世界のセキュリティベンダーのブログから、セキュリティ関連で最近の話題を紹介する。

 まず、短縮URLと位置情報を悪用される問題についてだ。ミニブログサービス「Twitter」でよく利用される短縮URLサービスは、不正サイトへの誘導などセキュリティ上の問題をはらんでいる。これが、IP位置情報と組み合わせることで問題がいっそう拡大しているとして、フィンランドのエフセキュアがブログでその例を紹介した。

 エフセキュアが目にしたTwitterの投稿に以下のようなやりとりがあった。


写真●Twitterの画面

 写真を見ると、スパムボット「@olasher」が別のスパムボット「@MorabsShimb3554」のコメントに返答していることが分かる。

 @olasherアカウントの内容は明らかなので、Twitterは作成後わずか数時間で同アカウントを停止した。これに対して、@MorabsShimb3554アカウントはもう少し巧妙で、「ow.ly」で短縮したリンクを読者にコピー&ペーストさせることで、検出を免れようとしている。

 ow.ly短縮リンクは、広告ネットワーク「maxbounty.com」を通って「http://fi.toluna.com/Register.aspx」にリダイレクトされるが、アフィリエートIDが付けられていて、スパム攻撃者が金儲けを期待できる。ow.ly短縮リンクが開くWebサイトの数は、ユーザーがいる場所、つまりIPアドレスと、maxbounty.comの手数料発生数によって決まる。

 Twitterには、短縮URLを長いURLに広げるとても便利な機能があるが、米国中心の機能であるのが悩みのタネだ。表示されるリンクはTwitter.comのホームIPアドレスに基づくため、正規リンクではうまく機能する。ただ位置によって結果が変わるため、スパムや悪意あるリンクでは常にうまく機能するとは限らない。

 @olasherが投稿した短縮リンクを確認してみると、別の短縮URLサービス「adf.ly」を指していた。adf.lyは、広告付き短縮URLで広告収入が得られるというサービスだ。フィンランドのIPアドレスからは、この短縮URLは「Groupon」の正規サイトなどを開き、これにもアフィリエートIDが付いている。広告をスキップするためにクリックすると、今度は「Amazon.com」上の「iPad 2」商品説明ページに移動する。ここでもまた、アフィリエートIDが付いているという。

 これら紹介されているリンクは、どれもどちらかといえば害がないものだ。しかし、IP位置情報を伴う短縮URLと無害なアフィリエートIDスパムの組み合わせは、氷山の一角にすぎない。もっと悪意のあるリンクが登場する可能性があると、エフセキュアは忠告する。

グーグル画像検索にも広がるSEOポイズニング

 悪質なWebサイトにユーザーを誘導する攻撃の手法としては、SEO(検索エンジン最適化)ポイズニングの話題もあった。米ウェブセンスがブログで報告している。

 具体的には「Google Images」を狙ったSEOポイズニングを確認したとしてブログで報告した。マルウエアなどを仕込んだ不正サイトを検索結果ページの上位に掲載させる手口、SEOポイズニングは、これまで米グーグルの検索エンジンを標的にしていた。しかし、この手口がグーグルの画像検索にも広がっているという。

 Google Imagesで、有名モデルCindy Crawfordの息子である「Presley Walker」を検索すると、マルウエアを仕込まれた画像が検索結果に表示される。ウェブセンスが最初に確認した4月18日は、検索結果のすべての画像が、攻撃ツールキット「Neosploit」を使ってマルウエア感染させられたサイトにユーザーを移動させるものだった。その後、偽アンチウイルスサイトへのリダイレクトに変更され、ブログを執筆した4月21日時点では、検索結果にはまだ不正画像が掲載され、再びNeosploitサイトへの誘導を行っている。


写真●Google Imageで「Presley Walker」を検索した際の検索結果ページ

 最初の攻撃では、検索結果ページに並んだ最上段の画像をクリックすると、ユーザーはNeosploitサイトに誘導される。すべての不正サイトは同一のIPアドレス「66.235.180.91」でホスティングされ、同じパスネーム「TF19」を使っている。不正サイトは、「Adobe Reader」の三つの脆弱性を狙ったPDFファイルをダウンロードするが、このPDFファイルは巧みに不明瞭化されており、非常に検出されにくい。

 偽アンチウイルスサイトにリダイレクトする2番目の攻撃では、一般的な不正SEO技術を使用している。偽アンチウイルスサイトに移動したユーザーは、アンチウイルスソフトウエアに見せかけた不正ファイルをダウンロードするよう促される。


写真●Firefoxブラウザーで偽アンチウイルスサイトが表示された画面