アリシア・キーズのMySpaceハッキングとMac攻撃の関係は
アリシア・キーズのMySpaceページがハッキングされた事件は、Macを標的としたトロイの木馬を配布した組織と関連があるかもしれない。
米MySpaceがハッキングされ、多数のミュージシャンのサイトにマルウェアと偽のコーデックが埋め込まれた。特に人気シンガー、アリシア・キーズのサイトに仕掛けられた攻撃は、いったん削除されたが、すぐにまたハッキングされた。その後MySpaceがまた削除している。
Exploit Prevention Labs(EPL)のロジャー・トンプソン氏の11月8日付投稿によると、キーズのページにはco8vd.cn/s/の偽コーデックを参照させるHREFイメージが仕掛けられていたが、EPLがこの攻撃の映像を公開してから数時間で、MySpaceがページを修正した。
しかしその数時間後、同サイトに再びマルウェアが仕掛けられ、パッチを当てていないシステムで訪れたり、ページ上でクリックすると感染する状態になっていた。EPL広報によると、この攻撃にはこれまで見たことのない手口が使われていたという。ページのHTMLに、8000×1000ピクセルもの巨大イメージマップが含まれていた。
「クリックのコントロールが少し外れたり、ページ上でクリックしただけで、悪用サイトに誘導される」。トンプソン氏は最初のサイト攻撃について解説した記事でこう述べている。
同氏によると、マルウェアは中国でホスティングされ、rootkitと恐らくはDNS(Domain Name System)チェンジャーをインストールするものだった。DNSチェンジャーはWindowsを標的とした悪名高いトロイの木馬がインストールするのと同じもので、これをコントロールしている組織は最近、Macも標的にし始めている。
DNSチェンジャーは、児童ポルノサイトから資金洗浄までネット上の汚点を大量にホスティングしている悪名高いISP、Russian Business Networkとの結び付きでも有名だ。
「これがMacユーザーに目を付け、Macを狙ったトロイの木馬を撒き散らし始めたのと同じ組織である可能性は多いにある。もしそうなら、攻撃の効果はさらに増すだろう」とトンプソン氏。
最初のハッキングで仕掛けられたco8vd.cn/s/への画像によるリンクは、MySpaceに削除されてHTMLから消えた。しかし修正から数時間後、acilot.cn/s/への同じようなHREF画像リンクに置き換えられている。
ユーザーが感染ページを訪れると、システムに完全な脆弱性修正パッチが当てられていない場合は、脆弱性を突かれてバックグラウンドでマルウェアがインストールされる。次いで被害者には偽のコーデックが表示され、ビデオを見るためにコーデックをインストールする必要があると告げられる。攻撃はこのように何層にもわたるもので、完全にパッチを当てたシステムでも偽のコーデックをクリックすれば被害に遭う恐れがある。
MySpaceユーザーがリンクをクリックしてコーデックをダウンロードする可能性は高いとトンプソン氏は言う。
「これが音声や映像などのメディアを多用したサイトであることを考えると、偽コーデックの仕掛けはさらに効果が高くなる。クリックする人は(ビデオを)見たり歌を聴きたいと思い、何か新しくインストールする必要があるのだろうと純粋に思ってしまう可能性は極めて高い」(トンプソン氏)
同氏によると、MySpaceはこれまで何度も攻撃の対象になってきた。10月末には友人からのコメントに見せかけたリンクが多数付け加えられている。この偽コメントは、MySpaceのオープンリダイレクター(MSPlnks)経由で中国の悪用サイトにリンクされていたという。
そのURLは複雑で、人間が悪質リンクを見分けることは不可能だという。「MySpaceの友だちのコメントは、すべてMSPlnks経由で自動的にリダイレクトされるようだ。これは恐らくスパムとフィッシングをふるい落とすのが狙いのようだが、欠点はURLがBase64でエンコードされ、人間には見分けが付かないことだ。善意のはずのMSPlinksの効果がそがれ、オープンリダイレクターが作成されている」とトンプソン氏。
MySpaceは6月にも、ユーザーのサイトをフィッシング詐欺やウイルスを撒き散らすためのボットに変えてしまうワームに襲われたことがある。このワームは「fast flux」を使い、変わり続けて追跡がほとんど不可能なプロキシサーバのネットワークにフィッシングサイトやマルウェア配信サイトを隠していた。
今回の攻撃は、何者かがミュージシャンのユーザーネームとパスワードを入手したという単純なケースでは片付けられず、不安が残る。フランスのファンクバンド、グリーメンツ・オブ・フォーチュンと、グラスゴーのロックバンド、ダイキニーズなども同じ被害に遭っている。
トンプソン氏によると、攻撃者がどうやってMySpaceをハッキングしているのか、攻撃がどの程度広がっているのかは不明だという。11月8日現在でGoogleもMySpaceもHTMLの悪質な部分をインデックス化しておらず、11月9日のGoogle検索でも被害者の証言やニュース報道しか表示されなかった。
MySpaceは声明を発表したが、攻撃がどのくらい広がっているのか、影響を受けたサイトが幾つあるのか、攻撃者がどうやって数時間の間に2回もMySpaceの防御をかいくぐったかについては何も触れていない。ただ、フィッシングは違法であり、MySpaceはこれを好まないと言っているだけだ。
「会員をだまそうとし、法律を犯す個人はMySpaceでは歓迎されない。われわれはこのフィッシングを仕掛けようとした出所を遮断・削除した」と声明は述べている。
関連記事
- アリシア・キーズのMySpaceページ、ハッキングされる
ミュージシャンのアリシア・キーズのMySpaceページが書き換えられ、不正なコードを埋め込まれた。 
Mac攻撃は一過性で終わらず
Macを狙った問題のトロイの木馬は、少しずつ手を加えたバージョンが公開され続けており、背後にはプロの犯罪集団がいるという。- “Mac安全神話”の終わり?
Macを狙った本格的なマルウェア攻撃が初めて発見された。「MacユーザーはPCのセキュリティのお粗末さを鼻で笑っていたが、もう少し慎重にならなければならない」と専門家は指摘する。 
プロ集団が仕掛けるサイバー攻撃、正規サイトの悪用も増加
Symantecの報告書によると、サイバー犯罪はプロがビジネスとして手掛ける傾向が強まり、正規サイトの脆弱性を悪用するケースも増えた。- MySpaceワームはQuickTimeの脆弱性が原因――F-Secure
問題はQuickTimeの脆弱性にあり、MySpaceだけでなくほかのサイトも影響を受ける可能性があると、F-Secureは警告している。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- ゼロトラストの最新トレンド5つをガートナーが発表
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
ITmediaはアイティメディア株式会社の登録商標です。