検索:
ホーム   »   攻撃手法   »   Webからの脅威   »   ヨーロッパで大規模な「Webからの脅威」

ヨーロッパで大規模な「Webからの脅威」

  • 投稿日:2007年6月18日
  • 脅威カテゴリ:Webからの脅威, 新種ウイルス
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

日本時間の16日からヨーロッパでWeb経由での攻撃が確認されています。今回の手口としては正規Webサイトをハッキングし、Internet Explorer のセキュリティホールを攻撃する不正サイトにアクセスするタグを挿入するものです。

このような正規サイトの改竄によるウイルス攻撃は今年に入ってから頻度が増しており、3月末からの「アニメーションカーソル処理の脆弱性」に対するゼロデイ攻撃ではアジアで多数のサイトが改竄されたのが確認されています。
今回は特にイタリア語の正規Webサイトが集中的に狙われており、現在までに1174サイトでの改竄を確認しています。この攻撃の規模からトレンドマイクロでは日本時間の17日早朝に要注意ウイルスケースに指定しました。このような大規模なイタリアへの攻撃ということでは .it ドメインに対する1000サイト以上のタイプミス攻撃が先月末に発覚したばかりです。

今回の攻撃の例としては以下のような正規サイトに、

改竄されたサイト例

以下のような不正サイトにアクセスするためのタグが埋め込まれます:

改竄されたサイトソース

この不正サイトへアクセスさせるためのタグコードを含むWebページをトレンドマイクロでは「HTML_IFRAME.CU」として検出します。「HTML_IFRAME.CU」により、ユーザは自覚無しに不正サイトへアクセスしてしまいます。

不正サイトにアクセスした後はセキュリティホールへの攻撃などにより、最終的にダウンローダ型の不正プログラムである「TROJ_SMALL.HCK」が実行され、最終的には複数の不正プログラムがシステムに侵入してしまいます。まとめると以下のような流れになります:

攻撃の概要図

不正プログラムに侵入されたシステムは、不正アクセスの経路隠し用プロキシサーバに悪用されると同時にスパイウェアによりインターネットアクセスやキー入力の監視などが行われます。ここまでの活動だけで被改竄サイトを含めて4つのサイトと6種類の不正プログラム(「HTML_IFRAME.CU」、「JS_DLOADER.NTJ」、「TROJ_SMALL.HCK」、「TROJ_PAKES.NC」、「TROJ_AGENT.UHL」、「TSPY_SINOWAL.BJ」)が絡んでいる複雑な攻撃です。

いずれにせよ、正規サイトが改竄されるケースはユーザの警戒心も低いため非常に危険であり、逆に攻撃者側から見れば狙いどころとなります。セキュリティホール攻撃のツールなども作成され、売買されているのが現状です。今回はイタリアが狙われましたが、日本でもこのような攻撃が起こる可能性は大きいと考えるべきでしょう。

 

Related posts:

  1. YouTube悪用ワーム
  2. 偽トレンドマイクロ社からのメールにご用心!
  3. やっぱり狙われたバレンタインデイ
  4. Adobe Flash Playerの脆弱性を悪用した「SWF_DLOADER」ファミリの脅威
Tags: スミッシング


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.