7月9日以降,セキュリティ関連のメーリング・リストなどで,偽の「Microsoft Security Bulletin」(米Microsoftが発行するセキュリティ情報)が話題になっている。文中に,Microsoftのサイトに見せかけたURLを用意し,パッチに見せかけたウイルスをダウンロードさせようとする。
Microsoftは,同社サイトで警告文書を公開。Bulletinやパッチのディジタル署名(PGP Signature)を確認し,だまされないよう注意を呼びかけている。また,メールで配布するBulletinにはパッチへのリンクを付けていないという。米Symantec やNetwork Associates といったアンチウイルス・ベンダーも情報を公開している。
偽のBulletinは,「Vulnerability in Windows systems allowing an upload of a serious virus.」というタイトルで,Bullteinの番号は「MS01-037」と「MS01-039」のものがある。末尾にはパッチのダウンロード元として,MicrosoftサイトのURLに見せかけた,ウイルス・ファイルへのリンクが記されている。URLは「www.microsoft.com@」で始まり,それ以下は16進にエンコードされている。具体的には次のようなものである。
http://www.microsoft.com@%36%32%2E(略)%78%65
あたかもMicrosoftのサイト(http://www.microsoft.com/)へのリンクに見える。しかし,URL中に「@」がある場合には,「@」以前の文字列はサーバーへ送信するユーザー情報(ユーザーID)であり,実際にアクセスするのは「@」以降に記述されたサイトになる *。
* RFC2396 「Uniform Resource Identifiers (URI): Generic Syntax」
例えば,URLとして
http://www.microsoft.com@itpro.nikkeibp.co.jp/
と入力した場合,実際にアクセスするのはIT Pro(itpro.nikkeibp.co.jp)のサイトであり,「www.microsoft.com」という文字列はユーザー情報として,IT Proのサーバーへ送信されるに過ぎない。
「@」以下を16進にエンコードして,わかりにくくしている点も悪質である。英数文字(ASCII)にデコードすると,
http://www.microsoft.com@malicious_server/malicious_dir/ms_v275657_x86_en.exe
となる(「malicious_server」および「malicious_dir」はこちらで改変した)。すなわち,このURLにアクセスすると,「malicious_server」からウイルス・ファイル「ms_v275657_x86_en.exe」をダウンロードすることになる。
「ms_v275657_x86_en.exe」の実体は「Leave」と呼ばれるウイルス。実行してしまうと勝手にレジストリ・キーを変更するとともに,トロイの木馬を仕掛ける。アンチウイルス・ソフトの多くは対応済みとしている。
Microsoftでは,公開する「Security Bulletin」やパッチにはディジタル署名を付けているので,それらで確認するよう呼びかけている。また,パッチへのリンクはWebサイトで公開しているBulletinから張られており,メールで配信するBulletinから直接張られることはないという。
今回は英語情報に仕掛けられていたこともあり,日本では影響が少ないだろう。しかし,同様の手口が悪用される可能性は十分にある。いまさらではあるが,ファイルをダウンロードして実行する際には,十分注意が必要だ。
【7月19日 IT Pro追記】
読者の方から,「『@』を『%40』にエンコードしても同じことなので,『@』がないからといって安心できない点にも注意。(例:http://www.microsoft.com%40itpro.nikkeibp.co.jp/)」とのコメントをいただきました。ありがとうございました。
◎参考資料
■「Information on Bogus Microsoft Security Bulletin」(米Microsoft)
■「W32.Leave.B.Worm」(米Symantec)
■「W32/Leave.worm.gen」(米Network Associates)