マルウエアは死なない――。残念なことに、これを証明する事態が発生した。2008年にコンピュータ・ユーザーを脅かしたボットネット「ASProx」の復活である。サイバー犯罪者たちは、アプリケーション開発者たちが作り出す製品の「抜け穴」を見つけて利用し、自分たちの不正活動を拡大する手を決して緩めないのだ。
「休眠状態」から目覚めたボットネット「ASProx」
2009年10月にトレンドマイクロは、インドやタイ、ニュージーランドの複数のWebサイトにトロイの木馬型不正プログラムの一つ「ASProx」が組み込まれていることを確認した。ASProxは以前から存在する古いマルウエアで、Microsoft Active Server Pages(ASP)で作成されたフォームを使用しているWebサイトを探し出し、使用しているASP技術のぜい弱性を利用して不正活動する。今回確認されたトロイの木馬型不正プログラムは、トレンドマイクロの製品では「TROJ_PIDIEF.ASP」として検出され、特別に細工されたPDFファイルとしてコンピュータに侵入する。ASP技術のぜい弱性を利用した後さらに、「Adobe Reader」および「Adobe Acrobat」のバージョン9、8および7に存在する以下のぜい弱性を利用するのだ。
| CVE-2009-0927 | 「Adobe Reader」および「Adobe Acrobat」ver.9のうちの9.1以前、ver.8のうちの8.1.3以前、および、ver.7のうちの7.1.1以前のバージョン |
| スタック・ベースのバッファ・オーバーフロー。CollaborationオブジェクトのgetIconメソッドに、細工された引数を入力することで発生する。これにより、不正リモート・ユーザーが任意のコードを実行できるようになる | |
| <CVE-2007-5659 | 「Adobe Reader」および「Adobe Acrobat」の8.1.1およびそれ以前のバージョン |
| 複数のバッファ・オーバーフロー。不特定のJavaScriptメソッドが長い引数を正しく処理できず発生する。これにより、不正リモート・ユーザーが細工されたPDFファイルを経由して任意のコードを実行できるようになる | |
ASProxに関連する攻撃は、2008年、Webサイト管理者たちを大いに悩ませた。トレンドマイクロが発表した「2008年不正プログラム・トップ8」にも選ばれており、これまでで最も悪質なボットネットの一つとなった。同年を通じて騒ぎを起こしたボットネット「Storm」、「Kraken」、「Mega-D/Odzok」、「MayDay」とともに名を連ねることになり、ボットネット解析者たちはASProxの動きに常に目を光らせている。
2008年、ASProxの主な犯罪手口は、フィッシング・メールを送信することだった。しかし同年5月下旬から6月上旬にかけて、事態は変化した。ASProxは新たなコマンドを使ってASP技術を使用しているWebサイトを探し出し、SQLインジェクション攻撃を仕掛けたのである。
サイバー犯罪者たちは、Webサイトに存在するデータベース・プログラムのエラーを利用して、自身の攻撃コードを組み込む。ASProxでは、このSQLインジェクションのプロセスが自動化されており、時間をかけずに標的とするWebサイトにマルウエアを組み込むことができる。ASProxはWebページを改ざんする際、JavaScriptを使って不正なサイトへリダイレクトするHTMLタグ「iframe」を非表示で埋め込む。このJavaScriptから攻撃が始まるのだ。
最近確認されたものも含め、ASProxの多くの亜種は同じ手口を展開する。まず、複数のWebページを改ざんする。ユーザーは改ざんされたWebサイトを閲覧するだけで不正なURLにリダイレクトされ、最終的に複数の不正なファイルをダウンロードすることになる。
ASProxを確認したと言っても、最近再登場したASProxのコード、あるいは今回のコードを利用したサイバー犯罪者たちが特に目新しいことを始めたというわけではない。今回の攻撃で注目すべき点は、1年近く休眠状態にあったこのボットネットが復活したという事実だ。
フィッシング対策の専門家であり、現在、米アラバマ大学コンピュータ・フォレンジクス(電子情報を利用した科学捜査の意)の研究責任者であるゲイリー・ワーナー(Gary Warner)氏によると、現在流行しているASProxの複数の検体は、「Adobe Flash Player」に存在する「バグ」も利用できる。また、セキュリティ研究団体であるShadowserver Foundationのマイク・ジョンソン(Mike Johnson)氏によると、ASProxを操る犯罪組織は、このマルウエアの環境設定ファイルの構成を変更したり、新規のコマンド&コントロール(C&C)サーバーを加えたりして、マルウエアのバージョンアップを図ったという。新しいC&Cは過去一度も使われていないが、ジョンソン氏はこれについて、「サイバー犯罪者は、以前組織化したボットネットをコントロールできなくなったので、また一からスタートしているようだ」と説明する。
この攻撃が持つ特質の詳細、例えば攻撃パターンや使用通信手段、ドメインやサーバー情報などに注視し、総合してみると、ASProxが復活したことが明らか。専門家は、最新の「ASProx」関連攻撃で感染したWebサイトは2000以上になる、と報告している。
最新のASProx関連攻撃では、Adobe Reader、Adobe Flash Playerといったアドビ製品に存在するぜい弱性が利用され、アプリケーションのクラッシュを引き起こす。これにより、不正リモート・ユーザーが感染コンピュータを制御でき、感染コンピュータをボット化する可能性がある。
ぜい弱性を悪用した攻撃から自身のコンピュータを守るには、定期的なパッチ適用は欠かせない。アドビ製品のユーザーは製品の自動更新機能を有効にすべきだ。ただし、修正パッチになりすます不正プログラムが存在することにも注意しておきたい。使用するリンクが本当に正規のWebサイトのものかを確認することが大切である。
参考:
- CVE. (2009). Common Vulnerabilities and Exposures. “CVE-2009-0927.”(2009年11月)
- CVE. (2009). Common Vulnerabilities and Exposures. “CVE-2007-5659.”(2009年11月)
- Det Caraig (2009年10月15日)
TrendLabs Malware Blog. “ASProx Resurfaces with a Mass Compromise in Tow.”(2009年11月) - Gary Warner (2009年10月1日)
Cyber Crime & Doing Time. “Cyber Security Awareness Month: Day One.”(2009年11月) - Jake Soriano (2008年12月30日)
TrendLabs Malware Blog. “Top 8 in ’08.”(2009年11月) - Robert McArdle (2008年7月18日)
TrendLabs Malware Blog. “YAMSIA (Yet Another Massive SQL Injection Attack).”(2009年11月) - SCforum.info (2009年10月3日)
“After a Few Months’ Rest, SQL Web Attack Spreads Anew.”(2009年11月) - トレンドマイクロ ウィルスデータベース 「TROJ_PIDIEF.ASP」(2009年11月)
- Wikipedia. (2009). “Portable Document Format.”
Copyrights (C) 2009-2010 Trend Micro Inc. All rights reserved.
本記事の内容は執筆時点のものであり、含まれている情報やリンクの正確性、完全性、妥当性について保証するものではありません。
◆このコラムでは、フィリピンのトレンドラボの研究者が、最近のセキュリティ・インシデントについて解説します。記事はすべて新たに書き下ろしたものです。
