今週のお役立ち情報
SCAN DISPATCH : 1,000を超える企業や政府サイトがウイルスを配布
2008年07月16日21時00分 / 提供:ネットセキュリティ
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。
----
カリフォルニア州のFinjan社が、興味深い二つのレポートを発表している。
一つ目のレポートは、最近一番「人気」の攻撃ベクター、正規Webページの改変についての調査だ。同社の「SecureBrowsing」というSaaSタイプのサービスが、1,000を超える正規Webページが、今月になって始まった新たなWebアタックにより改ざんされていることを突き止めている。
攻撃者は、「Asprox」という名前のツールキットを使って、正規サイトを改ざんしている。この「Asprox」というツールは、まずGoogleでファイルの拡張子が「.asp」を持つページをリストアップし、そのリスト内のサイトにSQLインジェクション攻撃を次々としかけ、世界中に140以上あるドメインの一つから、iFrameを使ってマルウエアをダウンロードさせるように改ざんするもの。Finjan社CTOのYuval Ben-Itzhak 氏は「マルウエアを送り込むサイトの数は毎日増えているから、今回の発見は氷山の一角であろう」と言っている。
Webサイトが改ざんされるのは日常茶飯事ではあるが、今回のFinjan社の発表で注目すべきは、「ほとんどのサイトが(リリースが発表された7月13日の時点で)未だにマルウエアをばら撒いている」という事実と、1,000のサイトの中には、サンフランシスコ市のWebサイト(このサイトは既に中和されており安全)や、ボトル入り飲料のスナップル社、カリフォルニア州大学アーバイン校、米国の新聞 The Baltimore Times や、コカコーラブラジルなどが含まれていることの二点だ。
原稿を書いている7月15日時点で、site:jp ngg.js や、fgg.js で Google検索をかけてみると、500以上のサイトが見つかる。Googleが「このサイトはコンピュータに損害を与える可能性があります」と注意を呼びかけるのは、このうちの一部にすぎない。
問題の改ざんだが、攻撃者は.aspのファイルに以下のJavaScriptを挿入し(図1)、そしてiFrameを用いてユーザーのマシンにマルウエアをダウンロードさせている(図2)。
図1:
https://www.netsecurity.ne.jp/images/article/finjan0715_1.jp
g
図2:
https://www.netsecurity.ne.jp/images/article/finjan0715_2.jp
g
上記のスクリプトは、ユーザーのマシンの MDAC機能の脆弱性(MS06-014)と、QuickTime rtsp の脆弱性、AOLの SuperBuddy ActiveX Control Code Execution Vulnerability の脆弱性をエクスプロイトして、ユーザーのマシンへのダウンロードを行う。
Yuval Ben-Itzhak氏は「SQLインジェクションが発生するのは、デベロッパーのコードが問題」としているが、一般ユーザーとしては、最新のパッチを当てることが何よりも重要だ。
その一方、ウイルス検知ソフトに頼れると思うのは間違いのようだ。なぜなら、Finjanではそのブログで、この一連の攻撃がウイルス検知ソフトで認識されるかを、7月3日にチェックしている。
Finjan社blog(2008年7月3日)
http://www.finjan.com/MCRCblog.aspx?EntryId=1993
オンライン上で疑わしいファイルの解析を行う Virus Totalにアップロードしてみると、問題の悪意のあるファイルがWin32/agentの一種であることを認識・警告したのは33製品のうちの19製品のみで、マカフィーやシマンテックを含めた14の製品がマルウエアだと認識しない…
【執筆:米国 笠原利香】
【関連リンク】
Finjan社
http://www.finjan.com
MDAC機能の脆弱性
http://www.microsoft.com/japan/technet/security/Bulletin/MS0
6-014.mspx
QuickTime rtspの脆弱性
http://www.us-cert.gov/cas/alerts/SA07-024A.html
AOL SuperBuddy ActiveX Control Code Execution の脆弱性
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-5820
Virus Total
http://www.virustotal.com/jp/
FinjanのSecureBrowsing無料ツール
http://securebrowsing.finjan.com/
-----
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
----
カリフォルニア州のFinjan社が、興味深い二つのレポートを発表している。
一つ目のレポートは、最近一番「人気」の攻撃ベクター、正規Webページの改変についての調査だ。同社の「SecureBrowsing」というSaaSタイプのサービスが、1,000を超える正規Webページが、今月になって始まった新たなWebアタックにより改ざんされていることを突き止めている。
攻撃者は、「Asprox」という名前のツールキットを使って、正規サイトを改ざんしている。この「Asprox」というツールは、まずGoogleでファイルの拡張子が「.asp」を持つページをリストアップし、そのリスト内のサイトにSQLインジェクション攻撃を次々としかけ、世界中に140以上あるドメインの一つから、iFrameを使ってマルウエアをダウンロードさせるように改ざんするもの。Finjan社CTOのYuval Ben-Itzhak 氏は「マルウエアを送り込むサイトの数は毎日増えているから、今回の発見は氷山の一角であろう」と言っている。
Webサイトが改ざんされるのは日常茶飯事ではあるが、今回のFinjan社の発表で注目すべきは、「ほとんどのサイトが(リリースが発表された7月13日の時点で)未だにマルウエアをばら撒いている」という事実と、1,000のサイトの中には、サンフランシスコ市のWebサイト(このサイトは既に中和されており安全)や、ボトル入り飲料のスナップル社、カリフォルニア州大学アーバイン校、米国の新聞 The Baltimore Times や、コカコーラブラジルなどが含まれていることの二点だ。
原稿を書いている7月15日時点で、site:jp ngg.js や、fgg.js で Google検索をかけてみると、500以上のサイトが見つかる。Googleが「このサイトはコンピュータに損害を与える可能性があります」と注意を呼びかけるのは、このうちの一部にすぎない。
問題の改ざんだが、攻撃者は.aspのファイルに以下のJavaScriptを挿入し(図1)、そしてiFrameを用いてユーザーのマシンにマルウエアをダウンロードさせている(図2)。
図1:
https://www.netsecurity.ne.jp/images/article/finjan0715_1.jp
g
図2:
https://www.netsecurity.ne.jp/images/article/finjan0715_2.jp
g
上記のスクリプトは、ユーザーのマシンの MDAC機能の脆弱性(MS06-014)と、QuickTime rtsp の脆弱性、AOLの SuperBuddy ActiveX Control Code Execution Vulnerability の脆弱性をエクスプロイトして、ユーザーのマシンへのダウンロードを行う。
Yuval Ben-Itzhak氏は「SQLインジェクションが発生するのは、デベロッパーのコードが問題」としているが、一般ユーザーとしては、最新のパッチを当てることが何よりも重要だ。
その一方、ウイルス検知ソフトに頼れると思うのは間違いのようだ。なぜなら、Finjanではそのブログで、この一連の攻撃がウイルス検知ソフトで認識されるかを、7月3日にチェックしている。
Finjan社blog(2008年7月3日)
http://www.finjan.com/MCRCblog.aspx?EntryId=1993
オンライン上で疑わしいファイルの解析を行う Virus Totalにアップロードしてみると、問題の悪意のあるファイルがWin32/agentの一種であることを認識・警告したのは33製品のうちの19製品のみで、マカフィーやシマンテックを含めた14の製品がマルウエアだと認識しない…
【執筆:米国 笠原利香】
【関連リンク】
Finjan社
http://www.finjan.com
MDAC機能の脆弱性
http://www.microsoft.com/japan/technet/security/Bulletin/MS0
6-014.mspx
QuickTime rtspの脆弱性
http://www.us-cert.gov/cas/alerts/SA07-024A.html
AOL SuperBuddy ActiveX Control Code Execution の脆弱性
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-5820
Virus Total
http://www.virustotal.com/jp/
FinjanのSecureBrowsing無料ツール
http://securebrowsing.finjan.com/
-----
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
コメントするにはログインが必要です
Ads by Google
前後の記事
- 30%以上のユーザーが毎日アップデート、ウイルス対策ソフトに関する調査
インターネットコム 17日10時00分 - SCAN DISPATCH : 1,000を超える企業や政府サイトがウイルスを配布 ネットセキュリティ 16日21時00分
- 世界中で30日間無防備にスパムを受け取るS.P.A.M.実験の結果を発表(マカフィー) ネットセキュリティ 16日17時15分
- エントラストジャパン 主要セキュリティ6製品に無償試用を組み合わせた新たな購入プログラムを導入 「TRY & BUY キャンペーン」を開始 PR TIMES 16日18時50分
- 情報漏えいリスクを大幅に低減する新ソリューション 共有ファイル暗号化製品「Entrust(R) Entelligence(TM) Group Share」を発表 PR TIMES 16日18時50分
ITアクセスランキング
- 1
- 【コラム】 ゲームの難易度って、どうやって調整しているの? R25.jp 07日07時30分
(2)
- 2
- 11歳の少女がGTAでの知識を生かして家族を救出 GIGAZINE 05日14時46分 (11)
- 3
- 「ウォーリーを探せ」のウォーリーらしき人物を「Google マップ ストリートビュー」で発見 GIGAZINE 06日18時00分
- 4
- 最速伝説? 独自ブラウザGoogle Chrome 「敗戦処理」とまで言われたiPhone 3G/今週の注目ITトピックス livedoor 06日09時00分
- 5
- 【ケータイ USA】新しい iPod は来週火曜に発表されるだろう インターネットコム 06日13時00分
- 6
- [CG]サムスンによればBlu-rayの寿命は5年だ TechCrunch Japanese 05日08時55分 (18)
- 7
- 元祖アキバ系パフォーマー FICEの 『私たちヲタクです』インディーズアイドルの台頭とパソコンの普及の関係 内外タイムス 06日15時00分
- 8
- 【カオス通信】50歳オーバーのアキバ系が萌えている ITライフハック 05日10時00分 (4)
- 9
- オークションユーザーに人気のジャンルは「PC 関連」と「書籍、CD、DVD」 インターネットコム 06日09時00分
- 10
- au携帯電話で詐欺メールが流行か ITmedia 05日16時38分
注目の情報
この石けん、なぜ、体臭に良い?この石けんが男性中心に15万個も売れている。なんでも、体臭に良い
らしい。今、全額返金キャンペーンを実施していたので、早速、私も試
してみると…凄い!!気になる方は試してみては。
体臭に良い秘密>
行きの電車、帰りの電車で