Wget Denied」より
September 15,2008 posted by Stephan Chenette,Security Researcher

 このところ,悪質なFlashファイルを大量に分析していた。最近の調査事例の一つに,メールに記載されたSWF形式ファイルへのリンクをクリックしたユーザーが,スパムWebサイトへ自動的にリダイレクトされる,というケースがあった(関連記事:悪質なFlashリダイレクタ)。

 GNUプロジェクトのダウンロード支援ユーティリティ「Wget」でこのスパム・ページを取得しようとしたことろ,「403 Forbidden」という応答が返ってきた。初めは,攻撃者たちが筆者の居場所をブラックリストに載せているか,あるいは狡猾(こうかつ)にもすべてのHTTPヘッダー属性をチェックしているのではないかと考えた。クッキーがセットされていたし,Webブラウザのシミュレート(Wget)によるアクセスではなくユーザーがSWF形式のファイルをクリックしているトランザクションに見えるよう,あらゆる項目を設定されていた。

 この動作を検証するため,簡単なPerlスクリプトを作成してみた(同スクリプトのzip圧縮版ファイル)。

 まず,ユーザーがSWF形式のファイルをクリックし,スパムWebサイトへリダイレクトされる際,Webサーバーが受信を期待するであろう全ヘッダーをセットしてみた。

[画像のクリックで拡大表示]

 Webサーバーからスパム・コンテンツとともに返ってきた応答は「200 OK」だった。

 次に,WebサーバーがHTTPのREFERER(リファラ)ヘッダーを確認しているかどうかの検証を試みたところ,何とリファラ・ヘッダーの有無にかかわらず応答は同じだった。ヘッダーをいくつか調整して試してみたら,ほんの数分でユーザー・エージェントをチェックしているだけという事実が判明した。ユーザーエージェントがWgetだと「403 Forbidden」が返ってくる。筆者が当初予想したほど,興味深いものではなかった。

 悪意のあるWebページは,訪問者のIPアドレスやユーザー・エージェントのチェックに力を入れ,提供するコンテンツをランダム化することで,セキュリティ関連企業や研究者たちの分析を邪魔している。そこで,研究者側はPerl用ライブラリ「LWP(libwww-perl)」またはPHP用ライブラリ「cURL」でHTTP通信処理プログラムを作り,ヘッダーをランダム化することで本物のWebブラウザでアクセスしているかのように見せかける。あるいは,Wgetの「-U」オプションでユーザー・エージェントを変更してもよい。ただし将来的には,これだけでは済まなくなるだろう。


Copyrights (C) 2008 Websense, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,ウェブセンスの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログWebsense Security Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Wget Denied」でお読みいただけます。