最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆止まらぬサイト改ざん(1):「ヘルプとサポートセンター」ゼロデイ攻撃開始(2010/06/28) | メイン | ◆止まらぬサイト改ざん(3):全ユーザー「FTPパスワード強制変更」の効果(2010/06/29) »

2010/06/29

◆止まらぬサイト改ざん(2):進化する「8080」攻撃~ウイルスメールも飛来(2010/06/29)

 Windowsの「ヘルプとサポートセンター」の未修正の脆弱性を突く攻撃コードが組み込まれ、8080系の攻撃はいちだんと危険度が増している。今月は、このゼロデイ攻撃のほかにもシステムや埋め込みコードが大幅に変更され、ウイルスメールの配布といった新たな攻撃も始まり、相変わらず活発な活動を続けている。

■攻撃サイトは「一般サイトのサブドメイン」に

 改ざんサイトに埋め込まれた難読化されたスクリプトを実行し、5基のサーバーで構成された攻撃サイトに誘導するというのが、これまでの8080系の攻撃だった。誘導先の攻撃サイトには、主にロシア(.ru)のドメインが大量に使われているというのも特徴的だった。

 今月中旬、このシステムが大幅に変更され、攻撃サイトに使われていた従来のドメインはほとんど消滅した。誘導先は、一般のWebサイトのサブドメインという形をとるようになった。たとえば、乗っ取った一般サイトのドメイン「example.com」を使って「fake.example.com」というようなサブドメインを作成。これに正規サイトとは無関係のIPアドレスをひとつ割り当て、攻撃サーバーに仕立て上げる。8080ポートに接続する点は以前と変わりないが、一部デフォルトポート(:8080なし)のものも見つかっている。

 攻撃内容は、Windowsの「ヘルプとサポートセンター」のゼロデイ攻撃が組み込まれた以外には大きな変化はなく、Internet Explorer 7(IE7)でアクセスした場合には、このほかにAdobe ReaderとJREの脆弱性攻撃を仕掛ける。IE7以外の場合には、ゼロデイコードの代わりに従来からのMDACの脆弱性攻撃が付加される。いずれも、今年4月までに修正された脆弱性だ。

■埋め込みコードは「難読化なし」に

 改ざんされたWebサイトには、以前のような難読化されたコードではなく、攻撃サイトの「/英単語.js」をロードする、単純なscriptタグが埋め込まれるようになった。埋め込み場所はページの末尾。改ざん対象はインデックスページに使われることの多い「index」や「main」、「default」などをファイル名に含むHTMLとPHPファイル、および全てのJavaScriptファイル(.js)だ。

■「薬局キャンペーン」に加えウイルスメールも飛来

 8080系の改ざんサイトを経由して怪しい薬局に誘導しようとする迷惑メールが、4月上旬から絶え間なく続いているが、今月に入ってからは、これと並行してウイルス感染を狙った迷惑メールも飛来するようになった。

 手口は、YouTubeやTwitterなどのサービスを装ったものやISPを装ったもの、ウイルス感染の警告、ワールドカップに便乗したニュース、誘惑系などさまざまで、従来のウイルスメールの手口を総動員しているような感じだ。

 最新版は、24日から飛来しているAmazon.comを装った注文確認メール。このメールはHTMLメールのリンクをクリックさせるタイプだが、この他にHTMLファイル添付したタイプもある。いずれも、リンク先は一般のWebサイトに置かれた小さなHTMLファイルだ。

 怪しい薬局キャンペーンと同様に、最終的には怪しい薬局や時計屋サイトに連れて行かれるのだが、その過程で8080系の攻撃サイトに立ち寄る点が異なる。ランディングサイトを開くまでの数秒間の間に、改ざんサイトを閲覧した時と同じ攻撃を仕掛けて来る。もちろん、先週末からは、「ヘルプとサポートセンター」のゼロデイ攻撃付なので、開いたページを見て「またお前か」と安心してはいけない。未対策のパソコンは、すでにウイルスに感染しているかもしれない。

(2010/06/29 ネットセキュリティニュース)

【関連URL】
・偽アマゾンメールにご注意ください(G DATA)
http://gdata.co.jp/press/archives/2010/06/post_86.htm
・「open.htm」を添付する新しいスパムメール、転送先はオンライン薬局(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/3561
・Double trouble - spam and malware payloads[英文](Sophos)
http://www.sophos.com/blogs/sophoslabs/?p=10139
・World Cup Bad News - Malicious Spam[英文](Websense)
http://community.websense.com/blogs/securitylabs/archive/2010/06/11/world-cup-bad-news.aspx
・[1xd].HTM Links Carrying SPAM[英文](McAfee Avert Labs Blog)
http://www.avertlabs.com/research/blog/index.php/2010/06/11/1xd-htm-links-carrying-spam/

投稿情報: 11:08 |

|