Symantec Security Response Weblog
Life’s Not Easy When You’re A Web Browser」より
July 16,2009 Posted by Hon Lau

 Webブラウザはここに来て厳しい時代を迎えており,今どきWebブラウザに興味を示すのはゼロデイぜい弱性を探している人だけのように思える。当ブログでは2009年7月6日(米国時間),米マイクロソフトのビデオ・ストリーミング用ActiveXコントロールに存在するぜい弱性(「Microsoft Windows 'MPEG2TuneRequest' ActiveX Control Remote Code Execution Vulnerability -- BID 35558」)を取り上げた(関連記事:Microsoft,ビデオ処理用ActiveXコントロールに遠隔コード実行のぜい弱性)。このぜい弱性は,時代遅れだが今も広く使われている「Internet Explorer(IE)6」と「IE 7」を攻撃できる。トロイの木馬「Downloader.Fostrem」の関与した攻撃でマルウエアがよく悪用した。このトロイの木馬は,パソコンに感染すると勝手に様々なマルウエアをダウンロードする。当社(米シマンテック)はこうしたマルウエアを「Backdoor.Trojan」および「Trojan.Dropper」として検出する。

 上記ぜい弱性の件が下火になり始めると,入れ替わりに新たなぜい弱性(「Microsoft Office Web Components ActiveX Control 'msDataSourceObject' Code Execution Vulnerability -- BID 35642」)が表面化した(関連記事:「Office Web Components」のActiveXコントロールに遠隔コード実行のぜい弱性)。こちらは,Webブラウザは原因ではないものの,攻撃のきっかけになる。攻撃を行う悪質なWebサイトは,「Microsoft Office Web Components」を使うJavaScriptを保持しており,アクセスしたユーザーが被害に遭う。このWebサイトは,エクスプロイトを実行してぜい弱なパソコンを完全に支配しようと試みる。既に数件の攻撃事例が報告されており,そのほとんどがアジアにあるWebサイトからだという。当社はこの攻撃を「Bloodhound.Exploit.263」として検出する。

 「Firefox」ユーザーだからといって,「マルウエアを心配しなくてよい」と考えるのはまだ早い。悪い知らせがある。7月13日ごろ最新版のFirefox 3.5で修正パッチ未公開のぜい弱性(「Mozilla Firefox 3.5 'Tracemonkey' Component Remote Code Execution Vulnerability -- BID 35660」)が新たに見つかったのだ(訳注:Firefox 3.5.1で修正済み。モジラの関連情報)。このぜい弱性が悪用されると,遠隔コード実行された後,パソコンが「乗っ取られて」しまう。うまく作られたエクスプロイトであり,普通にWebサーフィンしているだけで問題に巻き込まれかねない。ただし,攻撃を簡単に回避できる方法も公開されている。この回避策はJavaScriptの動作を制限してしまうが,安全になるのだから納得できる代償だ。当社はこのぜい弱性を突くマルウエアを「Bloodhound.Exploit.264」として検出する。

 この2週間でWebブラウザに関係する攻撃が多発したことは理解できただろうが,まだ終わりではない。我々は7月16日,Firefox 3.5に関係する修正パッチ未公開のぜい弱性(「Mozilla Firefox 3.5 Unicode Data Remote Stack Buffer Overflow Vulnerability -- BID 35707」)の情報を得たのだ。これを見つけたのは,上述したFirefoxのぜい弱性を我々に知らせてくれたのと同じ人物である。攻撃者が悪用すると,非常に長いUnicode文字列を使ってスタック・オーバーフローを起こし,コード実行やWebブラウザをクラッシュ/フリーズできることがある。まだ修正パッチが公開されていないので,Webブラウザを使う際には用心しよう。リスク軽減策として,JavaScriptの機能を止めることや,JavaScript処理に制限をかける「NoScript」といったツールを利用することが有効だ。

 Web攻撃を仕掛ける連中は,こうしたぜい弱性を見落とすことなく悪用するようになってきた。大量のWebサイトに対するSQLインジェクションと組み合わせると,ドライブバイ・ダウンロードという手口でまんまと大規模なマルウエア感染を起こせてしまう。今どき「ある種のWebサイトやオンライン・コンテンツはアクセスしないようにしよう」といった古臭いアドバイスなど,役に立たない。信頼のおけるWebサイトですら,改ざんされた例があるのだから。そこでWebブラウザやその他アプリケーションには修正パッチを漏れなく適用し,ウイルス対策ソフトとファイアウォールを常に動かして必ず最新の定義ファイルを使おう。ちょっとした処世術も被害を避けるのに有用だ。少し時間が経過すれば,本来なら不要なこうした注意を払わずにWebブラウザを使える状態に変わるかもしれない。しかし,繰り返しておく。将来のことなど誰にも分からないのだ。

Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Life’s Not Easy When You’re A Web Browser」でお読みいただけます。