約4万のWebサイトが新手の攻撃の被害に――ウェブセンスが注意を呼びかけ/index/rss|セキュリティ・マネジメント|トピックス|Computerworld

　米国Websenseによると、約4万のWebサイトが新たな攻撃を受けているという。被害にあったWebサイトを訪れたユーザーは、気づかないうちにマルウェアを感染させようとする別のサイトに誘導される。

　Websenseのスレット・リサーチ・マネジャー、カール・レオナルド（Carl Leonard）氏によると、攻撃を受けたサイトには、訪問者を「Google Analytics」（Webサイト・オーナー向けのアクセス状況解析サービス）の偽サイトに誘導し、さらに別の不正サイトに導くJavaScriptコードが埋め込まれている。

　そうしたWebサイトは、「SQLインジェクション攻撃によってクラッキングされた」とレオナルド氏は見ている。また、「もうひとつの可能性として、クラッカーがWebサイトのFTPクレデンシャル（証明書）を入手し、サイト内部へのアクセス権を得たということも考えられる」と同氏。

　今回の攻撃で注目すべき点は、クラッカーたちが、セキュリティの弱いWebサイトに危険なコードを埋め込むことに成功している点だ。

　「ユーザーが誘導された不正サイトでは、PC上のInternet ExplorerもしくはFirefoxに脆弱性が存在しないかを調べる。そこで問題が見つからない場合は、そのPCがマルウェアに感染しているという偽の警告を発し、セキュリティ・ソフトウェアと称したプログラムをユーザーがダウンロードするように仕向ける」（レオナルド氏）

　同氏によれば、実はこのプログラムがトロイの木馬ダウンローダなのだという。こうした偽のセキュリティ・プログラムは、スケアウェアと呼ばれ、触れ込み通りには機能しない。

　5月29日の時点で、このトロイの木馬を検知できたのは、39のセキュリティ・ソフトウェアのうち4つだけだった。ただし、インターネット全体のセキュリティ向上のために、Websenseなどのベンダー各社がマルウェアのサンプルを交換し合っているため、現在の状況は変わっていると思われる。

　クラッカーたちが、新たに感染したPCを使って何をしているのかは不明だが、これらのPCが、データを盗まれたり、ボットネットの一部にされたりしている可能性はある。

　このマルウェアを提供している不正ドメインは、悪名高いRussian Business Network（RBN）の活動拠点と同じウクライナのものだ。このRBNはフィッシング攻撃やその他の不正な活動に関与していたサイバー犯罪組織である。だが、そのWebサイトは6月2日現在、閉鎖されているようだ。RBNは現在、活動していないものと思われる。

　「これがRBNの仕業であるか、彼らが過去に使った手口を真似たものかは、まだ判断できないとレオナルド氏。また、同氏は、「攻撃を実行するようにクラッキングされたWebサイトはあまりに数が多く、すべてにコンタクトすることはほぼ不可能だ」とも述べている。

　Websenseは、今回の攻撃は先月流行した「Gumblar」による不正攻撃とは関係がないと見ている。Gumblarには少なくとも3,000のWebサイトが感染しており、訪問者のPCにインストールされたAdobeソフトウェアの脆弱性を探す不正コードが埋め込まれている。

　GumblarはPCに感染すると、FTPクレデンシャルを盗みだし、その情報を使って他のPCに拡散していく。また、Webブラウザを乗っ取り、Googleの検索結果を別の危険なリンクに置き換えてしまう。