ニュース
アリシア・キーズのMySpaceハッキングとMac攻撃の関係は
アリシア・キーズのMySpaceページがハッキングされた事件は、Macを標的としたトロイの木馬を配布した組織と関連があるかもしれない。
米MySpaceがハッキングされ、多数のミュージシャンのサイトにマルウェアと偽のコーデックが埋め込まれた。特に人気シンガー、アリシア・キーズのサイトに仕掛けられた攻撃は、いったん削除されたが、すぐにまたハッキングされた。その後MySpaceがまた削除している。
Exploit Prevention Labs(EPL)のロジャー・トンプソン氏の11月8日付投稿によると、キーズのページにはco8vd.cn/s/の偽コーデックを参照させるHREFイメージが仕掛けられていたが、EPLがこの攻撃の映像を公開してから数時間で、MySpaceがページを修正した。
しかしその数時間後、同サイトに再びマルウェアが仕掛けられ、パッチを当てていないシステムで訪れたり、ページ上でクリックすると感染する状態になっていた。EPL広報によると、この攻撃にはこれまで見たことのない手口が使われていたという。ページのHTMLに、8000×1000ピクセルもの巨大イメージマップが含まれていた。
「クリックのコントロールが少し外れたり、ページ上でクリックしただけで、悪用サイトに誘導される」。トンプソン氏は最初のサイト攻撃について解説した記事でこう述べている。
同氏によると、マルウェアは中国でホスティングされ、rootkitと恐らくはDNS(Domain Name System)チェンジャーをインストールするものだった。DNSチェンジャーはWindowsを標的とした悪名高いトロイの木馬がインストールするのと同じもので、これをコントロールしている組織は最近、Macも標的にし始めている。
DNSチェンジャーは、児童ポルノサイトから資金洗浄までネット上の汚点を大量にホスティングしている悪名高いISP、Russian Business Networkとの結び付きでも有名だ。
「これがMacユーザーに目を付け、Macを狙ったトロイの木馬を撒き散らし始めたのと同じ組織である可能性は多いにある。もしそうなら、攻撃の効果はさらに増すだろう」とトンプソン氏。
最初のハッキングで仕掛けられたco8vd.cn/s/への画像によるリンクは、MySpaceに削除されてHTMLから消えた。しかし修正から数時間後、acilot.cn/s/への同じようなHREF画像リンクに置き換えられている。
ユーザーが感染ページを訪れると、システムに完全な脆弱性修正パッチが当てられていない場合は、脆弱性を突かれてバックグラウンドでマルウェアがインストールされる。次いで被害者には偽のコーデックが表示され、ビデオを見るためにコーデックをインストールする必要があると告げられる。攻撃はこのように何層にもわたるもので、完全にパッチを当てたシステムでも偽のコーデックをクリックすれば被害に遭う恐れがある。
MySpaceユーザーがリンクをクリックしてコーデックをダウンロードする可能性は高いとトンプソン氏は言う。
「これが音声や映像などのメディアを多用したサイトであることを考えると、偽コーデックの仕掛けはさらに効果が高くなる。クリックする人は(ビデオを)見たり歌を聴きたいと思い、何か新しくインストールする必要があるのだろうと純粋に思ってしまう可能性は極めて高い」(トンプソン氏)
同氏によると、MySpaceはこれまで何度も攻撃の対象になってきた。10月末には友人からのコメントに見せかけたリンクが多数付け加えられている。この偽コメントは、MySpaceのオープンリダイレクター(MSPlnks)経由で中国の悪用サイトにリンクされていたという。
そのURLは複雑で、人間が悪質リンクを見分けることは不可能だという。「MySpaceの友だちのコメントは、すべてMSPlnks経由で自動的にリダイレクトされるようだ。これは恐らくスパムとフィッシングをふるい落とすのが狙いのようだが、欠点はURLがBase64でエンコードされ、人間には見分けが付かないことだ。善意のはずのMSPlinksの効果がそがれ、オープンリダイレクターが作成されている」とトンプソン氏。
MySpaceは6月にも、ユーザーのサイトをフィッシング詐欺やウイルスを撒き散らすためのボットに変えてしまうワームに襲われたことがある。このワームは「fast flux」を使い、変わり続けて追跡がほとんど不可能なプロキシサーバのネットワークにフィッシングサイトやマルウェア配信サイトを隠していた。
今回の攻撃は、何者かがミュージシャンのユーザーネームとパスワードを入手したという単純なケースでは片付けられず、不安が残る。フランスのファンクバンド、グリーメンツ・オブ・フォーチュンと、グラスゴーのロックバンド、ダイキニーズなども同じ被害に遭っている。
トンプソン氏によると、攻撃者がどうやってMySpaceをハッキングしているのか、攻撃がどの程度広がっているのかは不明だという。11月8日現在でGoogleもMySpaceもHTMLの悪質な部分をインデックス化しておらず、11月9日のGoogle検索でも被害者の証言やニュース報道しか表示されなかった。
MySpaceは声明を発表したが、攻撃がどのくらい広がっているのか、影響を受けたサイトが幾つあるのか、攻撃者がどうやって数時間の間に2回もMySpaceの防御をかいくぐったかについては何も触れていない。ただ、フィッシングは違法であり、MySpaceはこれを好まないと言っているだけだ。
「会員をだまそうとし、法律を犯す個人はMySpaceでは歓迎されない。われわれはこのフィッシングを仕掛けようとした出所を遮断・削除した」と声明は述べている。
関連記事
- アリシア・キーズのMySpaceページ、ハッキングされる
ミュージシャンのアリシア・キーズのMySpaceページが書き換えられ、不正なコードを埋め込まれた。 
Mac攻撃は一過性で終わらず
Macを狙った問題のトロイの木馬は、少しずつ手を加えたバージョンが公開され続けており、背後にはプロの犯罪集団がいるという。- “Mac安全神話”の終わり?
Macを狙った本格的なマルウェア攻撃が初めて発見された。「MacユーザーはPCのセキュリティのお粗末さを鼻で笑っていたが、もう少し慎重にならなければならない」と専門家は指摘する。 
プロ集団が仕掛けるサイバー攻撃、正規サイトの悪用も増加
Symantecの報告書によると、サイバー犯罪はプロがビジネスとして手掛ける傾向が強まり、正規サイトの脆弱性を悪用するケースも増えた。- MySpaceワームはQuickTimeの脆弱性が原因――F-Secure
問題はQuickTimeの脆弱性にあり、MySpaceだけでなくほかのサイトも影響を受ける可能性があると、F-Secureは警告している。
[Lisa Vaas,eWEEK]
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2010. All Rights Reserved.
1日の処理を1秒にも――MySQLの達人が語る
業務でオープンソースは不安、は過去のこと
「ノートPCの持ち出し禁止」だけで大丈夫?
「どこでもオフィス」で業務効率アップ!
技術者不在でも「すぐに使える」![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
@IT「Windows 7」 特設サイトオープン!
「設備」「ネットワーク」「マネジメント」
「Windows 7搭載PC」で何が変わったのか?
トップエンジニア村上氏と上野氏が競演!
IT基盤をアウトソースした中堅中小企業たち
かつての日本の成功体験はもう通じない
@ITメールソリューションLive! in Tokyo
経営層が信頼から企業価値を生むために
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
産業構造を変えるか:「住宅クラウド」の衝撃
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター