米国時間6月25日以降,米US-CERTなどは,不正侵入されたInternet Information Services(IIS)5.0サーバーのWebページに悪質なスクリプトが埋め込まれるインシデントを警告しているが(関連記事),シマンテックによると,埋め込まれるスクリプトには2種類あるという。その一つは,パッチ未公開のInternet Explorer(IE)のセキュリティ・ホールを突くものなので,ページを閲覧するだけで悪質なプログラムを勝手に実行させられる恐れがある(関連記事)。十分注意したい。
不正侵入されたIIS 5.0サーバーのページに仕掛けられるスクリプトは,「Scob」と「Download.Ject」の2種類。いずれも特定のサイトから悪質なプログラムをダウンロードおよび実行させようとするものだが,Scobは通常のJavaScriptのコードで,Scobが埋め込まれたページを見るだけでは,勝手にプログラムが実行させられることはない。
一方,Download.Jectは,パッチが公開されていないIEのセキュリティ・ホールを突く(関連記事)。このため,今までに公開されたパッチをすべて適用していても,スクリプトを有効にしているIEでは,Download.Jectが勝手にダウンロードおよび実行させられる。
「ベンダーによっては,ScobとDownload.Jectは同じものだと公表しているので,混乱を招いているようだ」(シマンテック Symantec Security Responseマネージャ 星澤裕二氏)
ScobとDownload.Jectが悪質なプログラムをダウンロードするためにアクセスするサイトは既に閉鎖されている。このため,これらが埋め込まれたページを閲覧しても,現在ではプログラムを実行させられる心配はない。また,最新のウイルス定義ファイルを使っていれば,ほとんどのウイルス対策ソフトは,これらのスクリプトをウイルスとして検出する。
とはいえ,新たなScobやDownload.Jectが出現する可能性は高い。IISのサーバー管理者は,侵入されないように対策をきちんと施しておく必要がある。IEユーザーとしては,「Webページを見るだけで被害に遭う」ようなセキュリティ・ホールが存在することを認識しておくことが重要だ。パッチが公開されていない現状では,「信頼できないページを閲覧しない/信頼できないリンクをクリックしない」「アクティブ スクリプトを無効にする」「ウイルス対策ソフトをきちんと使う」――といった,基本的なセキュリティ対策で回避するしかない。もちろん,別のブラウザを使うことも有効な回避策の一つである。
◎参考資料
◆Download.Ject(シマンテック)
◆JS.Scob.Trojan(シマンテック)
◆修正プログラムが公表されていないInternet Explorerの脆弱性を利用して感染するトロイの木馬について(6/27)(警察庁)
(勝村 幸博=IT Pro)
