「MPack」と呼ばれるWeb経由でマルウエアをダウンロードさせる攻撃ツールが海外を中心に被害をもたらしている。IBM ISSのセキュリティ・オペレーション・センター(SOC)でもこの種のツールによる攻撃を複数検知している。攻撃の中にはゼロデイ攻撃を含むものも見つかっていて,今後の被害拡大に対する警戒感が強まっている。

 このような攻撃ツールはMPack以外にも複数存在する。例えばIcePackがその一つ。IcePackはほかの攻撃ツールと違って多くの管理ツールが含まれていて,より一層の警戒が必要だと考えられる。そこで今回は,このIcePackが攻撃者にとっていかに便利に作られているか,それによってユーザーはどのよな攻撃を受けるのか解説しよう。

「おとりサイト」にフレームを不正に埋め込む

 IcePackはWebベースの攻撃ツールで,攻撃者が簡単に操作できるようにする仕組みを備えている(写真12)。例えばインストールのためのスクリプトやReadmeが用意されていて,スキルの低い攻撃者でもマルウエアを手軽にばらまける。

写真1 IcePackのログイン画面
写真1 IcePackのログイン画面
[画像のクリックで拡大表示]
写真2 IcePackのトップ・ページ
写真2 IcePackのトップ・ページ
[画像のクリックで拡大表示]

IcePackを用いた攻撃の流れは,細かく見ると以下の6段階である(図1)。

  1. 攻撃サイトへ誘導するための「おとりサイト」にiframeを挿入する
  2. ユーザーが「おとりサイト」にアクセス
  3. 「おとりサイト」を閲覧したユーザーにiframeを含んだHTMLを送る
  4. iframeのコンテンツ(攻撃サイト)にリダイレクト
  5. アクセス元の国・地域,ブラウザの種類などのユーザー情報を分析
  6. 攻撃サイトからぜい弱性を突いた攻撃コードを送り込み,実行させる

 詳細は後述するが,犯罪者はiframeタグのパラメータで高さ0,幅0を指定するため,ユーザーにはフレームは見えない。埋め込むiframeタグの文字列をJavaScriptなどを使って難読化するケースも多い。

図1 IcePackの攻撃の流れ
図1 IcePackの攻撃の流れ
[画像のクリックで拡大表示]

悪用可能なFTPアカウントを自動選別

 攻撃者にとって便利な点の一つは,「おとりサイト」作成プロセスが簡単なことである。攻撃者は,まず何らかの方法で取得した「おとりサイト」のFTPアカウント情報のリストをIcePackに登録する。リストはサーバーのアドレス,FTPユーザー名/パスワードを羅列したテキスト・ファイルである。

 IcePackは登録されたFTPアカウント・リストについて,個々のエントリが有効かどうかを確認する。確認は形式チェックと死活チェックの2段階で行われる。形式チェックはアカウント・リストの登録時に行われる。エントリが以下のいずれかに該当する場合は登録対象から除く。

  • anonymous FTPサーバーの場合
  • ユーザー名もしくはパスワードが空白の場合
  • サーバーに10,127,172,192から始まるIPアドレス(プライベート・アドレスやループバック・アドレス)が指定されている場合
  • サーバーがいくつかの特定ドメインの場合
 死活チェックでは,各エントリについて実際にFTP接続を試み,接続できるかどうかを調べる。こうして死活チェックをパスしたエントリだけをiframeの挿入先として使う。また死活チェックでは,接続に成功したエントリについて,そのWebサイトのGoogle PageRankを取得する。Google PageRankによって,そのエントリの「おとりサイト」としての有効性を測るわけだ。

 この記事は,2007年12月20日に公開した「今週のSecurity Check」を再掲載したものです。