セキュリティ企業の米シマンテックは2008年4月22日、ソフトウエアの脆弱(ぜいじゃく)性を悪用してウイルスなどを仕込む攻撃ツール「Tornado(トルネード)」を確認したとして注意を呼びかけた。改ざんされたWebサイトにアクセスしただけで、トルネードが置かれたサイトに誘導されて被害に遭う危険性がある。
トルネードは、既知の脆弱性を悪用するプログラムを複数集めたパッケージ。デフォルトでは、14種類の悪用プログラムが含まれる。追加料金を払えば、悪用できる脆弱性を増やせる。
また、トルネードは管理機能を用意。トルネードが置かれたサイトにアクセスしたパソコンの台数や利用しているOS・ブラウザーの種類、攻撃の成否などを統計情報として集計し、Webブラウザー経由で確認できるようにしている(図1)。
調査目的のアクセスを回避する機能もある。同じIPアドレスから2回以上アクセスがあったら、2回目以降は、別のWebサイトへリダイレクトしたり、404エラー(「ファイルが見つかりません」など)を返したりするよう設定できる(図2)。
トルネードの悪用方法としては、改ざんしたWebサイトから誘導するのが一般的。トルネードを置いた攻撃者のサイトに、一般ユーザーが直接アクセスすることは期待できないからだ。攻撃者は何らかの方法で、企業や組織などのWebサイトに不正侵入して、Webページを改ざんし、トルネードが置かれたサイトへ誘導するような文字列(iframeタグ)を挿入する。
このため、ユーザーが改ざんされたWebページにアクセスすると、トルネードに含まれる攻撃プログラムがダウンロードされる。そのパソコンに脆弱性がある場合には、ユーザーが何もしなくても、ウイルスなどが実行されることになる。
なお、トルネードにはWebサイトに不正侵入したり、Webページを改ざんしたりする機能はない。改ざんは、別のツールや手法を使う必要がある。シマンテックのスタッフによれば、攻撃対象のWebサイトのFTPアカウントを破って不正侵入し、HTMLファイルに不正なiframeタグを仕込む方法がよく使われるという。
同様のツールには、「MPack(エムパック)」や「IcePack(アイスパック)」などが存在する。トルネードがこれらのツールと異なる点は、「(研究者などに)見つからなかったこと(it has stayed under the radar)」。同社スタッフによれば、同ツールがリリースされてから、既に6カ月以上は経過しているという。
見つからなかった理由の一つは、トルネードそのものは販売されず、サービスとして提供されていたためではないかと推測する。トルネードをインストールしたサーバーのアカウント(利用権)を貸し出すなどして、ソリューション的な提供を行っていたとする。トルネードが勝手にコピーされて、アンダーグラウンドに流れるようなことがなかったため、長期間見つからなかった。しかし現在では、トルネードのコピーが出回っているという。
