スパイウェア、ボット、ルートキット……各種マルウェアの蔓延を許したIEのセキュリティホール

IEのVector Markup Languageを処理する方法に存在していたゼロデイ型脆弱性が新たに発見され、Webを通して感染マシンにボットやトロイの木馬、スパイウェア、rootkitなどが送り込まれている。

[Ryan Naraine，eWEEK]

　WindowsのVector Markup Languageを処理する方法に存在していたゼロデイ型脆弱性が新たに発見され、感染マシンに大量のボットやトロイの木馬ダウンロードプログラム、スパイウェア、rootkitを送り込むのに悪用されている。

　Sunbelt Softwareの研究者は、複数のパッチを完全に適用したWindowsに対するマルウェア攻撃の発生を検知してから24時間以内に、こうしたWebベースの攻撃によって、ボットネットを形成するのに利用されるトロイの木馬や、広告に使われるスパイウェアのインストールプログラムがばらまかれていると発表した。

　一方、アトランタに拠点を置くExploit Prevention Labsの最高技術責任者（CTO）、ロジャー・ロンプソン氏も、「広い範囲でのマルウェアの蔓延が見られる」と述べている。eWEEKのインタビューに応じた同氏は、感染したマシンに対して、rootkitが仕込まれたブラウザツールバーやスパイウェアプログラムを送り込む攻撃が進行中だと話した。

　ロシアのポルノサイトに接続するようプログラムされたマルウェアの多くに、コンピュータからデータを盗む危険なキーロガーソフトウェアや、金融機関のWebサイトにログインする際の情報を盗むトロイの木馬が含まれているという。

　Sunbelt Softwareの研究者であるエリック・サイテス氏は、そうしたマルウェアの例として、Internet Explorer（IE）にポップアップを表示させる広告プログラム「VirtuMonde」、アドウェアユーティリティの「Claria.GAIN.CommonElements」、「AvenueMedia.InternetOptimizer」、ブラウザ用プラグインおよびツールバー数種、悪質な「Spybot」ワームの亜種などを挙げている。

　eWEEKもまた、IE 6.0が稼働する、完全にパッチの適用されたWindows XP SP2（Service Pack 2）に欠陥があり、ゼロデイ攻撃が起こっていることを確認した。悪質な実行ファイルが置いてあるWebサイトは少なくとも3件存在し、それぞれ順番に用いられていることも分かった。

　一部のケースでは、悪質なサイトを閲覧した場合に、「エラー：このユーザーはすでに攻撃されている（Err: this user is already attacked）」というメッセージが表示される。

　この攻撃には、ユーザー自らスパイウェアをインストールするようにし向ける「WebAttacker」スパイウェアツールキットが深くかかわっている。悪意を持って作成されたWebサイトの1つでは、Microsoftがセキュリティパッチの有無を確認する方法までもが、攻撃コードによって参照されていた。背後に組織化された犯罪者集団が暗躍していることをうかがわせる、不気味な事件だ。

　攻撃に関係しているサイトのURLに、「MS06-XMLNS&SP2」という文字列が含まれていることから、この脆弱性がゼロデイ型のもので、Microsoftのパッチが間もなくリリースされることが推測できる。

　Microsoftの広報によれば、同社がこの脆弱性を悪用しうる詳細な実証コードが公になっている事実を認識しているという。また広報はeWEEKに、「独自の調査から、攻撃者がこの実証コードを悪用すると、ユーザーのシステム上で任意のコードを実行できるようになることが判明した。現時点では、同脆弱性を悪用した攻撃の発生は、限定的にしか確認されていない」とするコメントを提供した。

　Microsoftは、10月10日に予定している月例アップデートの一環として、IE向けのパッチを配布する予定だ。ただし、攻撃がエスカレートした場合は、緊急措置的なパッチがリリースされる可能性もあるという。

　また同社は、ウイルス対策製品「Windows OneCare」に、シグネチャベースの検知機能を追加した。一両日中には、パッチリリース前に実施できる次善策を示した公式セキュリティ勧告が発表される。

原文へのリンク