9月24日夜、マイクロアドが提供する広告配信サーバーが改ざん被害を受け、多数のメディアが影響を受けた。98サイトに向けて配信したバナー広告に、攻撃サイトへと誘導する不正なリンクが埋め込まれてしまったため、配信先の広告入りページが実質改ざんされてしまったのだ。
誘導先の攻撃サイトには、WindowsやAdobe Reader、Adobe Flash 、JRE(Java Runtime Environment)の脆弱性を突く攻撃コードが仕掛けられており、未更新の古いバージョンを使用している場合には、「Security Tool」という偽セキュリティソフトを自動的にインストールする仕掛けになっていた。
偽セキュリティソフトのキャンペーンには、ブラウザ上で偽のスキャンを行い、ウイルスが見つかったとして、ユーザー自身に偽ソフトをダウンロード/インストールさせようとするものもあるが、今回のものは、Gumblarや8080と同じドライブ・バイ・ダウンロード攻撃とよばれるもの。使用しているソフトウェアが最新状態なら何の影響もないのだが、脆弱性が残っていると、ユーザーの意思と関係なく偽セキュリティソフトが強制的にインストールされてしまうことになる。
今回の攻撃でインストールされたのは、この偽セキュリティソフトだけだったので、被害は限定的で感染したかどうかも容易に把握できた。しかし、ドライブ・バイ・ダウンロード攻撃で何を強制導入させるかは攻撃者次第。スパイウェアやボットなどのシステムに潜伏するタイプのウイルスだったら、感染したことに気付かないまま、個人情報やアカウント情報を盗み取られたり、パソコンを外部から操られてしまうことになる。
告知サイトは減ったものの、依然としてGumblarや8080系の誘導リンクが埋め込まれた国内の改ざんサイトは多く、この他にも複数のサイト改ざんが行われている。その多くは、ドライブ・バイ・ダウンロードによるウイルス感染を狙ったもので、脆弱性のない最新のソフトウエアを使用することで攻撃を回避できる。下記の関連記事が示す「6つの約束」を必ず実行し、攻撃に備えていただきたい。
(2010/10/07 ネットセキュリティニュース)
【関連URL】
・攻撃用ツールキットを使用した Web サイト経由での攻撃に関する注意喚起(JPCERT/CC)
http://www.jpcert.or.jp/at/2010/at100025.txt