最新パッチの適用とJavaScriptの無効化を――トロイの木馬対策

いくつかのWebサイトに悪意あるコードが仕掛けられ、ユーザーのPCにバックドアがインストールされるケースが報告されている。最新パッチの適用とJavaScrpitの無効化が必要だ。

» 2004年06月25日 23時00分 公開
[高橋睦美,ITmedia]

 米国時間の6月24日より、Webページに細工を施したJavaScriptコードを仕込むことで、ユーザーがそれと気づかないうちに重要な情報を盗み取るバックドアを仕掛ける、というケースが報告されている(別記事参照)。どうやらこの動きは、マイクロソフトのWindows 2000で動作するIIS(Internet Information Service)サーバおよびWindows版Internet Explorer(IE)の脆弱性を悪用する、最新の例の1つのようだ。

 マイクロソフトは日本時間の6月25日夜、「Download.Ject に関する情報」と題する文書を公開し、最新のパッチを適用するようユーザーに警戒を呼びかけた。この情報やSANSUS-CERTなどの情報を総合すると、問題は次のように起こったようだ。

 まず、いつの時点かは不明だが、MS04-011のパッチを適用していない複数のIIS 5.0サーバに、悪意あるコードが仕掛けられた(SSL-PCT exploitを悪用したのではないかという情報がある)。このJavaScriptは、サーバが公開しているWebページのフッターを改ざんし、別の悪意あるJavaScriptコードを仕込んだ。

 そうとは知らないユーザーが、やはりパッチを適用していないIEを使ってこのWebサーバにアクセスしてくると、JavaScriptが実行されてしまう。このスクリプトは、ユーザーがそれと意識しないうちに北米やロシアのIPアドレスにPCを接続させ、パスワードなどの重要な情報を読み取るバックドア(その例として「Padodor.W」が指摘されている)を勝手にインストールする。

 この悪意あるコードおよびバックドアに対する解析は、現在なお続いており、最終的にどういった影響を与えるかは判明していない。このコードの影響がどこまで及んだかについても、まだ調査中だ。画像を用いるものなど複数の手法が用いられているため、情報が錯綜しているのが正直なところだが、少なくとも6月25日18時の時点では、警察庁およびJPCERT/CCの定点観測システムでは「特にトラフィックに変化などは見られない」という。

 ただし、対策は明確だ。

 まず、IISサーバを運用している管理者/ホスティング事業者(特にDocument Footerオプションを有効にしている場合)は、不審なJavaScriptを含んだHTMLページを公開していないかどうかを確認し、MS04-011のパッチを適用する。自らが加害者とならないためにも、サービスの一時停止も含めてきちんと確認/対処しておくべきだろう。

 Windowsを利用している一般のユーザーは、Windows Updateを実行し、MS04-013も含めた最新のパッチを適用する。US-CERTではこれに加えて、Webブラウザの設定を変更し、JavaScriptを無効にするよう推奨している。また、ウイルス対策ソフトウェアベンダーも、一連の悪意あるコード/バックドアへの対応を開始しており、定義ファイルの更新を進めている。こちらのアップデートも行っておくべきだ。

 だが、いったいどのIIS Webサーバに悪意あるコードが仕掛けられたかは完全に判明していない。しかも、セキュリティ関連のメーリングリストやCAの情報によると、パッチがまだ公開されていないセキュリティホールが悪用された可能性もあるという。被害に遭わないためには、IE以外のWebブラウザを利用することも検討すべきだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ