ゲームのIDやパスワードなどの個人情報を収集するマルウェアが後を絶たない。中国ではオンラインゲームのアカウントを収集するトロイの木馬が、米国の巨大コミュニティサイト「Myspace」には個人情報を収集するトロイの木馬が出現。いずれも感染が広がるおそれがある。
■中国大手サイトなどで感染、ゲームアカウントを収集するトロイの木馬
セキュリティベンダー各社は現地時間17日までに、中国の大手書籍販売サイトなどに、オンラインゲームのアカウントを盗み取るトロイの木馬が仕掛けられたと発表した。攻撃者はSQLインジェクションを使用して、IEに影響する脆弱性を悪用するJavaスクリプトを参照するIFRAMEを、ウェブサイトに埋め込む。同脆弱性はWindowsのVMLの脆弱性で、すでに修正プログラムが配布されている。
当該サイトにWindowsのパッチを当てていないユーザーがアクセスすると、自動的にトロイの木馬とパスワードを盗み取るキーロガーがダウンロードされる。感染したユーザーがオンラインゲーム「World of Warcraft」をプレイすると、メモリをスキャンしてアカウントを盗み出し、特定のサーバーへ送信する。攻撃者は盗んだアカウントでゲームに不正アクセスしてアイテムや仮想通貨を取得し、ゲームのアイテムなどを現実の通貨で取引するRMT(リアル・マネー・トレード)で売りさばくと見られている。
・Making Money in China Through Malware[英文](シマンテック)
http://www.symantec.com/enterprise/security_response/weblog/2007/03/making_money_in_china_through.html
・Malicious Web site / Malicious Code: Large Chinese Sites hosting Trojan Exploits [英文](WEBSENSE)
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=752
■MySpace内に出現、QuickTimeの脆弱な機能を悪用し感染するトロイの木馬
セキュリティベンダー各社は現地時間19日までに、英語圏で最も巨大なSNSとして知られる「MySpace」内に、QuickTimeの脆弱な機能を悪用して感染するトロイの木馬「JS/SpaceStalk」が出現したと発表した。この機能は「HREF Tracks」と呼ばれるもので、QuickTimeプレーヤーで動画を再生すると、任意のスクリプトが自動的に実行されてしまう。この機能を利用すると、悪意あるコードを埋め込んだウェブサイトに誘導することが可能となる。
米マカフィーは19日、フランスのロックバンド「MAMASAID」の宣伝を装ったMySpaceのアカウントに、当該機能を悪用した細工が施されていると警告した。当該アカウントに同バンドのファンがアクセスして動画を開くと、外部のサイトからJavaスクリプトがダウンロードおよび実行され、ファンの個人情報が攻撃者に送信される仕組みだ。動画を見ることをためらうファンは少ないため、陥りやすい罠となっている。
・QuickSpace: MySpace Tracker launch by Quicktime[英文](F-Secure)
http://www.f-secure.com/weblog/archives/archive-032007.html#00001144
・MySpace Woes: Trojan Targets French Rock Band Fans[英文](マカフィー)
http://www.avertlabs.com/research/blog/?p=222
・JS/SpaceStalk[英文](マカフィー)
http://vil.nai.com/vil/content/v_141428.htm
(2007/03/20 ネットセキュリティニュース)
【関連記事:ネットセキュリティニュース】
・Windows VMLの脆弱性を突く危険な実証コードが公開(2007/01/23)
・IPAが警告:Windowsの脆弱性突くウイルス出回る~HP経由での感染にも注意(2007/02/07)