大手サイトに仕込まれたトロイの木馬に要注意

一部のメジャーサイトにアクセスすると、画像ファイルに組み込まれた悪質なJavaScriptにより、知らない間にトロイの木馬をダウンロードさせられ、スパムの踏み台にされる可能性がある。(IDG)

» 2004年06月25日 18時31分 公開
[IDG Japan]
IDG

 一部のメジャーなWebサイトを訪問したときに、知らないうちに悪意あるコードをダウンロードさせられてコンピュータを乗っ取られ、スパムの中継基地にされる可能性がある。セキュリティサービス企業NetSecが6月24日、警告を発した。

 大企業や政府機関を顧客に抱える同社のブレント・フーラハンCTO(最高技術責任者)によると、24日午前から同社顧客のネットワークの一部で不審なトラフィックを検出するようになった。

 該当ネットワークのファイアウォールのログなどを調査したところ、オンラインオークション、検索エンジン、価格比較サイトといった特定の人気サイトを訪れたユーザーが、サイト上の画像ファイルに付加された悪意あるJavaScriptコードを知らないうちにダウンロードしていることが判明したという。

 このコードは、ユーザーに気付かれずに北米とロシアのIPアドレスにPCを接続。キーストロークを読み取るプログラムなどの悪意あるコードを、知らぬ間にマシンにインストールしてしまうとフーラハン氏は説明している。

 このコードは、感染したユーザーが訪問したWebサイトのアドレスと、そのサイトにアクセスするときのパスワードも収集する。さらに、ロシアのIPアドレスはスパムの発信源として知られており、感染したマシンは後にスパム中継ネットワーク構築に利用される可能性があると同氏は述べている。

 同氏は、NetSecではまだコードを調査中で、正確なペイロードや攻撃の意図はつかめていないと強調している。SANS InstituteのInternet Storm Centerによる調査では、このコードは「msits.exe」というトロイの木馬をダウンロードしてインストールすることが判明したと、同センターのCTO、ヨハネス・ウルリッヒ氏。

 ウルリッヒ氏は、msits.exeがどのような機能を実行するかについては特定していない。

 NetSecは法的責任を理由に、影響を受けているサイトの名前を明らかにしなかったが、「かなり大手のサイトだ」としている。恐らくISP(インターネットサービスプロバイダー)自体の「オリジンサーバ」ではなく、こうしたサイトのコンテンツをキャッシュするWebホスティングサーバが感染しているのだろうとフーラハン氏。

 NetSecの技術支援センターを管理するダン・フラスネッリ氏は、「今回の特異な攻撃で使われている手口は新しいものではない。しかし、メジャーサイトのホスティングサーバが影響を受けている点は重要だ」と指摘する。

 同氏によると、この攻撃はWindowsとInternet Explorer(IE)のユーザーだけに影響するという。攻撃がどのように発生したのかは24日時点で不明だが、msits.exeはMicrosoftのWebサーバソフト「Internet Information Services」(IIS)を搭載したWebホスティングサーバの脆弱性を悪用している可能性があるとフラスネッリ氏は推測している。

 US-CERTはIISのバージョン5.0を走らせているシステム管理者に対し、自社のシステムでホスティングしているWebページの下部に、異常なJavaScriptが付加されていないが確認するよう呼びかけている。

 24日午後の段階では、影響を受けるシステムの数や問題の拡散範囲は明らかになっていない。NetSecは、カスタム侵入検知シグネチャを作成し、この攻撃に関係するIPアドレスに顧客のPCをアクセスできないようにすることで、自社顧客を保護していると説明する。

 「広範に影響が及ぶ恐れがある。ウイルス対策企業は、このコードに対応したシグネチャをまだ用意していないからだ」とフラスネッリ氏。

 CERTはこの攻撃について、JavaScriptが有効になっている場合にユーザーが警戒しなければならないのはなぜかを示す新たな例だとして、絶対に必要な場合を除いてはJavaScriptを無効にするよう勧めている。同団体は、ユーザーが信頼しているWebサーバでも、この攻撃を受け、悪質なコードを埋め込まれている可能性があると警告している。

Copyright(C) IDG Japan, Inc. All Rights Reserved.

注目のテーマ