改ざん被害拡大の一因は、不当な営業活動を広げる偽セキュリティソフトウェア

※この記事には前編：脅威の拡散分析情報を公開しております。こちら からご参照ください。

　7月17日、日本国内のASP技術を採用しているウェブサイトにおいて、改ざん被害が広まっているとの注意喚起を行いました。全世界で最大21万、日本国内においても約1万のウェブページで、発生している改ざん被害。今回はより多くの方に状況をご理解いただくべく、追加情報をお知らせします。

• Trend Micro Security Blog：「ASP技術を採用しているウェブサイトにて改ざん被害が広がる」
• ウイルスニュース – 2008/7/17：「SQLインジェクションによる正規Webサイト改ざんとWebサイト経由の不正プログラム感染を警告」

　我々の解析結果より、改ざんを計画した悪意あるユーザの狙いが明らかとなっています。なぜ、彼らはその被害を広げているのか。その一例について紹介します。

■「TROJ_ASPROX」を悪用したSQLインジェクション

　まず、前回の注意喚起についておさらいします。今回の攻撃は「TROJ_ASPROX（アスプロクス）」ファミリを悪用した無差別SQLインジェクション攻撃です。これにより、正規ウェブサイト改ざんが行われます。

　その攻撃フローについて、次の通り図解しました。

図1 「TROJ_ASPROX」を悪用したSQLインジェクション

　我々は、利用者に及ぼす影響について注意深く調査しました。その結果、IFRAMEタグを埋め込まれた改ざんサイトにアクセスしたユーザは、自身の意図しない通信により、不正なサイトから不正なJavaScriptがダウンロードさせられ、さらに別の不正プログラムをダウンロードする連鎖攻撃が発生すると特定しています。

　また、このJavaScriptは攻撃者により、頻繁な入れ替えが行われていることを併せて確認しています。

　こうしたなか、攻撃者の明確な意図が見受けられる転送先を特定しました。それが、「不当な営業活動を広げる偽セキュリティソフトウェア」です。

■偽セキュリティソフトウェア「ADW_XPSECURITY.CE」

　改ざんサイトから転送される不正サイトには、更なる不正サイトへ転送させようとするJavaScriptが仕掛けられています。JavaScriptにはいくかのパターンがあり、トレンドマイクロでは、「JS_REDIR.AR」、「JS_IFRAME.ABJ」などの検出名にて対応しています。これら不正JavaScriptが仕掛けられているドメインの数は250確認されており、セキュリティ対策業者からの追跡から逃れようとしている意図が感じられます。

　不正JavaScriptによってダウンロードされるのが、偽セキュリティソフトウェア「ADW_XPSECURITY.CE」です。その振る舞いは明らかに不当な営業活動といえます。

　ユーザの意志に関係なく、自動インストール/実行される「ADW_XPSECURITY.CE」は、ランダムな名前のファイルを作成し、これらファイルを検索によって検出されたウイルスとして表示させます。

図2 「ADW_XPSECURITY.CE」自らが作成したファイルをウイルスとして検出、警告

■不当な営業活動

　その駆除には、製品購入、登録が必要であると登録サイトへの誘導が促されます。

図3 「ADW_XPSECURITY.CE」による製品登録を促す画面と製品購入ウェブサイト

　もちろん、自らウイルスを作成するようなセキュリティソフトウェアの購入は勧められません。

　更に、こうした不当な営業活動を行う組織に行き渡ったセンシティブな個人情報（氏名や住所、生年月日、カード番号など）の行方も心配されます。不当な手段で知り得た情報は、第三者への転売など、不法行為への悪用の危険性が考えられます。

　今回報告の、サイト改ざんと偽セキュリティソフトウェア販売は確認されている攻撃事例の一例に過ぎません。攻撃者は刻一刻と手を代えて不当な手段で金銭を得ようと考えています。

　ウェブサイト管理者は、脆弱性を徹底的に排除できる運用体制の構築を進めてください。

　そして利用者は、トレンドマイクロの「Webレピュテーション」など、不正サイトへのリダイレクトをブロックする機能の利用と最新パターンファイルへの更新を推奨します。

　リージョナルトレンドラボでは、引き続きウェブサイトに対する改ざん攻撃の動向について分析を行っていきます。

■参考情報

• Trend Micro Security Blog：「ASP技術を採用しているウェブサイトにて改ざん被害が広がる」
• ウイルスニュース – 2008/7/17：「SQLインジェクションによる正規Webサイト改ざんとWebサイト経由の不正プログラム感染を警告」
• 独立行政法人 情報処理推進機構（IPA）：「ウェブサイトの脆弱性検出ツール iLogScanner」」
• マイクロソフト セキュリティ アドバイザリ (954462)：「ユーザー データ入力の未検証を悪用した SQL インジェクション攻撃の増加」
• JPCERT/CC：「SQL インジェクションによる Web サイト改ざんに関する注意喚起」
• トレンドマイクロのウイルス解析/防御技術「Webレピュテーション」

　Hot Threat Report：「国内企業サイトなど約１万ページが改ざん。被害拡大の一因は、不当な営業活動を広げる偽セキュリティソフトウェア（PDF）」