猛威を振るう「MPack」

Mark Joseph Edwards

2007.07.09

　Webサーバーのセキュリティを確保する必要性は，過去にないほど高まっている。「自社のサイトが改ざんされたら，自社の評判に傷がつく」と心配するだけでは済まない。自社のサイトが悪意のある攻撃の経路に変えられて，あなたが不特定多数の罪なき人々のコンピュータに損害を与えた責任を取らされるかもしれないのだ。

　一般に公開されたWebサイトを持っているすべての人は，自分のサイトへの訪問者を保護するという重大な責務を負っている。他人のWebサイトをホスティングしている人ならば，責任はそれよりもはるかに大きい。

　警戒を強める必要性を明白に証明する事例として，比較的新しいツールである「MPack」の存在が挙げられる。同名の圧縮用ソフトウエアがあるが，それとは全くの別物だ。

　MPackは，莫大な数のコンピュータを感染させるのに使われている，高度で，自動化されたサーバー・ベースの攻撃ツールだ。MPackは基本的に「Metasploit」とよく似ているのだが，ターゲットが大挙してMPackの方に押し寄せてくるという点が異なっている。MPackはPHPベースで，バックエンドの管理機能と監視インターフェースを完備した，柔軟な攻撃プラットフォームである。サーバー・コンポーネントは，ブラウザにエクスプロイト・コードのペイロードを読み込ませるのに使われる。そして，人々はMPackサーバーへのリンクをインターネット上の至る所のWebページに仕掛けるのだ。

　MPackが作られた最大の動機は，犯罪活動を通して利益を生み出すためだ。MPackの作成者は少なくとも2006年12月から，新しい攻撃方法が可能になるにつれて進化する攻撃モジュールと一緒に，同ツールを約700ドルで販売している。スペインPanda Labsによると，モジュールが可能にする不正行為のレベルに応じて，新しいモジュールは50ドルから150ドルで売られているという。

　先日，MPackを使用する侵入者が，攻撃コードへのリンクを含むWebサイトをホスティングするためにドメインを立ち上げて，多数のWebホスティング・アカウントに侵入した（個人が運用しているWebサイトにも侵入した可能性が高い）。侵入先の無警戒なWebサイトのページに，攻撃コードを仕掛けるためだ。

　攻撃コードには通常，IFRAMEタグが含まれている。このタグは訪問者のブラウザに対して，既存のWebページの内部に悪意のあるWebページを読み込むよう指示する。ユーザーが攻撃コードを含むWebサイトを訪れるだけで，ブラウザは悪意のあるWebページを読み込むよう指示を受けるのだ。しかもIFRAMEは，攻撃コードが仕掛けられたサイト上で訪問者の目に触れないようにプログラムできるのである。従って不正行為が行われていることに，訪問者が全く気づかない可能性さえあるのだ。

　悪意のあるWebページには，実行されると，訪問者のOSとブラウザの種類を判別し，その種類に応じたエクスプロイト・コードを解き放つコードが含まれている。少なくとも7種類のブラウザ，Apple QuickTimeやWinZipといった様々なコンポーネント，その他の広く使われているツール，さらにはWindowsやLinux，BSD，Mac OSといったシステムを標的とするコードの存在が確認されている。MPackは，ぜい弱性を持つコンピュータに，悪意のあるファイルをダウンロードするよう指示することもできるのだ。悪意のあるファイルをダウンロードさせれば，いろいろなことが可能になる。

　Panda Labsのレポートによると，最近調査したあるWebサーバーには，MPackベースのエクスプロイト・コードへのリンクが仕掛けられたWebページが，7644個も含まれていたそうだ。リンクを仕掛けられたサイトとページの正確な数は，依然として不明だ。しかし，ある信頼の置ける筋が，筆者に次のように話してくれた。「メジャーなホスティング企業のうち少なくとも1社が（名前は伏せておく），自社のサーバーに様々なエクスプロイト・コードが仕掛けられており，その結果として，多数の『index.php』ファイルがMPackベースのエクスプロイト・コードで上書きされていることを発見した」

　その事件で，筆者は被害に遭ったサイトのいくつかを実際に見ることができた。それらのサイトの運営者と筆者は知り合いだったからだ。それらのサイトへの侵入者は，エクスプロイトを実行させるために，「index」という文字列を含むすべてのファイルをシンプルな「IFRAME」タグで上書きするという，理解に苦しむ手段を選択していた。被害を受けたサイトのすべてのインデックス・ページが，空白の画面を表示するようになったため，何者かが侵入したことはすぐに発覚した。

　なぜそのようなすぐに見つかる方法で侵入が行われたのか，筆者には分からない。侵入者がページを丸ごと上書きする代わりに，既存のHTMLに「IFRAME」タグを挿入していたら，侵入が発覚するまでに非常に長い時間がかかっていただろう。そして，感染コンピュータの数も飛躍的に増えていたはずだ。

　MPackについてもっと詳しく知りたい方は，Panda Labsが公開しているMPack攻撃プラットフォームの詳しい分析結果を参照するといい。Panda LabsのWebサイトでPDF形式のものが入手可能だ。