ワームが誘導する偽ページ(F-Secureの情報から引用)
ワームが誘導する偽ページ(F-Secureの情報から引用)
[画像のクリックで拡大表示]

 セキュリティ・ベンダーや組織は12月1日および2日,ソーシャル・ネットワーキング・サービス「MySpace」で感染を広げるワーム(ウイルス)が確認されたとして注意を呼びかけた。ワームに感染したWebページにアクセスするだけで,自分のユーザー・プロファイルのページにワームが感染するとともに,フィッシング・サイトへのリンクが追加される恐れがある。

 ワームの実体は,QuickTimeビデオ・ファイル(.mov)に仕込まれたスクリプト(JavaScript)。例えば,フィンランドF-Secureでは「JS/Quickspace.A」と名づけている。

 QuickTimeには,ビデオ・ファイル(動画)再生時に任意のWebページを表示したり,スクリプトを実行したりするための機能「HREF track」が用意されている。今回のワームはこの機能を悪用する。ワームが仕込まれたビデオ・ファイルを再生すると,そのユーザーがMySpaceを利用している場合には,ユーザー・プロファイルのページがワームによって改ざんされてしまう。

 具体的には,ワームを含むビデオ・ファイルを自動的に読み込ませるコードが追加されるとともに,プロファイル・ページ上部のメニューを,偽のMySpaceログイン・ページに誘導するメニューと入れ替える。この偽ページでユーザーIDとパスワードを入力させて盗むこと,つまり,フィッシング詐欺をおこなうことがワームの目的だと考えられる。

 WebブラウザにInternet Explorerを利用している場合には,ビデオ・ファイルを明示的に再生しなくても,ワームに感染した(ワームが改ざんした)プロファイル・ページにアクセスするだけでビデオ・ファイルが読み込まれ,ワームが勝手に実行されるという。

 ワームが含まれるビデオ・ファイルの中身は“空”で,動画は含まれていない。米Websenseによれば,ページ上部に置かれたメニューのリンク先が変更されている,あるいは空のビデオ・ファイルが置かれている場合には,今回のワームに感染しているという。

F-Secureの情報
Websenseの情報