このような攻撃ツールはMPack以外にも複数存在する。例えばIcePackがその一つ。IcePackはほかの攻撃ツールと違って多くの管理ツールが含まれていて,より一層の警戒が必要だと考えられる。そこで今回は,このIcePackが攻撃者にとっていかに便利に作られているか,それによってユーザーはどのよな攻撃を受けるのか解説しよう。
「おとりサイト」にフレームを不正に埋め込む
IcePackはWebベースの攻撃ツールで,攻撃者が簡単に操作できるようにする仕組みを備えている(写真1,2)。例えばインストールのためのスクリプトやReadmeが用意されていて,スキルの低い攻撃者でもマルウエアを手軽にばらまける。
 写真1 IcePackのログイン画面 [画像のクリックで拡大表示] |
 写真2 IcePackのトップ・ページ [画像のクリックで拡大表示] |
IcePackを用いた攻撃の流れは,細かく見ると以下の6段階である(図1)。
- 攻撃サイトへ誘導するための「おとりサイト」にiframeを挿入する
- ユーザーが「おとりサイト」にアクセス
- 「おとりサイト」を閲覧したユーザーにiframeを含んだHTMLを送る
- iframeのコンテンツ(攻撃サイト)にリダイレクト
- アクセス元の国・地域,ブラウザの種類などのユーザー情報を分析
- 攻撃サイトからぜい弱性を突いた攻撃コードを送り込み,実行させる
詳細は後述するが,犯罪者はiframeタグのパラメータで高さ0,幅0を指定するため,ユーザーにはフレームは見えない。埋め込むiframeタグの文字列をJavaScriptなどを使って難読化するケースも多い。
 図1 IcePackの攻撃の流れ [画像のクリックで拡大表示] |
悪用可能なFTPアカウントを自動選別
攻撃者にとって便利な点の一つは,「おとりサイト」作成プロセスが簡単なことである。攻撃者は,まず何らかの方法で取得した「おとりサイト」のFTPアカウント情報のリストをIcePackに登録する。リストはサーバーのアドレス,FTPユーザー名/パスワードを羅列したテキスト・ファイルである。
IcePackは登録されたFTPアカウント・リストについて,個々のエントリが有効かどうかを確認する。確認は形式チェックと死活チェックの2段階で行われる。形式チェックはアカウント・リストの登録時に行われる。エントリが以下のいずれかに該当する場合は登録対象から除く。
- anonymous FTPサーバーの場合
- ユーザー名もしくはパスワードが空白の場合
- サーバーに10,127,172,192から始まるIPアドレス(プライベート・アドレスやループバック・アドレス)が指定されている場合
- サーバーがいくつかの特定ドメインの場合
|
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
