
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-5820
Virus Total
http://www.virustotal.com/jp/
FinjanのSecureBrowsing無料ツール
http://securebrowsing.finjan.com/

──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×