ITmedia NEWS >

Webサイトのトロイの木馬ばらまき、いまだ続く

» 2004年07月09日 15時17分 公開
[IDG Japan]
IDG

 2週間前、トロイの木馬を脆弱なコンピュータに植え付ける攻撃で使われているとして発見された不正コード「Scob」を、いまだに100台以上のWebサーバがばらまいているとコンピュータセキュリティ企業が指摘している。この攻撃では、トロイの木馬をばらまくのに、脆弱性を抱えたMicrosoftのInternet Information Services(IIS)搭載Webサーバが利用された。

 企業向けセキュリティソフトを手がけるWebsenseは、Scobあるいは「Download.Ject」と呼ばれる不正なJavaScriptプログラムの変種をばらまいている114のWebサイトを発見した。この攻撃は初め、IISバージョン5を走らせているWebサーバのみを標的にしていたが、現在感染しているサイトの大半はIISのバージョン6を走らせているという。管理者が感染に気付かずに、システムをアップグレードしたためだとWebsenseのセキュリティ・技術研究ディレクター、ダン・ハバード氏は説明している。

 Websenseは2400万以上のWebサイトを日々「マイニング」し、Web上の脅威を検知しており、その際にこれらの感染サイトを発見した。ハバード氏によると、同社は6月24日にマイニングアルゴリズムを修正してScobをばらまいているサイトを発見できるようにし、それ以来こうしたサイトを監視してきたという。

 これらのおよそ100のサイトはすべてIIS 5.0または6.0を走らせている。Scobは今でも最初の攻撃で使われたWebサイトに接続する設定になっているが、これらのサイトはこの攻撃のニュースが広まった直後に閉鎖されたため、Scobの攻撃が続いても、おそらく新たなトロイの木馬への感染はなかっただろうとハバード氏は語る。

 Scobの攻撃は初め6月24日に検出され、ロシアの「hangUP team」というグループに関連があるとされてきた。このコードは、最近パッチが発行されたMicrosoftのSSL実装のバッファオーバーフローの脆弱性を利用して、IIS 5を走らせるWindows 2000システムに感染する。IIS 5を使っていて、最近のパッチ(MS04-011)を当てていない企業は、攻撃にさらされる恐れがある。

 またこの攻撃はWindowsとInternet Explorer(IE)の2つの脆弱性を利用して、感染したIISサーバがばらまいた不正コードを、そのサーバにアクセスしたマシン上で実行する。それからコンシューマーをhangUP teamの支配下にあるサイトにリダイレクトして、キー入力の内容と個人情報を取得するトロイの木馬をダウンロードする。

 これら脆弱性のうち1つはIEに関するもので、まだパッチは発行されていない。この脆弱性はADODB.StreamというWindowsコンポーネントを利用して、ローカルHDDのファイルやwww.microsoft.comなどの信頼できるサイトから取得するファイルに適用される緩いセキュリティを使って、強制的にIEにセキュアでないコンテンツをロードさせる。

 Microsoftは7月2日、Windows 2000/XP、Windows Server 2003の構成を変更してADODB.Streamを無効にし、顧客のScob攻撃対策を支援するアップデートをリリースした(7月3日の記事参照)。同社はさらにIEのセキュリティホールのパッチなど、多数のパッチを向こう数週間以内に提供する計画で、これらは月例パッチとは別にリリースされる可能性もあると同社は述べている。

 今回発見された感染サイトは6月の攻撃と関係があるようだが、一部のサイトは6月に利用された不正なJavaScriptコードの変種をばらまいているとハバード氏は説明する。また、最初の攻撃ではコードがWebサイトの「フッター」として付加されていたが、今回はIISが配信するHTML Webページに直接コードが埋め込まれているという。

 ハバード氏は会社の方針を理由に、感染したサイトの名前は明かさなかったが、アクセス数トップ500に入るほどの「有名」サイトではないとしている。

 IIS 6サーバの感染は、既に感染していたIISサーバをアップグレードしたためのようだが、ほかのルートでIIS 6サーバがScobに感染する可能性もあるとMicrosoftの広報担当者は話している。

 特に、IIS 6サーバにパブリッシュする権限を持ち、感染したIIS 5サーバでも権限を持つユーザーが、感染したページをほかのサーバに移す可能性が考えられる。あるいはMS04-011のパッチをあてていないIIS 5サーバをIIS 6にアップグレードした場合も、脆弱性が残るかもしれないとこの担当者は説明している。

 Microsoftが知る限りでは、IIS 6サーバへの直接感染はないという。

 Websenseのデータもこの結論を支持している。同社が発見した100の感染したIIS 6サイトのうち、少なくとも20は最近までIIS 5を走らせていた。管理者が感染に気付かずに手動かMicrosoftのAutoUpdate機能でアップグレードしたのかもしれないとハバード氏。

 同氏はまた、不正コードの接続先が最初の攻撃で使われたロシアのサイトになっていることは、感染が6月の最初の攻撃時に起きた証拠だとしている。

 「新しい攻撃を計画する場合に、接続先を閉鎖されたサイトのままにするだろうか? ペイロードが役に立たなければ、コンピュータを攻撃する意味がない」(同氏)

 またWebsenseは、感染したサイトの管理者に連絡を取って、サーバの「消毒」を勧めようとしているところだという。

 ハバード氏は、5つの感染サイトのWebマスターと話をした。同氏はメールの中で、彼らはそれぞれのサイトをさまざまな理由で最近IIS 6にアップグレードしており、自分のサイトがScobに感染していたことに「驚いていた」と述べている。

Copyright(C) IDG Japan, Inc. All Rights Reserved.