トレンドマイクロは2010年10月中旬、特に日本のユーザーを狙ったとみられる大規模な攻撃を確認した。一般的なWebサイトの改ざん、ぜい弱性悪用、アフィリエイトによる金銭詐取といった複数の手口を駆使した攻撃で、およそ100社に及ぶ国内企業から感染報告が相次いだ。ユーザーへの直接的な被害は限られていたものの、その裏で利益を享受していたサイバー犯罪者がいたことが推測される。

改ざんされたWebサイトを閲覧し感染

 トレンドマイクロは2010年10月中旬、複数の一般的なWebサイトに不正なスクリプトコードが埋め込まれていたことを確認した。解析の結果、埋め込まれていたコードには、不正であることを気付かせないための難読化が施されていたことも判明した。この不正コードを埋め込まれたWebページを閲覧すると、ユーザーは別の不正サイトに誘導される仕掛けになっていた。誘導先の不正サイトには「JAVA_AGENT.P(※1)」と「JAVA_AGENT.O(※2)」のウイルス名で検出されるJavaScriptが仕込まれていた。

 この二つのJavaScriptは、「Oracle Sun JDK」および「Java Runtime Environment」(JRE)のぜい弱性を悪用し、ユーザーの許可なく他の不正プログラムをダウンロード/インストールする。まず「JAVA_AGENT.P」は、感染コンピュータ上に「TROJ_DLOAD.SMAB(※3)」をダウンロードする。「TROJ_DLOAD.SMAB」は"mstmp"という名前のファイル(「TROJ_DLOAD.SMAD(※4)」として検出)を作成。「TROJ_DLOAD.SMAD」はInternet Explorerのウインドウを非表示で開き自身の不正活動がユーザーに気付かれないようにしたうえで、他の不正プログラムが含まれる不正なWebサイトにアクセスする。TROJ_DLOAD.SMABは、感染したコンピュータ内のセキュリティ関連のプログラムを監視し、TROJ_DLOAD.SMADを使って無効にする機能も備えている。これにより、セキュリティ対策製品による検出を回避する。

 TROJ_DLOAD.SMADは、「TROJ_DROPPER.OMJ(※5)」をダウンロードする。TROJ_DROPPER.OMJは感染したコンピュータ内に「TROJ_EXEDOT.SMA(※6)」として検出されるDLLファイルを作成する。このDLLファイルは"lib.dll"というファイル名で、アフィリエイトに必要となる「Clicker」(クリッカー)と呼ばれる機能を持つコンポーネントをダウンロードし、自身をInternet ExplorerのBrowser Helper Object(BHO)として登録する。これによりInternet Explorerの起動時に自身を自動実行させ、感染したコンピュータのインターネット閲覧活動を監視する。この際、アクセス先のURLの中に特定の文字列が含まれていると、バックグラウンドで特定のWebサイトにアクセスする。

Clicker機能でアフィリエイトによる報酬を狙う?

 TROJ_EXEDOT.SMAが監視するURLの文字列は数百パターンあり、この文字列パターンごとにバックグラウンドでアクセスするURLが設定されている。トレンドラボで調査したところ、例えば"klitetk.com"という文字列を含むURLにアクセスした場合、バックグランドで「ClickBank」(クリックバンク)というショッピングサイトにアクセスすることがわかった。

 ClickBankは世界中に10万もの販売者とアフィリエイト契約を結んでいる米国の有数のオンラインショップで、eBook(電子書籍)やコンピュータソフトといったデジタル商品を7万点以上も扱っている。2010年11月上旬には米国の「Revenue Performance Magazine」で、その人気や規模、サービスの質などから最も優れたアフィリエイトサイトと評価された。新規参入者も含め、「デジタル商品」を売り込みたい様々な出版業者や起業家の注目のサイトである。

 ClickBankでは、ユーザーが製品を購入すると、アフィリエイトプログラムに参加している人が報酬を得る。ただアフィリエイトを行っているサイトでは、必ずしも購入に結びつかなくともクリック数に応じてアフィリエイト報酬を受け取れる場合がある。今回のサイバー犯罪者は、この仕組みを悪用し、アフィリエイト目的のクリックという手口での金もうけを企んだと見られる。ユーザーに直接的な被害は及ばないものの、気づかないうちにサイバー犯罪者の目的(今回はアフィリエイト報酬)に使われてしまうという点で巧妙といえる。

 この攻撃ではほかに、検索エンジンの検索内容も収集される。前述のTROJ_EXEDOT.SMAがダウンロードするコンポーネントファイルが、検索エンジン(例:Google.com、Yahoo.com、Bing.com)での検索内容を監視し、使用している検索エンジンおよび検索文字列を暗号化して、不正サイトに送信する。

 また、「Oracle Sun JDK」およびJREのぜい弱性を悪用し、ユーザーのコンピュータに不正プログラムをダウンロードさせることが明らかになっている。その最、ユーザーが不正なWebページを閲覧した時点で、ユーザーの環境にどのようなぜい弱性が存在するかを確認し、ぜい弱性の種類に合わせて異なる不正プログラムをダウンロードさせることも確認している。ぜい弱性によっては、「Security Tool」という偽セキュリティソフトがダウンロードされることも確認。これは、ガンブラー関連の攻撃で使われたことでも知られる偽セキュリティソフトである。

ユーザーに気付かせることなく攻撃が実行

 この攻撃では、ほとんどのサイバー犯罪で確認できる典型的な手口が用いられている。ユーザーによる操作がなくても感染の連鎖が引き起こされてしまう点で、効果的な感染経路といえる。現在、サイバー犯罪者はより効率的に自身の犯罪を成功させるため、犯罪の裾野を広げており、知名度の高いサイトがその対象になる可能性がますます高まっている。

トレンドマイクロでも、こうしたWebからの脅威は今後ますます増え続けると予想している。インターネットのユーザー人口が増加し続ける中、サイバー犯罪者たちも自分たちの不正活動のために、インターネット上の様々なプラットフォームやテクノロジーを駆使してくるだろう。

 Webサイト運営側の対策としては、改ざん検知などのツールを用いて、万一改ざん被害があったときに一刻も早く気づくことができるようにしておくことが大切である。同時に、オペレーティングシステムやアプリケーションを常に最新の状態しておき、信頼できるセキュリティ対策製品を導入しておく必要がある。

[参考]
●今回の脅威に関連するウイルス情報
※1 「JAVA_AGENT.P」ウイルス情報
※2 「JAVA_AGENT.O」ウイルス情報
※3 「TROJ_DLOAD.SMAB」ウイルス情報
※4 「TROJ_DLOAD.SMAD」ウイルス情報
※5 「TROJ_DROPPER.OMJ」ウイルス情報
※6 「TROJ_EXEDOT.SMA」ウイルス情報

●今回の脅威に関する関連情報 国内100社以上で感染被害を確認。”mstmp” ”lib.dll” のファイル名で拡散する不正プログラム(トレンドマイクロ セキュリティブログ) アフィリエイトによる金銭取得が目的か!? -“mstmp”“lib.dll”攻撃続報(トレンドマイクロ セキュリティブログ) Copyrights (C) 2011 Trend Micro Inc. All rights reserved. 本記事の内容は執筆時点のものであり、含まれている情報やリンクの正確性、完全性、妥当性について保証するものではありません。

◆このコラムでは、トレンドマイクロのウイルス解析研究機関であるフィリピンのトレンドラボの研究者が、最近のセキュリティインシデントについて解説します。記事はすべて新たに書き下ろしたものです。