ヨーロッパで大規模な「Webからの脅威」

日本時間の16日からヨーロッパでWeb経由での攻撃が確認されています。今回の手口としては正規Webサイトをハッキングし、Internet Explorer のセキュリティホールを攻撃する不正サイトにアクセスするタグを挿入するものです。

このような正規サイトの改竄によるウイルス攻撃は今年に入ってから頻度が増しており、3月末からの「アニメーションカーソル処理の脆弱性」に対するゼロデイ攻撃ではアジアで多数のサイトが改竄されたのが確認されています。
今回は特にイタリア語の正規Webサイトが集中的に狙われており、現在までに1174サイトでの改竄を確認しています。この攻撃の規模からトレンドマイクロでは日本時間の17日早朝に要注意ウイルスケースに指定しました。このような大規模なイタリアへの攻撃ということでは .it ドメインに対する1000サイト以上のタイプミス攻撃が先月末に発覚したばかりです。

今回の攻撃の例としては以下のような正規サイトに、

改竄されたサイト例

以下のような不正サイトにアクセスするためのタグが埋め込まれます:

改竄されたサイトソース

この不正サイトへアクセスさせるためのタグコードを含むWebページをトレンドマイクロでは「HTML_IFRAME.CU」として検出します。「HTML_IFRAME.CU」により、ユーザは自覚無しに不正サイトへアクセスしてしまいます。

不正サイトにアクセスした後はセキュリティホールへの攻撃などにより、最終的にダウンローダ型の不正プログラムである「TROJ_SMALL.HCK」が実行され、最終的には複数の不正プログラムがシステムに侵入してしまいます。まとめると以下のような流れになります:

攻撃の概要図

不正プログラムに侵入されたシステムは、不正アクセスの経路隠し用プロキシサーバに悪用されると同時にスパイウェアによりインターネットアクセスやキー入力の監視などが行われます。ここまでの活動だけで被改竄サイトを含めて4つのサイトと6種類の不正プログラム(「HTML_IFRAME.CU」、「JS_DLOADER.NTJ」、「TROJ_SMALL.HCK」、「TROJ_PAKES.NC」、「TROJ_AGENT.UHL」、「TSPY_SINOWAL.BJ」)が絡んでいる複雑な攻撃です。

いずれにせよ、正規サイトが改竄されるケースはユーザの警戒心も低いため非常に危険であり、逆に攻撃者側から見れば狙いどころとなります。セキュリティホール攻撃のツールなども作成され、売買されているのが現状です。今回はイタリアが狙われましたが、日本でもこのような攻撃が起こる可能性は大きいと考えるべきでしょう。