「MySpace Woes: Trojan Targets French Rock Band Fans」より
March 16, 2007 Posted by Vinoo Thomas
ソーシャル・ネットワーキング・サービス(SNS)「MySpace」は,自ら同サービスを「友達のための場所」と説明している。ところが現在は,インターネット界の悪人が巣くう不健全な場所になりつつある。こうした連中は,ユーザーをアダルト・サイトに誘導したり,ユーザーから得た信用を悪用して個人情報の窃盗につながる情報収集を行ったりする。
最近のマルウエアは攻撃手法が高度化しており,悪人たちも絶えず新しい感染媒介手段を探している。新たな攻撃はどれも,誰を攻撃対象として選ぶか,獲物を誘う際にどんなソーシャル・エンジニアリング手法を使うか,どのセキュリティ・ホールを突いて攻撃するかといったことを勘案して作られる。
 写真1 細工されたMySpaceのプロフィール [画像のクリックで拡大表示] |
最も新しい攻撃で狙われたのは,フランスのロック・バンドMAMASAIDをプロモーションするためのMySpaceアカウントにアクセスしたことのある,疑いを知らないファンたちだ。これらのファンのパソコンには,QuickTimeに用意されている危険な機能「HREF Track」を介し,トロイの木馬「JS/SpaceStalk」が埋め込まれた(関連記事)。JS/SpaceStalkは,動画再生時にリンクを自動的に開くQuickTimeプレーヤの機能を悪用して仕掛けられる。このリンクを使えば,攻撃者は攻撃用コードをホスティングしている悪質なWebサイトにユーザーを誘導できる。
 写真2 細工されたQuickTime動画ファイルの16進表示 [画像のクリックで拡大表示] |
細工されたQuickTime動画ファイルを16進表示で調べると,再生時に外部WebサイトのJavaScriptを自動実行することが分かる。
このJavaScriptは,MySpaceユーザーの個人情報を攻撃者に送信する。送信先のWebサイトは通常,マルウエア作者が制御権を握っているから,送り込んだスクリプトはすべて遠隔地から変更できる。スクリプトに新たな機能を付与し,さらに悪質な行動をとらせることができる。
大多数のユーザーは,ためらわずに動画ファイルを再生するだろう。QuickTimeはWeb上でよく利用されるアプリケーションなので,マルウエア作者から見れば,成果を得やすい魅力的な感染媒介手段になる。
この興味深い感染媒介手段を詳しく分析した結果は,Didier Stevens氏のブログに掲載してある。どんよりと曇ったようなこの話題にも,一筋の光明はある。当社の顧客は,2007年2月7日付けパターン・ファイル「4958」以降でJS/SpaceStalkによる被害を予防できるのだ。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「MySpace Woes: Trojan Targets French Rock Band Fans」でお読みいただけます。
