当ブログの読者の大多数にとって,悪人グループがWebページへのアクセスをリダイレクタで自動転送することなど,当たり前の話だろう。こうした自動転送は,ユーザーがよく使うハイパーリンクを何らかの方法で細工して実行することが一般的だ。例えば,悪人たちは,悪事とかかわりのないWebサイトへのアクセスをほとんど知られていない攻撃用Webサイトに転送するための,短く分かりにくいコードをWebページに加える。多くの場合,攻撃用Webサイトの内容や場所は動的に変える。
たいていの場合,実際に使用されるリダイレクタは「iframeリダイレクタ」と「オープン・リダイレクタ」の2種類である。
iframeリダイレクタ
iframeリダイレクタは,この数年間よく使われた。悪人グループは侵入したWebサイト内のWebページにiframeタグを仕込み,攻撃用Webサイトへの窓口に変える。iframeリダイレクタの仕込まれたWebページに対するアクセスは,悪人の選んだところへ自動的に転送されてしまう。
オープン・リダイレクタ
オープン・リダイレクタは,iframeリダイレクタ以上によく使われる。本来オープン・リダイレクタは,ユーザーのアクセスがどこから来てどこへ行くかを調べる合法的な目的で,広告会社や大企業がプロキシ・サーバーとして利用するものだ。ところが不幸なことに,悪人グループもオープン・リダイレクタを使うと,好きなWebサイトでアクセスの自動転送を実現できる。ユーザーはアクセスするドメイン名の確認くらいはするが,URLに含まれる,リダイレクト・スクリプトとして使われるクエリー文字列の変数など気づきもしない。
Flashリダイレクタ
さらに最近は,Flashリダイレクタの使用が増えてきた。悪人は,Flashアプリケーションを作り,無料Webホスティング・サービスを使って配布用Webサイトを開設し,スパム・メールでそのサイトのURLをばらまく。このURLは直接Flashアプリケーション(SWF形式のファイル)を指すことが多く,クリックしたユーザーを自動的に別の場所へ誘導する。悪人から見ると,Flashアプリケーション内のコンテンツは読むことが困難で,さらにJavaScriptと同じく難読化できる点がメリットとなる。そのため,リアルタイムに解析することが難しい。
我々は2008年8月18日(米国時間),ソーシャル・ネットワーキング・サービス(SNS)「Facebook」に関する悪質なスパム「Malicious Viral Facebook」をブログで取り上げた。さらに,このスパムの背後にいる同じグループは,Facebookのゲストブック「wall」に攻撃用Flashファイルへのリンクを投稿している。
Flash用ダンプ・ツール「SWFDump」でリンク先のSWFファイルを解析したところ,簡単な動きをするアクション・スクリプトがいくつかあり,主に個人情報の収集を目的とするWebサイトへユーザーを誘導することが分かった。
この動作を実現するアクション・スクリプトは簡単に書ける。Flash関数「navigateToURL」を使えば,一切警告を出すことなく,自動的にユーザーをリダイレクトできる。
ここで紹介したFlashファイルは一連の302リダイレクタを介し,最終的に個人情報を集める相性占いサイトへユーザーを誘導する。
Copyrights (C) 2008 Websense, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,ウェブセンスの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログWebsense Security Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,Malicious Flash redirectorsでお読みいただけます。
