オンライン価格比較サイト「価格.com」がハッキングを受け、4月14日より閉鎖している。
シマンテックによると、価格.comにアクセスしたユーザーは、何らかの仕掛けにより別のサイトにリダイレクトされたという。その悪意あるWebサイトには、Download.jectと同様、MS04-013の脆弱性を悪用するコードが用意されており、パッチを適用していないとコードが実行され、カカクコムが説明している2つのウイルス(トロイの木馬)がインストールされてしまう仕掛けだ。
また筆者(小林)が、価格.comが感染ファイルを流したと称するマルウェアのうち、「PSW.Delf.FZ」について調査してみたところ、今回のハッキングによって価格.comのWebサイトのトップページには、アクセスカウンターに見せかけたコードが埋め込まれたことが分かった。これは、IFRAMEタグの脆弱性を利用してマルウェアコードを仕込むためのトラップと見られる。
このアクセスカウンターと思われるコードは内部でCSSファイルを読み出し、さらにObjectとして利用している。そのCSSこそマルウェアの本体であり、IFRAMEの脆弱性が残ったままのマシンではこのコードが実行されてしまう。
複数の手法が使い分けられていたのかどうかも含め、不正アクセスの仕掛けに関する調査はまだ継続中であり、確実なことは言えない状態だ。ただ、アンチウイルスソフト側のマルウェア対応がまだだとしても、Windows Updateを確実に行い、パッチを適用しているユーザーの場合、今回の問題は顕在化しないと見られる。
このハッキングによって仕込まれたマルウェアだが、現在提供されているアンチウイルスソフトでの検出は、まだ限定的だ。
価格.comによると、このマルウェアは、キヤノンシステムソリューションズが日本で提供している「NOD32」で検知できるという(関連記事)。
しかし、日本でシェアの高い「ノートンアンチウイルス」「ウイルスバスター2005」では、4月16日14時時点では検知可能な公開パターンが提供されていなかった。ウイルスバスター2005では「パターン 2.631.00」で、またノートンアンチウイルスは同日公開のRapid Releaseで緊急対応を行い、5月19日のLiveUpdateで対応するという。
さらに、手元にある13種類のウイルススキャナで当該マルウェアを検知できるかどうか試したところ、NOD32以外には、「BitDefender(BehavesLike:Win32.AV-Killer)」と「Kaspersky Anti-Virus(Trojan-PSW.Win32.Delf.fz)」で検出できることが確認できた。
BitDefenderはフリーバージョンもあるアンチウイルスソフトだ。
Kaspersky Anti-Virusについては、同社自らが提供するパッケージのほか、Kasperskyのウイルス検出エンジンを使用した製品がいくつか存在する(関連記事)。現に、Kasperskyエンジンを採用している、Vintage Solutionsの「ANTIDOTE for PC AntiVirus - SuperLite」でもマルウェアが検出できることを確認した。このソフトの場合、PCへのインストール不要で、ダウンロード実行によるスキャンが行えるため、他のアンチウイルスソフトを導入しているユーザーでもバッティングの不安がない。
ここまで15種類のアンチウイルスソフトを挙げているが、16日の14時時点で検知できるツールが3つのみとは寂しい。
ただ、マルウェアに対する最後の砦となるアンチウイルスソフトの対応はこのような状況ではあるが、今回のマルウェアばら撒きは、既存の脆弱性を利用して行われている。パッチ適用などを通じて脆弱性への防御がなされていれば問題はないはずだ。
マルウェアの被害に遭わないためには「怪しいサイトは訪問しない」ということがしばしば言われてきた。しかし今回の事件により、ハッキングによって、人気の高い大手サイトと言えどもマルウェアの配布元となる可能性があることが明らかになった。これを契機に個人ユーザーも、一つの方法のみに頼ることなく、多層的なセキュリティ対策を取る必要があるといえるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR