マルウェアへ導く不正iframe攻撃が拡大中、政府系や大手メーカーも標的に

[ITmedia]

　正規サイトを改ざんして不正iframeを挿入する攻撃が拡大の一途をたどっている。政府や大手企業のサイトが被害に遭ったり、トラフィックの多い人気サイトが狙われるケースも増加した。

　セキュリティ企業のF-Secureは4月2日のブログで、中国の政府機関サイトにiframeが仕掛けられているのが見つかったと報告。サイト管理者に通報したにもかかわらず、まだiframeは削除されていないという。

目立たないようにiframeタグが仕掛けられた例（F-Secureより）

　問題のiframeは別のサイトへとユーザーを誘導し、大量のiframeを使って「lz.exe」「614.exe」というトロイの木馬に感染させようとする。ユーザーが知らないうちにマルウェアに感染させる手口は巧妙さを増しており、このサイトの場合はMDACやReal Playerの脆弱性などが悪用されていた。

　その後、ソニーの中国サイトにも同様のiframeが挿入されているのが見つかったとF-Secureは伝えている。

　一方Symantecは、トラフィックの多いWebサイトが改ざんされ、悪質コードの配布に使われるケースが増えていると報告。あるイタリアのサイトの場合、難読化され見えにくくしたスクリプトが仕掛けられているのが見つかり、スクリプトを解読したところ、Neosploitというマルウェアツールをホスティングしているサーバにユーザーを誘導するiframeであることが分かった。NeosploitはPCの脆弱性を突いて、Mebrootというトロイの木馬の最新バージョンをインストールする。

　トラフィックの多いサイトは、短期間に多数のユーザーをマルウェアに感染させられるため狙われやすく、アプリケーションセキュリティの重要性がこれまで以上に増しているとSymantecは解説。サイトを守るために定期的な侵入テスト、コードのチェック、開発ライフサイクルを通じたアプリケーションセキュリティプラクティスの実践などを呼びかけている。