米McAfeeは現地時間11月28日,ユーザーがある程度自由にHTMLコンテンツを記述できるWebサイト(サービス)にアクセスする際には十分注意するよう改めて呼びかけた。悪質プログラムが置かれたサイトやアダルト・サイトに勝手にリダイレクトされる危険性などがあるからだ。

 同社では,ソーシャル・ネットワーキング・サービス「MySpace」を悪用した手口を6月に2件報告している。そして今回は,「BuddyProfile.com」を悪用した手口が確認されたという。BuddyProfileは,AOLインスタント・メッセンジャ(AIM)のユーザーなどに向けたサービス。BuddyProfileに登録したユーザーは,HTMLで記述した自分のプロファイルを同サイトに保存できる。そして,送信するメッセージにそのプロファイルへのリンクを記述しておけば,メッセージの受信者に自分のプロファイルを見てもらうことができる。

 このサービスのメリットでありデメリットでもある点は,ある程度自由にHTMLを記述できること。McAfeeのスタッフが確認した事例では,プロファイル中に特定のアダルト・サイトへリダイレクトするようなHTMLが記述されていたという。

 しかもそのサイトには,2005年1月に公表されたWindowsのセキュリティ・ホールを突いて,あるアドウエア(スパイウエア)を勝手にインストールする仕掛けが施されている。このため修正パッチを適用していないWindowsユーザーは,メッセージに記述されたプロファイルのリンクをクリックするだけで,知らないうちにアドウエアをインストールされる恐れがある。

 ちなみにこのアドウエアは「Adware-PestTrap」と呼ばれるもので,インストールされると嘘のセキュリティ警告を表示して,セキュリティ・ソフトと称するプログラムを購入させようとするもの。

 McAfeeの研究者の一人は,「ユーザーが自分で作ったHTMLコンテンツを埋め込めるWebサイトは,自分で作った料理をみんなに食べさせることができるレストランと同じだ」としている。“食中毒”にかからないよう注意したい。

McAfee Avert Labs Blog