インターネットの闇の世界を避け,「名の通った」Webサイトだけ利用していれば,攻撃や怪しげなコンテンツから逃れられると考えてはいないだろうか。残念ながら,これだけでは十分とはいえない。筆者の同僚であるElia Florio氏とHon Lau氏の最近の報告(その1その2)によると,合法的なWebサイトが,悪意のある(HTMLの)IFRAMEに汚染されるなどしており,その結果,ユーザーは知らぬ間に不正なWebサイトにリダイレクトされる事件が起こっている。

 Elia氏が自らの報告で述べている通り,何千ものWebサイトが汚染されていた(大半がイタリアだが,そのほかの国もあった)。我々には,このMPack gangグループがどうやって短期間のうちにこれほど多くのWebサイトのハッキングを成し遂げたのか,さらに悪意のあるIFRAMEをどうやって素早く送り込めたのかが分からなかった。



[画像のクリックで拡大表示]

 MPackグループは,どうやらIFRAMEマネージャ・ツールを使用して,大量の処理を自動化しているようだ。このツールは,基本的には,PHPで記述されたFTPアップデータ・クライアントであり,MySQLをバックエンドとするWebサーバー上で作動する。Webサイト管理者のアカウント・リストを入力として受け付け(このリストは闇市場で入手したものと思われる),その後これらのサイトのWebページをチェックし,該当サイトのコードに任意のIFRAMEを送り込む。

 同IFRAMEマネージャは,“使いやすくしたツール”の新たな例ともいえるもので,明らかに複数のハッキング・グループに転売しようという意図がうかがえる。例えば,このツールは興味深い機能をいくつか提供している。IFRAMEはWebページの先頭または末尾に注入することができ,さらに攻撃対象Webページの指定には「index[.php|.htm|.html]|default.asp」といった正規表現が利用可能だ。投資効果を最大限に高めるため,同ツールではIFRAME注入前にGoogleのPageRankで対象Webサイトをチェックし,特定の国で一定のPageRankとなっているWebサイトを好きな数だけ選択できる。さらに,同ツールを実行したままにしておくと,リスト内のWebサイトを巡回し,IFRAMEが削除されたWebページへの再注入を行う。

 ハッカーが互いを食い物にする競争の激しい世界で悪事を手助けするべく,同ツールはWebページに注入されたライバルのIFRAMEも削除できる。当然ながら,詳細なログと統計が提供される。

 ただし,ツールそのものはWebサイトをハッキングできない。Webサイトのアクセスに必要な不正アカウント・リストをもとに,任意のIFRAMEをWebサイトに注入するだけである。ターゲットとなったWebページを単に削除するだけでは不十分で,Webサイト管理者のアカウント情報を変更しなければ問題は解決できない。Webページの利用者が自ら身を守るには,OSを最新のパッチでアップデートし,さらにアンチウイルス・プログラムを更新する必要がある。

 この記事は,2007年7月6日に公開した「世界のセキュリティ・ラボから」を再掲載したものです。


Symantec Security Response Weblog


MPack: the Strange Case of the Mass-Hacking Tool」より
June 19,2007 Posted by Amado Hidalgo

Copyrights (C) 2007 Symantec Corporation. All rights reserved.

本記事の内容執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「MPack: the Strange Case of the Mass-Hacking Tool」でお読みいただけます。