中国の大手サイトでマルウェア感染、スーパーボウルと同じ攻撃者？

中国の大手書籍販売サイトなどに悪質コードが仕掛けられているのが発覚。スーパーボウル・ハッキングと同じ攻撃者が中国を標的にしている可能性も。

[ITmedia]

　中国の大手サイトにトロイの木馬やパスワード窃盗コードが仕掛けられているのが見つかったとして、セキュリティ企業のWebsenseがアラートを公開した。

　Websenseによれば、Microsoftのパッチを当てていないユーザーが問題のサイトを訪れると、エンドユーザーが何も操作しなくても脆弱性を悪用してエクスプロイトコードが実行される。外部のサイトからロードされるファイルでキー入力をキャプチャし、ユーザー情報を盗み出す仕掛けになっているという。

　コードが仕掛けられたサイトの中には中国で人気の書籍販売サイトなどもあり、いずれもハッキングされて細工を施したIFRAMEタグが挿入されたと見られる。

　中国サイトの悪質コードについてはSymantecもブログで報告、その1例として「Lingling」を挙げている。

　攻撃者はハッキングしたWebサイトにSQLインジェクションを使ってIFRAMEタグを挿入し、WebブラウザでJavaScriptをロードさせる。このJavaScriptにはInternet Explorer（IE）のさまざまなエクスプロイトコードが含まれ、ここからLinglingがダウンロード・実行される。

　Linglingは、インストールされるとユーザーがゲーム「World of Warcraft」をプレイするのを待ってメモリをスキャンし、ユーザー情報を探し出して攻撃者に送信する。攻撃者はこの情報でアカウントにログインし、仮想アイテムを盗んで売り払い、現金に換えようとする。

　米国では今年、スーパーボウル会場のドルフィンスタジアム公式サイトにIFRAMEタグが仕掛けられる事件が起きたが、Linglingにはこれと同じ攻撃者が関与しているとSymantecは見る。

　中国ではLineageやWorld of Warcraftなどのオンラインゲームに興じるユーザーが多いため、必然的にこうしたゲームのユーザー情報を盗み出すコードが増えるとSymantecは解説している。