最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆アドビ「Shockwave Player」に未修整の危険な脆弱性~実証コードが公開(2010/10/25) | メイン | ◆携帯サイト「なりすまし」脆弱性(1) ヤマト運輸、個人情報が閲覧可能に(2010/10/27) »

2010/10/25

◆正規サイト改ざん:国内サイトに広まる新たな改ざんコード汚染(2010/10/25)

 トレンドマイクロは22日、「mstmp」や「lib.dll」といったファイル名で拡散する不正プログラムの攻撃が国内で広まっているとして、同社の公式ブログで注意を呼びかけた。同社のサポートセンターでは、10月14日以降、100社を超える法人ユーザーから感染被害の報告を受けているという。
 公式ブログによると、改ざんされた正規サイトに仕掛けられたコードによって不正サイトへリダイレクトされ、Javaの脆弱性を悪用して悪質なプログラムが実行されるという。攻撃の最終的な意図は不明だが、感染報告の大半は日本国内に集中しており、同社は日本を標的としたターゲット攻撃である可能性も考えられるとしている。

■埋め込みコードは意味不明な単語が並ぶ難読化されたJavaScript

 同社のブログには、正規サイトに挿入された難読化されたJavaScriptと、それを可読化したものが掲載されている。画像にぼかしが入っているため不鮮明だが、おそらくこのコードは、「<script>var 変数名=…」で始まり、意味不明な単語(スペースで区切られた1~10数文字の意味のないアルファベット)が大量に続くのが特徴の難読化コードとみられる。このスクリプトが実行されると、意味不明な単語から「iframe」タグを書き込むJavaScriptが生成され、ページ内に1×1ドットのほとんど見えない微小なフレームを作成。フレーム内に外部サイトの「count数字.pnp」というページを読み込む仕掛けになっている。
 このコードは、これまでは主に海外の改ざんサイトで観測されたものだが、今月半ば頃からは国内のサイトでも埋め込まれているケースがいくつか見つかっており、国内での汚染が広がりつつあるようだ。コードの埋め込み場所は、ページ末尾の「/body」タグの直前。埋め込みコードのサンプルは、TippingPoint DVLabsが先月公開した「2010 Top CyberSecurity Risks Report」の10~11ページに、全体の様子が分かる鮮明なものが掲載されている。

■リダイレクションサービスを悪用し攻撃サーバーに誘導

 トレンドマイクロの報告と同じ攻撃者かどうかは不明だが、編集部が12日未明に国内の改ざんサイトから追跡したものは、オーストリアの「.com」サーバーに置かれた「count数字.pnp」から、「co.cc」を使用してウクライナの攻撃サーバーにリダイレクトする仕組みになっていた。「co.cc」は、サーバーのIPアドレスを「サブドメイン名.co.cc」という形で任意のホスト名に割り当て、このホスト名でアクセスできるようにするリダイレクションサービスのひとつ。見かけのURLを頻繁に変更したり、大量の使い捨てURLを作成することができるため、ウイルス配布やフィッシングなどに悪用されることも多く、先月起きたマイクロアド社の広告配信サーバー改ざんでも、攻撃サーバーへの誘導に「ipq.co」という同種のサービスが悪用された。

■脆弱性攻撃を仕掛け「偽セキュリティソフト」などをインストール

 攻撃サイトは、アクセスしたタイミングやユーザー環境によって異なる攻撃を仕掛けてくるようだが、編集部の調査時点では、MDAC、Windowsのヘルプとサポートセンター、Java Deployment Toolkitの脆弱性攻撃を仕掛ける難読化されたJavaScriptが投下された。攻撃が成功すると、さまざまなウイルスのインストーラー役となるドロッパー型のウイルスを実行する。このドロッパーには、「Bredolab」「Zbot」「Waledac」「FakeAV」「Kazy」「Kryptik」など各社各様のウイルス名が付けられており、ドロッパーがインストールするウイルスには、偽セキュリティソフト「Security Tool」も含まれている。

 今回、編集部で確認できた攻撃コードは、いずれも修正済みの脆弱性を狙ったものなので、Windowsやプラグインを最新の状態にしていれば、改ざんサイトを閲覧してもウイルスに感染することはない。下記の関連記事にある「6つの約束」を必ず実行し、攻撃に備えていただきたい。

(2010/10/25 ネットセキュリティニュース)

【関連URL】
・国内100社以上で感染被害を確認。”mstmp” ”lib.dll” のファイル名で拡散する不正プログラム(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/3723
・2010 Top CyberSecurity Risks Report[英文][PDF](TippingPoint DVLabs)
http://dvlabs.tippingpoint.com/toprisks2010

【関連記事:ネットセキュリティニュースコラム】
・初心者必見! 究極の感染対策「6つの約束」を実行しよう

投稿情報: 16:31 |

|