いわゆる「ガンブラー」は、ウイルスに感染したパソコンからWebサイトを更新するFTPアカウントを盗み取り、それを使ってユーザーの管理サイトを改ざんし感染を広げて行く。なかでも本通信で「8080」と呼んでいるタイプは、ウイルス感染を狙ったサイト改ざんのほかにも、さまざまな悪事を働いている。今日は「止まらぬサイト改ざん(3)~(5)」でその最新状況をお伝えしたい。
●怪しい薬局キャンペーン、薬局サイトは日本語対応に
今年4月からえんえんと続いているのが、8080系の改ざんサイトを悪用した”怪しい薬局キャンペーン”だ。
乗っ取ったユーザーのWebサイトに目的地の薬局サイトを開くリダイレクト用のファイルを設置し、迷惑メールにはこのリダイレクト用ファイルのURLを記載して送る。こうすることによって、大量にばら撒く迷惑メールのリンク先がバラバラになる。バラバラにすると、攻撃者にとっていくつものメリットが生まれる。迷惑メールフィルタに検出されにくくなる、真の目的地が隠ぺいできる、リンク先が閉鎖されても影響が少ない、リダイレクト用のファイルを更新すれば目的地が変更できる、など。
目的地の薬局サイトは、当初は「Canadian Pharmacy」と称する6か国の貨幣と言語に対応したシステムだったが、7月下旬からは10か国対応の「Pharmacy Express」に変更。今月5日には、これに4か国が追加され、日本円にも対応した。日本語のブラウザでアクセスすると、日本語のページが開くようになったのだが、機械翻訳丸出しの変な日本語で、これまで以上の怪しさだ。
8080系の攻撃者は、この薬局キャンペーンに相当力を入れているようで、今月は薬局サイト用に毎日5つずつ、新規のドメイン名を追加。攻撃サイトに誘導する表の改ざんと違い、設置したリダイレクト用のファイルは、毎日頻繁に、定期的な更新が行われている。
(2010/08/31 ネットセキュリティニュース)