Web攻撃ツール「Mpack」(*1)による、これまでにない規模の被害がヨーロッパを中心に広がっている。すでに1万を超えるWebサイトの改ざんが確認され、今後も世界中に拡大する危険がある。20日までにセキュリティベンダー各社が報告し、注意を呼びかけている。
攻撃者は一般のWebサイトを改ざんし、「IFRAME」タグを埋め込む。改ざんされたWebサイトにアクセスしてきたユーザーは気づかないうちに「Mpack」で構築されたWebサイト(Mpackサイト)に誘導される。Mpackサイトでは、悪質なプログラムをダウンロードさせたり、ウイルスに感染させて個人情報などを盗み出す。
このMpackサイトでの攻撃が成功するには、アクセスしてきたユーザーPCのWindowsOSやブラウザに、未修正の脆弱性が残っていることが条件となる。Mpackサイトでは、WindowsOSやブラウザに応じて、さまざまな脆弱性攻撃を仕掛け、1つでも未修正の脆弱性があると、悪質なプログラムをダウンロード・実行させる。
15日から17日頃にかけて、イタリアの多くの英語サイトが犠牲になった。Webセキュリティ対策企業の米ウェブセンスでは、18日までに、欧米を中心に1万を超えるサイトが改ざんされたことを確認している。日本での被害はまだ少ないものの、数十件の改ざんが報告されている。
改ざんされたサイトの多くは、企業や団体などの正規サイト。このため、ユーザーは警戒心をあまり持たずにこれらのサイトにアクセスし、気が付かないうちにPCが攻撃されてしまう可能性が高い。対策として、OSやブラウザ、その他のソフトにパッチを適用して最新の状態に保つことや、ウイルス対策ソフトの最新化を怠らないようにしたい。
*1)Web攻撃ツール「Mpack」:Webサイトを攻撃するツールではなく、ユーザーを攻撃するためのWebサイトを容易に構築するツールキット。ブラウザやプラグインなどの周辺プログラムが持つさまざまな脆弱性を突いて閲覧者に悪質なプログラムをダウンロード・実行させる。
(2007/06/26 ネットセキュリティニュース)
■ヨーロッパで大規模な「Webからの脅威」(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/1158
■セキュリティ対策企業の報告(英文)
・米シマンテック社のブログレポート
http://www.symantec.com/enterprise/security_response/weblog/2007/06/mpack_the_strange_case_of_the.html
・米SANSインスティチュートのニュースレポート
http://isc.sans.org/diary.html?storyid=2991
・米ウェブセンス・セキュリティーラボの警告
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=782
・スペイン・ウイルス対策研究企業パンダ・ソフトウェア社のレポート[PDF]
http://blogs.pandasoftware.com/blogs/images/PandaLabs/2007/05/11/MPack.pdf
■ウイルス情報(MPackサイトへの誘導コード)
・HTool-MPack(マカフィー)
http://www.mcafee.com/japan/security/virH.asp?v=HTool-MPack
・HTML_IFRAME.CU(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=HTML%5FIFRAME%2ECU
・Trojan.Mpkit!html(シマンテック)
http://www.symantec.com/ja/jp/enterprise/security_response/writeup.jsp?docid=2007-052712-1531-99