2010年6月、2件の大規模なWeb改ざんが報じられた。かなり大きなWeb攻撃で、10万以上ものWebサイトが情報収集型不正プログラムの被害に遭ったという。

 オンラインゲームやバーチャルワールドの人気が高まっているが、これらは、ハッカーやサイバー犯罪組織にも注目されてきたらしい。2010年4月現在、オンラインゲーム市場価値は150億米ドルにも達するといわれており、このような巨大な市場価値と並ぶ膨大なユーザー数から考えても、オンラインゲーム市場が、Web改ざんによるサイバー犯罪にとって金もうけのための格好の標的となるのは当然といえる。

 1件目の大規模Webサイト改ざん攻撃では、米ウォールストリートジャーナルやイスラエルの日刊英字紙エルサレムポストといった主要なニュースサイトも新たな標的とされたという。Web改ざんにより、「http://<省略>.robint.us/u.js」という不正サイトへ誘導するコードが組み込まれたのだが、今回の場合、「SQLインジェクション」というセキュリティのぜい弱性を突く手口が使用されていた。この手口は、「SQLインサーション」とも呼ばれ、この攻撃を受けたサイトにアクセスしたコンピュータは、様々な不正プログラムに感染する危険にされされる。

 この大規模Webサイト改ざん攻撃では、多くのWebサイトが標的にされたが、特に、ウォールストリートジャーナルのサイトの場合は、次のような感染の連鎖をもたらす被害だったという。

 まず、サイトに組み込まれた不正コードにより「http://www.<省略>.us/log.exe」という不正サイトに誘導され、ここから、このURLの末尾がファイル名となる不正プログラム(TROJ_DLOAD.VACとして検出)がダウンロードされる。そしてこの不正プログラムが、さらに別の不正なファイルをダウンロードしてくるのである。

 こうしてダウンロードされた不正なファイルが、TSPY_GAMETHI.QJBとして検出されるトロイの木馬型スパイウエアである。そしてこのトロイの木馬型スパイウエアが、以下の「多人数同時参加型オンラインゲーム(MMORPG)」に関連するユーザーIDやパスワードを収集するのである。

『AION(アイオン)』:韓国企業により開発
『Dungeon Fighter Online(アラド戦記)』:韓国企業により開発
『World of Warcraft(ワールド オブ ウォークラフト)』

 また、このトロイの木馬型スパイウエアは、他の複数のオンラインゲームに関連するファイルの監視活動も行うという。

図1●大規模なWebサイト改ざんによる感染フロー
[画像のクリックで拡大表示]

 2件目の大規模Web改ざん攻撃は、1件目よりは多少規模が小さく、およそ1000に及ぶWebサイトが改ざんされたという。この場合も、最終的にもたらされた被害は、1件目の攻撃と同じく、情報収集活動であった。

 この攻撃では、サイトへのコードの埋め込みが2度にわたって行われている。まず、改ざんされた正規サイトにアクセスしたユーザーは、不正なJavaScriptをダウンロードすることになる。これが1度目の不正コードの組み込みである。このJavaScriptには不正なiFrameタグが含まれており、JS_IFRAME.AUWとして検出される。このiFrameタグにより、ユーザーは、改ざんされた正規サイトから不正サイトにリダイレクトされ、そこからHTML_SHELLLOAD.Bとして検出される不正なファイルをダウンロードすることになる。

 リダイレクトされた不正サイト上では、このHTML_SHELLLOAD.Bにより、アドビ製品で作成されるマルチメディアファイル(拡張子SWF)に埋め込まれたShellコードの実行が試みられる。これが2度目のコードの埋め込みである。このShellコードが実行されると、さらに別のリモートサイトに接続され、そこからTROJ_SMALL.NSZとして検出される不正ファイルがダウンロードされ、そして実行される。

 このTROJ_SMALL.NSZがダウンロードするテキストファイル内にはURLが記されており、そのURLが別の不正ファイルのダウンロード先である。そのURLからダウンロードされる不正なファイルがTSPY_LEGMIR.JWであり、このトロイの木馬型スパイウエアが情報収集活動という最終的な被害をもたらすことになる。

 TSPY_LEGMIR.JWとして検出されるこのトロイの木馬型スパイウエアも、1件目の攻撃でのTSPY_GAMETHI.QJBと同じく、上述のオンラインゲームに関連するユーザー名およびパスワードを収集する。攻撃の規模自体は、1件目よりははるかに小さいものの、「Ameristar」等の大手カジノにも被害を与えることができた点で注目に値するだろう。

 なお、1件目の大規模Webサイト改ざん攻撃だが、ウォールストリートジャーナルWebサイトが被害にあったしばらく後に、「エルサレム・ポスト」への同じ攻撃が確認されたという。