米US-CERTは米国時間6月25日,Internet Information Services(IIS)5.0を稼働させているWindows 2000マシンへの不正アクセスが多数報告されていることを警告した。2004年4月に公開されたセキュリティ・ホール「MS04-011」を突いて侵入している模様。侵入されたサイトでは,IISの設定が変更されて,特定のJavaScriptのコードがWebページにフッターとして埋め込まれるようになっている。このJavaScriptコードは,ある特定のサイトから指定のプログラムをダウンロードさせようとするものである。
埋め込まれるJavaScriptコードは,「Scob」あるいは「Download.Ject」などと呼ばれている。ただし,US-CERTやアンチウイルス・ベンダー各社の情報によると,プログラムが置かれているサイトは既に閉鎖されている。また,Scob自体は単なるJavaScriptのコードであり,IISやブラウザなどのセキュリティ・ホールを突くものではない。
【6月28日追記/修正】アンチウイルス・ベンダーであるシマンテックに問い合わせたところ,Download.JectとScobは別物であるという。いずれも,IISサーバーの侵入者に仕掛けられるJavaScriptのコードで,特定のサイト(閉鎖済み)から悪質なプログラムをダウンロードさせようとするものであるが,Download.Jectにはパッチ未公開のセキュリティ・ホールを突く仕掛けがある。このため,Webページを閲覧するだけで,悪質なプログラムを勝手にダウンロードさせられる可能性があった。【以上,6月28日追記/修正】
このため,JavaScriptを有効にしているブラウザでScobが埋め込まれたページを閲覧しても,プログラムが勝手にダウンロードされて実行されるようなことはないと考えられる(プログラムを実行した場合には,パソコン中には「Kk32.dll」あるいは「Surf.dat」というファイルが作成される)。また,最新のウイルス定義ファイルを使っていれば,ほとんどのウイルス対策ソフトは,Scobが埋め込まれたページをウイルスとして検出する。
侵入されないための対策として,マイクロソフトでは,システム管理者に対して,「MS04-011」のパッチ適用を検討するよう勧めている。
一般ユーザーとしては,むやみにファイルをダウンロードしないことが重要である。また,今回の件には無関係だが,Windows Updateなどで日ごろからセキュリティ・ホールをふさいでおくことも大切だ。さらに,できるだけスクリプト機能を無効にしておきたい。スクリプトを無効にしていれば,今回のようなスクリプトが埋め込まれたページや,スクリプトを使って悪さをしようとしているページを閲覧しても被害に遭わない。US-CERTでは今回の件を踏まえて,「スクリプトを無効にすると利用できなくなるページがあるが,本当に必要な場合以外は無効にすることを勧める」としている。
◎参考資料
◆IIS 5 Web Server Compromises(米US-CERT)
◆Download.Ject に関する情報(マイクロソフト)
◆JS.Scob.Trojan(シマンテック)
◆F-Secure Virus Descriptions : Scob(フィンランドF-Secure)
(勝村 幸博=IT Pro)
