「マルウェア配布の手段として、サーバを改ざんする手口は非常に人気が高まっている」とセキュリティ企業のESETは指摘する。
悪質なApacheのモジュールをWebサーバに仕込み、Webサイトを閲覧したユーザーをマルウェア感染サイトに誘導する攻撃が続いているという。セキュリティ企業のESETは7月2日、これまでに4万を超すIPアドレスやドメインがこの攻撃に使われたと伝えた。
同社のブログによると、この攻撃には「Darkleech」という悪質なApacheモジュールの亜種が使われている。このモジュールを仕込まれたWebサーバでホスティングされているWebサイトをユーザーが閲覧すると、IFRAME経由で悪質なURLからのコンテンツが読み込まれる。
ESETの集計では、先週だけで少なくとも270のWebサイトがこの手口でユーザーを不正なサイトにリダイレクトしていたという。
リダイレクト先サイトには、WebブラウザやJava、Adobe Readerといったプラグインの脆弱性悪用を試みるエクスプロイトキット「Blackhole」が仕掛けられており、さまざまなマルウェアがダウンロードされてしまう恐れがある。
中でも「Nymaim」というランサムウェアに感染すると、コンピュータが使えない状態にされ、300ドルの身代金を要求されるという。
この攻撃は、少なくとも2011年2月ごろから発生していたといい、ESETの集計によれば、これまでに攻撃に利用されたIPアドレスやドメインは4万を超す。このうち1万5000は2013年5月の時点でBlackholeが仕掛けられていたという。
攻撃者は、多くのWebホスティング企業がネットワークなどの管理に使っているサーバコントロールパネルの「CPanel」や「Plesk」を制御することによって、こうしたIPやドメインを操っているとESETは解説する。
悪質なApacheモジュールはDarkleechのほかにも報告されているといい、「マルウェア配布の手段として、サーバを改ざんする手口は非常に人気が高まっているようだ」とESETは警告している。
Copyright © ITmedia, Inc. All Rights Reserved.