※この記事には後編:拡散被害の一因分析情報を公開しております。こちら からご参照ください。
7月5日、オンラインゲームの開発・運営を行う会社が運営しているウェブサイトにおいて、不正アクセス発生が報告されています。その被害は、同ウェブサイトへ接続しにきた利用者を、ウイルス感染サイトへ転送させようとするコードが埋め込まれたというものです。
ウェブサイトを悪用した受動的攻撃は日々増え続けています。今回「リージョナルトレンドラボ」では、この事例を元に正規サイトの一部に相乗りし、ウイルス感染させようとする脅威の日本における実情について調査を行いました。
■検索エンジンから知る脅威の広がり
脅威の広がりを分析する際、我々ウイルス解析担当者はいくつかのツールを利用します。こうしたツールの中で最近人気なのが「インターネット検索エンジン(以下 検索エンジン)」です。検索エンジンによってインデックス化された膨大なデータベースに対し、適切なクエリを与えることで、脅威の広がりを推定することが可能です。
今回筆者が注目したクエリワードは、改ざんサイトにて確認された「ウイルス感染サイトへ転送させる不正なリンク」。
リンク先は「Web レピュテーションサービス」技術でブロックされていることはもちろん、リンク先ファイル「ngg.js」は「JS_REDIR.AR」として検出対応済みの危険性の高いコードです。
筆者はより多くの感染疑いサイトを洗い出すべく、不正なリンクを元に荒削りなクエリワードを設定し、分析を行いました。
|
src=http://www.{BLOCKED}.mobi/ngg.js |
検索エンジンによる脅威分析においては、更にいくつかの工夫を行ったクエリワードで分析しています。 |
分析前、筆者は脅威の広がりに対し比較的、楽観視していました。すでに脅威収束の傾向が見られるのではという推測です。しかしながら、その分析結果は期待を大きく裏切るものでした。
検索エンジンのクローラーによるゆらぎを考慮し、「Google」/「MSN Japan」/「Yahoo! Japan」3つの検索エンジンを利用し分析を行いました。
得られた結果は、最大で「210,000(国内:9,460)ページ」(2008年7月17日時点)の改ざん可能性です。多くのノイズが含まれている点に注意が必要ですが、これは決して楽観視できるような状況ではありません。
■ウイルス感染サイト転送コードから知る攻撃者の標的
ウイルス感染サイト転送コードは、被害規模の推定以外に攻撃者の考える標的についても、我々にヒントを与えています。
次のコードは「JS_REDIR.AR」のごく一部です。
|
window.status=””; n=navigator.userLanguage.toUpperCase(); if((n!=”ZH-CN”)&&(n!=”UR”)&&(n!=”RU”)&&(n!=”KO”)&&(n!=”ZH-TW”)&&(n!=”ZH”)&&(n!=”HI”)&&(n!=”TH”)&&(n!=”UR”)&&(n!=”VI”)){ |
JavaScriptで記述されたそのコードでは、改ざんサイトに接続してきた利用者の言語を特定しています。中国語圏(繁体字/簡体字)、インド圏(ウルドゥ語/ヒンディ語)、ロシア語、韓国語、ベトナム語であることが特定された場合、意図的にその処理が無視されます。
言語を特定していることから、広範囲ながら標的型攻撃といえます。
■ウェブサイトの改ざんは特定サイトを狙ったものなのか
今回確認された改ざんされた疑いのあるウェブサイトをひとくくりにすることはできませんが、その規模から特定サイトを狙ったものではなく、脆弱なサイトを無差別に狙った攻撃であると推定されます。
予てからの調査により、「TROJ_ASPROX」ファミリによるSQLインジェクション攻撃によって、無差別攻撃が発生していると分析しています。
同ウイルスファミリにおいては、潜在的に脆弱なMicrosoft Active Server Pagesで作成されたフォーム(例:ログインページ、検索ページ、フィードバックページなどの入力要求を受け付けているもの、または動的にページを生成しているもの)を使用する正規サイトを探しだします。
検索されたページに対し、SQLインジェクション攻撃を仕掛けることで、ウイルス感染サイトへ転送させるコードを埋め込む改ざん攻撃が行われます。
■ウェブサイト管理者がすべきこととは
ウェブサイトの改ざんはもはや他人事ではありません。いま、管理者が直ちに実施すべきことは、ウェブサーバのアクセスログを調査することです。
独立行政法人 情報処理推進機構(IPA)では、無償で簡易的に危険な攻撃と思われる痕跡の確認を支援するツール「iLogScanner」を公開しています。専門の技術者を直ちに手配できないような場合には、こうしたツールの支援を受け、アクセスログ解析を行うことを推奨します。現在、流行している攻撃においては特に、「ngg.js」を含む不正なリンクが含まれていないか確認することも有効です。
アクセスログ解析の結果、攻撃の痕跡が見つからずとも安心すべきではありません。潜在的に脆弱なページを抱えている可能性も考えられます。
マイクロソフト社では、「セキュリティアドバイザリー(954462)」にて、この種の問題に対処できる3つセキュリティツールを公開しています。
- UrlScan 3.0β:Internet Information Services(IIS)が処理するHTTPリクエストの種類を制限
- Microsoft Source Code Analyzer for SQL Injection Community Technology Preview:SQLインジェクションに関するソースコード分析ツール
- HP Scrawlr:米Hewlett-Packard社開発のSQLインジェクション攻撃を受ける可能性の調査ツール
アクセスログ解析後の次の一手として、こうしたツールの利用も有効です。
より強固な事前予防策として、WAF(Web Application Firewall:ウェブに対する接続内容を見て、不正なアクセスに対しては、そのリクエストまたはレスポンスを拒否する機能)の導入や、システムコンポーネントに対する定期的なコードレビューと、そのプロセスの正式な組み込み、すなわち脆弱性を徹底的に排除できる運用体制の構築をこの機会に検討することが推奨されます。
■利用者がすべきこととは
トレンドマイクロでは、一連の攻撃脅威から保護するWebレピュテーション技術を既に投入しています。Webレピュテーションの搭載製品は次の通りです。こうした先進技術を積極的に取り入れていくも有効です。
|
もちろん、従来から知られている基本といえる対策も、おろそかにすべきではありません。
- 総合セキュリティソフトの利用とアップデートによる最新状態の維持。
- OSのみならず、アプリケーションの脆弱性に対する速やかな修正。
- いかなるメールにおいても、記載のURL、添付ファイルについて安易にクリックしない。
- 疑わしきサイトへ安易に近づかない。
リージョナルトレンドラボでは、引き続きASP技術を採用しているウェブサイトに対する改ざん攻撃の動向について分析を行っていきます。
■参考情報
- Trend Micro Security Blog:「改ざん被害拡大の一因は、不当な営業活動を広げる偽セキュリティソフトウェア」
- 株式会社ゲームポット:「当社ウェブページ改ざんに関する中間報告」
- 独立行政法人 情報処理推進機構(IPA):「ウェブサイトの脆弱性検出ツール iLogScanner」」
- マイクロソフト セキュリティ アドバイザリ (954462):「ユーザー データ入力の未検証を悪用した SQL インジェクション攻撃の増加」
- JPCERT/CC:「SQL インジェクションによる Web サイト改ざんに関する注意喚起」
- トレンドマイクロのウイルス解析/防御技術「Webレピュテーション」
Hot Threat Report:「国内企業サイトなど約1万ページが改ざん。被害拡大の一因は、不当な営業活動を広げる偽セキュリティソフトウェア(PDF)」