イタリアを標的とした大規模な正規サイトに対する改ざん

 2007年6月、イタリアにホスティングされている1万以上の正規サイトが改ざんされる大規模攻撃を確認いたしました。これまでに見られないケタ違いの改ざんサイトの増加に筆者は攻撃動向の大きな変化を感じました。あれから1年経過しようとしています。悲劇が再び現実のものになろうとしています。

 TrendLabsは2008年5月2日 12:30(GMT)、イタリアにホスティングされている複数の正規サイトで改ざん被害が急増していることを確認いたしました。攻撃者は再び、第一言語をイタリア言語とするインターネットユーザを標的に攻撃を仕掛けていると推測されます。

 今回は、再び発生したイタリアを標的とした、大規模な正規サイトに対する改ざん攻撃について分析を行っていきます。

■改ざんと不正JavaScript、IFRAMEタグによる攻撃フロー

  1.  改ざんされたウェブサイトでは、悪意あるサイトのURLへ転送するJavaScriptコード(「JS_AFIR.A」として検出)が仕掛けられています。なお、「Webレピュテーションサービス」を含む製品をご利用いただいている場合、同機能によって、2008年4月27日より接続は拒否されています。

    http://{BLOCKED}f.com/cgi-bin/index.cgi?grobin
    図1 「JS_AFIR.A」によって転送されるURL
    同URLへの接続は「Webレピュテーションサービス」によって、拒否されます。

     「JS_AFIR.A」には環境を確認する機能が備わっています。ウイルスはMicrosoft Internet Explorer のバージョンと言語環境(イタリア言語)であることを確認します。同機能から標的攻撃であることが推測されます。

  2.  「JS_AFIR.A」の転送先である悪意あるサイトでは、IFRAMEタグの埋め込みが行われていることを確認しています。これにより、更なる悪意あるサイトへの転送されます。

    http://{BLOCKED}r.com/cgi-bin/index.cgi?grb&js=1
    図2 転送先に仕掛けられているIFRAME攻撃による転送

     IFRAMEタグの脅威とは、隠ぺいにあります。ウェブページ上には直接見えない形でコンテンツ、すなわちウイルスの埋め込みが行われます。

     本来、IFRAMEタグはブラウザでウェブページを表示させる際に、画面を複数に区切り(フレームを作成し)、それぞれのフレームに別のウェブページを表示させるために用意されている機能です。

     攻撃者は1つのウェブページに複数サイトのウェブページが表示できるという機能に注目し、フレームのサイズを幅0、高さ0にし、直接見えない形で悪意あるサイトに仕組んだウイルスの表示を実現させています。

     前述の2つの悪意あるサイトはそのIPアドレスから、カルフォルニア、サンディエゴにホスティングされているウェブサーバであることが確認されています。

  3.  悪意あるサイトの同一ドメインより、「TROJ_SINOWAL.CB」のダウンロードが確認されています。

     また、「TROJ_SINOWAL.CB」は「TROJ_SINOWAL.CI」をドロップし、自身の活動を隠ぺいするため、ルートキットコンポーネントを感染コンピュータへ展開します。

     同ルートキットコンポーネントは、ウイルス対策ソフトウェアによる検出、その復旧を困難なものにするため、MBR(マスターブートレコード:ハードディスクの先頭セクタ)に感染することを確認しています。

     多くのウイルス対策ソフトウェアでは、アプリケーションがファイルをディスクから読み取る際に使用されるドライバ「DRIVER.SYS」を監視することでウイルスを検出する技術を採用しています。

     攻撃者はこの仕組みを想定し、MBR領域に感染するルートキットコンポーネントの採用に至ったものと推測されます。

 今回の攻撃フローについて図解しました。

図3 イタリアを標的とした大規模改ざんと不正JavaScript、IFRAMEタグによる攻撃フロー
図3 イタリアを標的とした大規模改ざんと不正JavaScript、IFRAMEタグによる攻撃フロー

 現時点で一連の攻撃には、2つの形態が確認されています。

  1. 難読化されたスクリプトによって悪意あるサイトに転送
  2. 非難読化状態のIFRAMEタグによって、難読化スクリプトと同様に悪意あるサイトに転送
図4 現在確認されている攻撃形態

 一連の攻撃は、イタリア国内のあるプロバイダにホストされているウェブサーバに被害が集中していることが確認されています。それらはいずれも正規のウェブサイトです。

■改ざんが確認されている主要な正規サイト

  • ジョニー・デップ(Johnny Depp:米国俳優)のファンサイト
  • モニカ・ベルッチ(Monica Bellucci:イタリア女優)の公式サイト
  • イタリアメルセデス・ベンツクラブ(メルセデス・ベンツ公認)サイト
  • パール・ジャム(Pearl Jam:米国ロック・バンド)のファンサイト
  • サブリナ・サレルノ(Sabrina Salerno:イタリア歌手)の公式サイト
図5 事例:モニカ・ベルッチ(Monica Bellucci:イタリア女優)の公式サイト
図5 事例:モニカ・ベルッチ(Monica Bellucci:イタリア女優)の公式サイト

図6 事例:イタリアメルセデス・ベンツクラブ(メルセデス・ベンツ公認)サイト
図6 事例:イタリアメルセデス・ベンツクラブ(メルセデス・ベンツ公認)サイト

図7 事例:サブリナ・サレルノ(Sabrina Salerno::イタリア歌手)の公式サイト
図7 事例:サブリナ・サレルノ(Sabrina Salerno::イタリア歌手)の公式サイト

■攻撃に対する対応

 トレンドマイクロでは、一連の攻撃脅威から保護する技術を既に投入しています。

 「Webレピュテーション」では、2008年4月27日より当該サイトを悪意あるページとしてその接続を拒否する機能を提供しています。

■Webレピュテーションの搭載製品

製品名 対策場所
InterScan Gateway Security Appliance ゲートウェイ(アプライアンス)
InterScan Web Security Appliance ゲートウェイ(アプライアンス)
ウイルスバスター コーポレートエディション サーバ/クライアント
ウイルスバスター クライアント

※InterScan Web Security Suiteはバージョン 3.1で対応予定です。2008年6月2日(月)からの出荷開始を予定しております。
※製品によって、対応している機能が異なります。

 「ルートキットバスター バージョン 2.2 Build 1014」では、一連の攻撃に悪用されているルートキットコンポーネントの検出に対応しています。

図8 ルートキットバスターのバージョン確認画面
図8 ルートキットバスターのバージョン確認画面

 正規サイトが改ざんされるケースはユーザの警戒心も低いため非常に危険であり、逆に攻撃者側から見れば狙いどころといえます。現時点において、標的はイタリアではありますが、日本に波及する可能性は否定できません。

 ゴールデンウィークの半ば、セキュリティ対策ソフトウェアの状態を最新にし、引き続き安全なインターネット環境でお楽しみください。

■関連情報

【訂正と追記】

2008/05/09 05:12 ウイルス名の改称に伴い、修正いたしました。「BKDR_SINOWAL.CF」は、ウイルスパターンファイル 5.254.06より「TROJ_SINOWAL.CI」に改称