日本時間の22日夜から大規模なWeb経由の攻撃が確認されています。大規模なWeb経由攻撃としては16日から主にイタリアの正規サイト改ざんによる攻撃(記事)が確認された矢先です。
今回の攻撃も内容的には前回のイタリアのケースと同様であり、改ざんされた一般WebサイトへのアクセスからInternet Explorerのセキュリティホールを攻撃する不正サイトに誘導され、最終的には複数の不正プログラムやスパイウェアが侵入してしまうものです。トレンドマイクロ製品では今回の攻撃に使用された不正プログラム群を、「HTML_IFRAME.CV」、「HTML_IFRAME.CX」、「JS_IFRAME.CW」、「JS_DLOADER.NUF」、「TROJ_AGENT.QMN」、「 TSPY_LDPINC.AKY」、「TROJ_AGENT.GUK」の検出名で対応しています。今回の攻撃により改ざんされた正規サイトは、.BE(ベルギー)、.CZ(チェコ)、.NL(オランダ)、.HU(ハンガリー)、.PL(ポーランド)、.RU(ロシア)、.TR(トルコ)、といったヨーロッパのドメインに加え、.MX(メキシコ)、.BR(ブラジル)などヨーロッパ外のドメインにも及んでいます。また今回の攻撃では一般サイトと同時にアダルトサイトの改ざんが多く確認されています。
このように一般サイトの改ざんが大量に行われてしまう裏には、「MPACK」と呼ばれる不正ツールの存在があります。「MPACK」はセキュリティホール攻撃用のツールであり、ロシアのアングラサイトで販売されていたことが確認されています。この「MPACK」を使って不正なIFRAMEタグを追加するハッキングが大量に行われたものと見られています。サイバー攻撃の目的が金銭目的中心に移行した現在、このような攻撃ツールの登場は今後も続くと考えられます。同時にセキュリティホール攻撃に対し脆弱なホストが多数存在していることも大きな問題として浮き彫りになったと言えるでしょう。
※今回の攻撃により改竄されたWebページのソース例:
