Google悪用のスポンサーリンク、QuickTimeのゼロデイ攻撃につながる

McAfeeによると、Googleのスポンサーリンク最上部に表示されていたサイトには、QuickTimeの脆弱性を突いたマルウェアが仕掛けられていた。

[ITmedia]

　Google検索でスポンサーリンク最上部に悪質サイトが表示されていた問題で、このサイトにはAppleのQuickTimeの脆弱性や、Microsoftのアニメーションカーソルの脆弱性を突いた悪用コードが仕掛けられていたことが分かった。セキュリティ企業のMcAfeeがブログで4月26日に伝えた。

　この問題では、Googleで米商事改善協会（BBB）などに関連した検索をかけると、スポンサーリンクのトップに目的のサイトのように見せかけたページが表示され、ユーザーを悪質サイトに誘導する仕掛けになっていた。Googleはその後、このリンク掲載に絡んだAdWordsアカウントを閉鎖している。

　McAfeeによると、リンク先の悪質サイトからは「JS/Wonka」というトロイの木馬が検出され、多数のマルウェアを含んだiframeが仕掛けられているのが見つかった。このマルウェアは、QuickTimeのゼロデイの脆弱性や、Microsoftがパッチを公開したばかりのアニメーションカーソルの脆弱性など、複数の脆弱性を悪用しているという。

　QuickTimeの脆弱性は、セキュリティカンファレンスのCanSecWestで発見されたばかりでまだパッチは存在しない。悪用が発覚したのは今回が初めてだという。マルウェアがユーザーのコンピュータにインストールされると、銀行のパスワードを盗み出すマルウェアをダウンロードする仕掛けになっている。

　Google検索では通常の検索結果の場合、マウスをリンクの上に持っていくとURLが表示されるが、スポンサーリンクの場合はURLが表示されない。このためユーザーはスポンサーのうたい文句を信じるしかないが、それは賢明ではないとMcAfeeは指摘する。

　Google検索をめぐっては、過去にもページランクの不正操作を目的としたインデックス乗っ取りの手口が報告されているが、スポンサーリンクはまた別の話だとMcAfeeは解説。スポンサーリンクで最上部に表示されるためにはそれなりの料金を払う必要があるが、ユーザーの個人情報入手という点で、攻撃側は料金に見合った投資を回収できるのだろうかと疑問を投げ掛けている。