1万ものWebサイトが悪質コードを媒介、感染PCはデータ盗難の餌食に
「きわめて深刻な事態」とセキュリティ企業が警告2007年初頭に存在が確認された精度の高いハッキング技術が、オンライン広告会社などのWebサーバに被害を及ぼすケースが続発しているという。米国Finjan Softwareの最高技術責任者(CTO)が1月14日に明らかにした。
Finjanのユヴァル・ベンイツァーク(Yuval Ben-Itzhak)氏によると、このハッキング攻撃には特定の犯罪者集団が関与している可能性が高いという。攻撃の過程でばらまかれる悪質なソフトウェアが、スペインにある1台のサーバにログイン情報およびパスワードを保存しているためだ。Finjanは現在、当該インターネット・サービス・プロバイダー(ISP)の閉鎖を試みている。
さまざまなWebサイトに1,400万件ものバナー広告を掲載している大手オンライン広告会社のWebサーバも、このハッキングの被害を受けた。「これはすなわち、コンピュータに適切なパッチを適用しないときは、大規模感染の危険性が生じるということだ」とBen-Itzhak氏は説明、「これがどれほど深刻な事態であるのか、容易に想像がつくだろう」と警鐘を鳴らしている。
広告会社の名前こそ公表しなかったものの、Ben-Itzhak氏は、先週Finjanが今回の問題に関して同企業に連絡を取ったことを明かした。被害を抑えようとするFinjanの努力もむなしく、2007年12月時点で少なくとも1万のWebサイトが、悪質なコードを媒介していたという。
最近の状況を見るに、初めて存在が認められた2007年初頭以降、問題のハッキング集団は規模を拡大しているようだ。当時Finjanは、Webサイト訪問者を悪質なコードに感染させる目的でハッキングされたWebサーバを多数発見したと述べていた。みずからの痕跡を隠し、なるべく多くのPCを感染させるため、攻撃者は複数の手法を用いていたという。
PCを一度感染させるだけで済むように、攻撃コードはJavaScriptで書かれている。これによって、繰り返し行われるセキュリティ検査を回避できるというわけだ。
さらにこの犯罪者集団は、検索エンジンや、任意のWebサイトを訪問する際のリスクを判定する評価サービスで使用される、クローラのIPアドレスを記録している。これにより、悪質なページに対するリクエストが正規コンテンツとともに返されることになる。
こうした攻撃用のJavaScriptコードも大きく変化し、セキュリティ対策ソフトウェアで検知するのが困難になりつつあると、Finjanは話している。ハッキングを許したが最後、数百ものWebサイトをホスティングしているWebサーバは、攻撃コードを拡散させる元凶になってしまうのだ。
トロイの木馬プログラムをPCに植え付けるのに、同コードは最低でも13個のソフトウェア脆弱性を悪用しているという。
ハッカーらは、攻撃に用いる脆弱性を定期的に変更し、PCの感染率を上げようともくろんでいる。PCが一度でも感染すれば、ドキュメントやパスワードといったマシン上のデータをマルウェアが盗む。Finjanではこの攻撃を「random js Trojan」と呼んでいる。
攻撃コードが頻繁に変更されるため、ウイルス対策ソフトウェアはあまり役立たないというのがFinjanの見方だ。同社は、対策ソフトウェアの代わりに、「SecureBrowser」というブラウザ・プラグインの利用を推奨している。
SecureBrowserは、実際に表示されるWebページのコンテンツを分析し、悪質なコードの有無を調査して、必要な場合はユーザーに警告を発する。Finjanはさらに、スキャン技術を搭載したエンタープライズ向けアプライアンスも販売している。
こうした技術を提供しているのは、Finjanばかりではない。先ごろセキュリティ企業Grisoftに買収されたExploit Prevention Labsは、Webページを分析してマルウェアを見つけ出す「LinkScanner」を有している。また大手セキュリティ・ベンダーのMcAfeeも、Webサイトの安全性を評価する「SiteAdvisor」サービスを運用中だ。
(Jeremy Kirk/IDG News Service ロンドン支局)
