大規模なWebサイト改ざんとゼロデイ攻撃：危険な組み合わせ

2009.10.13

　今日のインターネットをとりまく状況を考えると，ゼロデイ攻撃もWebサイト改ざんも，残念ながら，もはやおなじみのセキュリティ上の脅威と言える。ただ，これら二つの脅威を組み合わせられると，ユーザーにとって非常に危険な脅威となる。最近確認された攻撃は，それをはっきりと物語るものだった。

ゼロデイ攻撃から大規模Webサイト改ざんへ

　2009年 7月中旬，マイクロソフトは，“Microsoft Office Web コンポーネント”のActiveXコントロールに存在する脆弱性を詳しく説明したセキュリティ・アドバイサリ（973472）を公開した。この脆弱性により，悪意あるWebサイトを介して感染したユーザーのコンピュータに対し，攻撃者がリモートから任意のコードを実行可能になる。通常，マイクロソフトは定期的に修正パッチを公開しているが，この脆弱性は8月3日の公開まで修正されなかった。

　この攻撃の発生後しばらくして，上記の脆弱性を組み合わせて利用するWebサイト改ざん攻撃が確認された。この攻撃では，インドの多数のWebサイトが対象になった。攻撃者はSQLインジェクションにより標的サイトに不正なJavaScriptコードを挿入することに成功した。この不正JavaScriptコードは上記の脆弱性を利用するもので，ユーザーが改ざんされたWebサイトにアクセスしただけで自動実行される。さらに，「TROJ_AGENT.HOZZ」として検出される不正ファイルをダウンロードするサイトにユーザーを誘導した。「TROJ_AGENT.HOZZ」の主な目的は，「TROJ_DLOADR.APL」（ダウンローダ）をダウンロードすること。いったんダウンローダがコンピュータに侵入すると，様々な不正活動を行う別の不正プログラムがダウンロード，実行される。これらの不正プログラムは，「DROPPER」，「INFOSTEA」および「VB」のファミリーの亜種で，ユーザーは様々なリスクにさらされることになる。

　この攻撃により，感染したコンピュータ上に多様な不正プログラムがインストールされた（図1）。ただ幸運なことに，この攻撃が発生してしばらくすると，改ざんされたWebサイトは修復された。さらに，マイクロソフトが当該セキュリティ・ホールの修復パッチを公開したことで，脅威は収束した。

図1●Webサイト改ざん攻撃の流れ

[画像のクリックで拡大表示]

　最大の懸念は，簡単に不正プログラムがばら撒かれてしまうことにある。今回の攻撃の発生以前にも，類似した例が既に確認されていた。目立たない規模のWebサイト改ざん攻撃は，実は，頻繁に発生している。サーバー・ソフトのパッケージ内に存在する脆弱性や，不注意なセキュリティ対策，不正な情報収集，またはその組み合わせが，この種の脅威が連続して発生する原因だと思われる。

　一方，ゼロデイ攻撃も頻繁に発生している。攻撃のからくりはそれぞれ異なるが，被害にあったユーザーの体験にはかなり共通点がある。ユーザーがWebサイトにアクセスするか，ファイルを開くかすると，コンピュータ上で任意の不正コードを遠隔実行されてしまう点だ。この種の攻撃では，該当のソフトウエア製造元が脆弱性の修正パッチを公開するまで，ユーザーは危険にさらされたままでいるしかない。修正パッチの公開まで，数日の場合もあるし，数週間を要する場合もある。

HOSTSファイルを書き換え不正サイトに誘導

　このWebサイト改ざん攻撃が引き起こす不正活動は実に多岐にわたる。しかも，被害はいずれも深刻だ。

　「TROJ_VB.JNP」は感染したコンピュータのHOSTSファイルを変更し，特定のWebサイトにアクセスしようとしたユーザーを不正なサイトに誘導する。これらのWebサイトには，「Google」，「Facebook」，「MySpace」，「Yahoo!」など人気のWebサイトが含まれる。上記の変更により，サイバー犯罪者は一般のユーザーでは気づくことができないような巧妙なフィッシング詐欺を仕掛けることができる。

　「TSPY_INFOSTEA.AO」は，ユーザーが特定のWebサイトにアクセスすると，ユーザーのキー入力操作情報を収集する。これにより攻撃者はユーザー名，パスワード，銀行口座情報といった個人情報を収集できる。

　「TROJ_DROPPER.OPX」は感染したコンピュータに最も大きな被害をもたらす。特定のプロセスが実行されないようにし，複数のシステム・ファイルを削除するためだ。コンピュータに不具合が生じ，日常的な使用に支障を来たす恐れさえある。コンピュータを正常に作動させるためには，OS再インストールが必要になる場合もある。

　さらにサイバー犯罪者は「TROJ_DROPPER.APL」が不正サイトからダウンロードする不正ファイルを容易に変更できる。このためユーザーにもたらされる被害も，それに伴って違ったものになる可能性がある。スパム送信に利用されるボットや偽セキュリティ・ソフトなど，様々な被害が考えられる。

　今回のような攻撃では，被害を回避できるかどうかはWebサイト管理者にかかっている場合が多い。大規模なWebサイト改ざんの被害に遭わないようWebサイトに適切なセキュリティ対策を施すことは，Webサイト管理者の責務である。それでも，サーバー・ソフトのゼロデイの脆弱性を利用した攻撃を受けると，Webサイト管理者が最善を尽くしても完全には防げない可能性がある。

　一般ユーザーであれ，サーバー管理者であれ，ユーザーは利用しているすべてのソフトを常に最新の状態に更新し，新たに確認された脆弱性にいつも注意を払うことが大切である。これにより，脆弱性を利用する攻撃の被害を最小限に食い止めることができる。

参考：
・Roland Dela Paz。 (2009年7月７日) トレンドマイクロセキュリティブログ「Microsoft Video ActiveX コントロールゼロデイにより「WORM_KILLAV」侵入」 http://blog.trendmicro.co.jp/archives/2987（2009年8月訪問）
・セキュリティ TechCenter。 (2009年7月13日). 「マイクロソフトセキュリティアドバイザリ (973472)： Microsoft Office Web コンポーネントの脆弱性により，リモートでコードが実行される」http://www.microsoft.com/japan/technet/security/advisory/973472.mspx（2009年8月訪問）
・Det Caraig。（2009年7月14日）トレンドマイクロセキュリティブログ「“Microsoft Office Web コンポーネント” のセキュリティホールを利用した新たなゼロデイ攻撃を確認！」 http://blog.trendmicro.co.jp/archives/3000（2009年8月訪問）
・Det Caraig. (2009年7月１７日). TrendLabs Malware Blog. “Massive SQL Injection Ensues.” http://blog.trendmicro.com/massive-sql-injection-ensues/ （2009年8月訪問）
・Microsoft Corporation. (2009). Security Research and Defense. “More information about the Office Web Components ActiveX vulnerability.” （2009年8月訪問）http://blogs.technet.com/srd/archive/2009/07/13/more-information-about-the-office-web-components-activex-vulnerability.aspx （2009年8月訪問）
・トレンドマイクロウィルスデータベース「TROJ_AGENT.HOZZ」（2009年8月訪問）http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_AGENT.HOZZ
・トレンドマイクロウィルスデータベース「TROJ_DLOADR.APL」（2009年8月訪問）http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DLOADR.APL
・トレンドマイクロウィルスデータベース「TROJ_DROPPER.OPX」（2009年8月訪問）http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DROPPER.OPX
・トレンドマイクロウィルスデータベース「TROJ_VB.JNP」（2009年8月訪問）http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_VB.JNP
・トレンドマイクロウィルスデータベース「TSPY_INFOSTEA.AO」（2009年8月訪問）http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FINFOSTEA2EAO