ニュース
» 2007年11月12日 09時55分 UPDATE

アリシア・キーズのMySpaceハッキングとMac攻撃の関係は

アリシア・キーズのMySpaceページがハッキングされた事件は、Macを標的としたトロイの木馬を配布した組織と関連があるかもしれない。

[Lisa Vaas,eWEEK]
eWEEK

 米MySpaceがハッキングされ、多数のミュージシャンのサイトにマルウェアと偽のコーデックが埋め込まれた。特に人気シンガー、アリシア・キーズのサイトに仕掛けられた攻撃は、いったん削除されたが、すぐにまたハッキングされた。その後MySpaceがまた削除している。

 Exploit Prevention Labs(EPL)のロジャー・トンプソン氏の11月8日付投稿によると、キーズのページにはco8vd.cn/s/の偽コーデックを参照させるHREFイメージが仕掛けられていたが、EPLがこの攻撃の映像を公開してから数時間で、MySpaceがページを修正した。

 しかしその数時間後、同サイトに再びマルウェアが仕掛けられ、パッチを当てていないシステムで訪れたり、ページ上でクリックすると感染する状態になっていた。EPL広報によると、この攻撃にはこれまで見たことのない手口が使われていたという。ページのHTMLに、8000×1000ピクセルもの巨大イメージマップが含まれていた。

 「クリックのコントロールが少し外れたり、ページ上でクリックしただけで、悪用サイトに誘導される」。トンプソン氏は最初のサイト攻撃について解説した記事でこう述べている。

 同氏によると、マルウェアは中国でホスティングされ、rootkitと恐らくはDNS(Domain Name System)チェンジャーをインストールするものだった。DNSチェンジャーはWindowsを標的とした悪名高いトロイの木馬がインストールするのと同じもので、これをコントロールしている組織は最近、Macも標的にし始めている。

 DNSチェンジャーは、児童ポルノサイトから資金洗浄までネット上の汚点を大量にホスティングしている悪名高いISP、Russian Business Networkとの結び付きでも有名だ。

 「これがMacユーザーに目を付け、Macを狙ったトロイの木馬を撒き散らし始めたのと同じ組織である可能性は多いにある。もしそうなら、攻撃の効果はさらに増すだろう」とトンプソン氏。

 最初のハッキングで仕掛けられたco8vd.cn/s/への画像によるリンクは、MySpaceに削除されてHTMLから消えた。しかし修正から数時間後、acilot.cn/s/への同じようなHREF画像リンクに置き換えられている。

 ユーザーが感染ページを訪れると、システムに完全な脆弱性修正パッチが当てられていない場合は、脆弱性を突かれてバックグラウンドでマルウェアがインストールされる。次いで被害者には偽のコーデックが表示され、ビデオを見るためにコーデックをインストールする必要があると告げられる。攻撃はこのように何層にもわたるもので、完全にパッチを当てたシステムでも偽のコーデックをクリックすれば被害に遭う恐れがある。

 MySpaceユーザーがリンクをクリックしてコーデックをダウンロードする可能性は高いとトンプソン氏は言う。

 「これが音声や映像などのメディアを多用したサイトであることを考えると、偽コーデックの仕掛けはさらに効果が高くなる。クリックする人は(ビデオを)見たり歌を聴きたいと思い、何か新しくインストールする必要があるのだろうと純粋に思ってしまう可能性は極めて高い」(トンプソン氏)

 同氏によると、MySpaceはこれまで何度も攻撃の対象になってきた。10月末には友人からのコメントに見せかけたリンクが多数付け加えられている。この偽コメントは、MySpaceのオープンリダイレクター(MSPlnks)経由で中国の悪用サイトにリンクされていたという。

 そのURLは複雑で、人間が悪質リンクを見分けることは不可能だという。「MySpaceの友だちのコメントは、すべてMSPlnks経由で自動的にリダイレクトされるようだ。これは恐らくスパムとフィッシングをふるい落とすのが狙いのようだが、欠点はURLがBase64でエンコードされ、人間には見分けが付かないことだ。善意のはずのMSPlinksの効果がそがれ、オープンリダイレクターが作成されている」とトンプソン氏。

 MySpaceは6月にも、ユーザーのサイトをフィッシング詐欺やウイルスを撒き散らすためのボットに変えてしまうワームに襲われたことがある。このワームは「fast flux」を使い、変わり続けて追跡がほとんど不可能なプロキシサーバのネットワークにフィッシングサイトやマルウェア配信サイトを隠していた。

 今回の攻撃は、何者かがミュージシャンのユーザーネームとパスワードを入手したという単純なケースでは片付けられず、不安が残る。フランスのファンクバンド、グリーメンツ・オブ・フォーチュンと、グラスゴーのロックバンド、ダイキニーズなども同じ被害に遭っている。

 トンプソン氏によると、攻撃者がどうやってMySpaceをハッキングしているのか、攻撃がどの程度広がっているのかは不明だという。11月8日現在でGoogleもMySpaceもHTMLの悪質な部分をインデックス化しておらず、11月9日のGoogle検索でも被害者の証言やニュース報道しか表示されなかった。

 MySpaceは声明を発表したが、攻撃がどのくらい広がっているのか、影響を受けたサイトが幾つあるのか、攻撃者がどうやって数時間の間に2回もMySpaceの防御をかいくぐったかについては何も触れていない。ただ、フィッシングは違法であり、MySpaceはこれを好まないと言っているだけだ。

 「会員をだまそうとし、法律を犯す個人はMySpaceでは歓迎されない。われわれはこのフィッシングを仕掛けようとした出所を遮断・削除した」と声明は述べている。

原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -