前掲の「多数サイトが改ざん(1)」中に述べたように、PC関連通販ショップ「GENO」ほか複数のサイトが不正アクセスを受け、スクリプトタグを埋め込まれる改ざん攻撃を受けており、これらのサイトを閲覧していた場合、PCがウイルスに感染しているおそれがある。
一連のサイト改ざんの目的は、攻撃サイト「94.247.2.195」に置かれている「jquery.js」を実行させることで、「94.247.2.195」はラトビアのIPアドレス。この「jquery.js」が実行されると、複数の攻撃ファイルがPCに送りこまれてしまう。
■低いアンチウイルスエンジンの検知率
12日深夜の時点では、当該サイトから攻撃ファイルが落ちてこない状態となっていたが、13日昼の時点では再び攻撃ファイルが落ちてきており、編集部ではPDF、SWF、EXEファイルを取得。これらをVirusTotalにかけたところ、PDFファイルの検知率は6/40(40のアンチウイルスエンジンのうち、6エンジンしか検知できないということ)、SWFファイルの検知率は2/40、EXEファイルでは3/39だった。「jquery.js」では、11/40となっている。
■狙われた「Adobe Reader」と「Adobe Flash Player」の脆弱性
上記のPDFファイルとSWFファイルは、それぞれAdobe ReaderとAdobe Flash Playerの脆弱性を突き、別の悪質なファイルをダウンロードしようとするものだ。最終的に何が起こるのか、どの脆弱性が悪用されるのかという点についてはセキュリティベンダーの報告を待ちたいのだが、対応が遅れ気味で情報がなかなか出てこないのが現状だ。
ネット上では、Windowsの正規ファイルが上書きされた、cmdやregeditが起動できなくなった、特定のサイトに接続できなくなった、Adobeが頻繁に更新を要求してくる、CPUの稼働率が高くなるなどの症状が報告されている。
■ユーザーがとれる対策
ユーザーがとれる対策としては、Adobe ReaderとFlash Playerを最新版にすること、ウイルス対策ソフトの定義ファイルを更新すること、Javascriptを無効にすること、IPアドレス「94.247.2.0」から「94.247.3.255」までをブロックすることがあげられる。Adobe ReaderとFlash Playerの最新版およびアップデートについての情報は、「関連記事」を参照していただきたい。
* * *
今回の改ざんでは、猛威をふるった「SQLインジェクションでスクリプトタグをレコードに埋め込む」手口とは異なる、新しい手口が使われている。スクリプトタグが、ページのヘッダとボディの間に埋め込まれていたり、ロードするJavaScriptファイルに埋め込まれるなどしているのだ。SQLインジェクションによる改ざんでしばしば見られた、埋め込みの失敗(文字列がテキスト状態となってJavaScriptとして無効となる)も発生していない。また、難読化と不安定化が図られており、ストレートにスクリプトタグが埋め込まれていたSQLインジェクションによる改ざんに比べ、改ざんを見つけにくくなっている。
トレンドマイクロは今回の一連の改ざんに関して6日午前、「TROJ_GENOME.BK」という名前のシグネチャを作成したが、誤警告が発生。同社は同日夜、最新のパターンファイルを使用して再度検出を確認するよう呼びかけた。
(2009/04/13 ネットセキュリティニュース)
■TROJ_GENOME.BK 誤警告の告知(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_GENOME.BK