米Websenseは現地時間6月14日,攻撃サイトへ誘導する偽メールが確認されているとして注意を呼びかけた。偽メールは,「オーストラリア最大級の銀行が倒産するという情報が流れている」として,詳細を知りたければメール中のリンクをクリックするよう促すもの。クリックすると,悪質なプログラム(トロイの木馬)をインストールさせるWebサイトに誘導される。
偽メールの件名は「National Bank goes bankrupt?!」で,文面は以下の通り。
People starting panic withdrawals, some of the accounts were reported closed due to technical reasons, many ATMs are not operating.Does it seem that one of the Australia's greatest goes bankrupt?
The full story could be found here: <攻撃サイトのURL>
Well, hope that isn't true... Anyway You'd rather check your balance...
誘導先のWebサイトには,セキュリティ・ホールを突いて,「バックドア」などの機能を持つトロイの木馬をインストールするツールが仕込まれている。このツールが突くセキュリティ・ホールは以下の4種類。対象となるのはWindowsパソコンのみ。
(1)Microsoft Data Access Components(MDAC)のセキュリティ・ホール
Microsoft Data Access Components (MDAC) の機能の脆弱性により,コードが実行される可能性がある(911562)(MS06-014)
※2006年4月以降にMicrosoft Updateを実行していれば修正済み(関連記事:IEの修正パッチがようやく公開)
(2)Windows Media Playerプラグインのセキュリティ・ホール
Windows Media Playerプラグインの脆弱性により,リモートでコードが実行される (911564)(MS06-006)
※2006年2月以降にMicrosoft Updateを実行していれば修正済み(関連記事:WindowsやIEに合計7件のセキュリティ・ホール)
(3)Microsoft VMのセキュリティ・ホール
Microsoft VMの問題により,システムが侵害される(816093)(MS03-011)
※Microsoft Updateを実行していれば修正済み(関連記事:Microsoft VMにまたもや「緊急」のセキュリティ・ホール)
(4)Firefox/Mozilla Suiteのセキュリティ・ホール
MFSA 2005-50 攻撃に利用可能なInstallVersion.compareToによるクラッシュ
※Firefox 1.0.5以降/Mozilla Suite 1.7.10以降では修正済み(関連記事:FirefoxやThunderbirdに複数のセキュリティ・ホール)
同サイトでは,攻撃の統計情報を公開している。Websenseが確認した時点では,同サイトにアクセスしたパソコンは3995台。そのうち,977台に悪質なプログラムを埋め込んだという。その際に悪用したセキュリティ・ホールの内訳は,(1)が803台(サイトにアクセスした全パソコンの20.10%),(2)が14台(同0.35%),(3)が149台(同3.73%),(4)が11台(同0.28%)---だったという。ただし,これらの情報は攻撃サイトが公表しているものなので,真偽のほどは定かではない。
◎参考資料
◆Malicious Website / Malicious Code: New Web Attacker code at work
