| Symantec Security Response Weblog |
June 11,2009 Posted by Parveen Vashishtha Parveen Vashishtha
ITシステムへの攻撃を仕掛ける悪人は,マルウエア配布によく検索エンジンを使う。当ブログでは以前,米ヤフーの検索結果がミスリーディング・アプリケーションの配布に使われた例を紹介した(過去記事)。米グーグルの広告サービスがミスリーディング・アプリケーション配布に悪用された例も,メディアに取り上げられたことがある。
攻撃者は最近,自分たちの目的に適した検索結果を得る際,これまでの検索エンジン最適化(SEO)ポイズニングといった手口でなく,グーグルのスポンサード・リンクを使うようになってきた。攻撃者の出稿した広告は,スポンサード・リンクを導入しているすべてのWebサイトに表示される。例えばユーザーがグーグルで「Adobe Flash Player 9」を検索した場合,スポンサード・リンクには「flashplayer.9-downloadcenter.com」(このWebサイトはアクセスしないようにしよう)といったダウンロード用リンクが現れる。このリンクをクリックしてしまうと,知らないうちにあるWebサイトへリダイレクトされる。そのサイトでは,「Snapshot」や「RealPlayer」といったアプリケーションのセキュリティ・ホールを突くエクスプロイトを配布している。リダイレクト先のWebサイトは,本来ベンダー(米アドビ・システムズ)のWebサイトで無料ダウンロード提供されているソフトウエアを広告で宣伝し,誤解したユーザーに売りつけようとする。
かつて紹介した同種の攻撃は,ユーザーを誤解させて無料ソフトウエアを販売するだけだった。ところが今回の攻撃は,ドライブバイ・ダウンロードという手口を使ってユーザーのパソコンにマルウエアを送り込むようだ。以下のスクリーンショットでWebサイトに掲載されたグーグルのスポンサード・リンクをいくつか示しておく。このミスリーディング・アプリケーションの広告は,一つのグループを形成している。
ここで興味深いのは,flashplayer.9-downloadcenter.comがWebサイト・フィルタリング機能「Google SafeBrowse」のブラックリストに掲載済みで,アクセス・ブロックの対象になっていることだ。以下にGoogle SafeBrowseの診断ページを示す。
今回のミスリーディング・アプリケーション配布サイトへの誘導につながる検索キーワードを,いくつか掲載しておこう。
- Flash player 9
- Adobe Flash Player 9
- Adobe Flash 9
- Download Flash player 9
- Flash
- Flash player install
検索エンジンを利用する場合には,検索結果のキーワードが改変されている可能性があるので注意してほしい。さらにこれまでと同様に,アプリケーションのダウンロードは,必ず開発元会社や正規パートナ企業のWebサイトから直接行うようにしよう。シマンテック製品のユーザーは,最新版の侵入防止システム(IPS)とウイルス対策ソフトでこの攻撃から保護される。
Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「“Google Sponsored Links” Sponsor Misleading Websites Blacklisted By Google」でお読みいただけます。
