米トレンドマイクロは、ウイルスによって盗まれた多数のユーザーの個人情報(パスワードなど)が、あるWebサイトにおいて誰でも閲覧できる状態になっていたことを確認したという。同社の公式ブログにおいて2007年6月26日(米国時間)に明らかにした。
同社のあるスタッフは、「TSPY_MAHA.S」と名付けたウイルスを解析していた。このウイルスは、感染したパソコンで入力されたパスワードなどを収集し、あるWebサイトに送信するもの。こういったウイルスは「キーロガー」などとも呼ばれる。
盗まれた情報が送信されるWebサイトに同社スタッフがアクセスしたところ、「ディレクトリリスティング(directory listing)」が有効になっていて、盗まれたパスワードなどの情報を誰でも閲覧できる状態になっていたという。
ディレクトリリスティングとは、アドレス(URL)にディレクトリ名(フォルダー名)を指定すると、そのディレクトリ(フォルダー)の下に置かれているファイルやディレクトリの一覧を表示する機能。以前は、ディレクトリリスティングを有効にしているWebサイト(Webサーバー)は多かったが、現在では無効にしているWebサイトがほとんど。
ところが、今回確認されたウイルスが利用するWebサイトでは、ディレクトリリスティングが有効になっていた。つまり、Webサイトのアドレスさえ分かれば、ウイルスが盗んだパスワードなどを、誰でも閲覧できる状態になっていた。
Webサイトには、ウイルスが感染したパソコンのマシン名(ホスト名)/ユーザー名(アカウント)ごとにディレクトリが用意されている(図1)。そしてそのディレクトリの下には、そのパソコンからウイルスが盗んだ銀行の口座情報のほか、Yahoo!やMSNのアカウント(ユーザーIDとパスワード)、やり取りされたメールの内容などを記述したHTMLファイルが置かれている(図2)。同社スタッフによれば、盗まれたパスワードなどは現在も有効で、変更されていないだろうという。
同様の出来事は、米シマンテックも2007年5月に報告している。ウイルスに盗まれた情報は、攻撃者(ウイルス作者)の手に渡る以外に、インターネット上で公開される恐れもある。そのような被害に遭わないためには、ウイルス対策をきちんと実施することが重要だ。