Image Search Referrer-Based Malicious Websites」より
April 17,2008 posted by Evelyn Scidmore,Security Researcher

 米ウェブセンスのセキュリティ・ラボが行った調査で,ある博物館のWebサーバーが改ざんされ,アクセス要求元から受け取るリファラの内容に応じて攻撃コードを送り付けていることが分かった(関連記事:オンライン詐欺との戦いに活用できる「リファラ」フィールド)。攻撃の発端となるリファラは,「images.google.com」といった検索エンジンからのものが該当する。

 興味深い点は,攻撃用コンテンツを引き出すリファラと,そうでないリファラがあることだ。今回のケースでは,攻撃用コンテンツはよく知られた画像検索サイトからのリファラにだけ反応して配信されていた。

 今回の攻撃を調べる過程で,ある有名な画像検索サイトでほかのWebサイト上の画像を検索し,見付けた画像を閲覧しようとすると,正しいWebページでなく攻撃用コンテンツが表示されることが分かった。一方,別の検索エンジンで同じ画像を検索した場合は,本来のWebページが表示された。

 例えば,画像検索エンジン「images.google.com」で見付けた画像のWebページをブラウザがロードしようとすると,攻撃用コンテンツが配信される。ところが,通常の検索エンジン「www.google.com」で同じURLを持つ同じ画像を検索すると,検索結果は正しいWebページを指しており,攻撃用コンテンツへのリダイレクトは行われない。

 これまでのところ,攻撃対象となるリファラを送る画像検索エンジンには,以下の著名サイトが含まれる。

  • images.google.com
  • images.search.yahoo.com
  • www.altavista.com/image/default
  • search.live.com/images/

 「image」という単語を含むリファラが攻撃のきっかけではなさそうだ。というのは,「image」という単語のある「images.websense.com」やそのほかの画像検索サイトからアクセスしても,攻撃を受けないからだ。攻撃者は,特定の画像検索エンジンを狙い撃ちしており,それ以外のサイトからの検索に対しては活動を控え,身を潜めている。

 例えば,以下のスクリーンショットは「images.google.com」で見付けたWebサイト上の画像を表示させたもので,Firefoxから有効なリファラ情報を送信している。


[画像のクリックで拡大表示]

 次の例は,同じ操作をした場合のスクリーンショットだが,リファラのデータは無効化しておいた。このページは通常のコンテンツが表示されており,攻撃用コードは含まれていない。


[画像のクリックで拡大表示]

 攻撃はブラウザとは無関係であり,使用するブラウザの種類によらず,要求元のリファラ情報に攻撃対象の画像検索エンジンが含まれていれば攻撃用コンテンツが配信される。

 今回のケースでもう一つ興味深いのが,この博物館のWebページに検索エンジン・ポイズニング(SEOポイズニングとも呼ぶ。SEOはsearch engine optimization)攻撃も仕掛けられていると思われる点である。この行為の目的は,通常の攻撃とは異なる。Webサイトの検索順位を引き上げ,それによって攻撃用画像が検索結果の上位になることを目論んでいるのだろう。SEOポイズニングのせいで,攻撃用コンテンツに感染するシステムが増加しかねない。



Copyrights (C) 2008 Websense, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,ウェブセンスの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログWebsense Security Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,Image Search Referrer-Based Malicious Websitesでお読みいただけます。