製品価格を比較できるサイト「価格.com」を運営するカカクコムは5月16日,同サイトの一時閉鎖に関して記者会見を開いた(関連記事)。会見では,一時閉鎖に至った経緯や,その原因であるプログラム改ざんの概要などが説明された。改ざんされた結果,同サイトへアクセスするとウイルスに感染する可能性があったものの,詳細については明らかにされていなかった。それが今回,会見の席上で公表された。なお,トレンドマイクロからも今回のウイルスに関する詳細情報が公開されている。

当初は「NOD32」だけがウイルス検知

 同社がサーバーへの不正侵入を確認したのは5月11日のこと(関連記事)。同社スタッフがサイトをチェックした際に,サイトで使われているプログラムが改ざんされていることを確認した。同じく5月11日,同社サイトを閲覧したユーザーから,「価格.comを閲覧したら,ウイルス対策ソフトがウイルスを検出した」との情報が寄せられた。これにより,同社のWebページにウイルスを埋め込むようにプログラムが改ざんされたことが明らかとなった。

 当初,同社では改ざんについては確認したものの,ウイルスについては気付かなかった。というのも,5月11日時点で今回のウイルスに対応していたのは,「NOD32」という対策ソフトだけだったからだ。トレンドマイクロやシマンテックなどの製品は対応していなかった。

 このため,NOD32のユーザーからだけ,ウイルス警告が出るという報告が寄せられた。同社ではトレンドマイクロ製品を使っていたため,同社スタッフは確認できなかったという。また,当初,同社のお知らせページにNOD32の情報しか記載していなかったのは,同製品でしか検出できなかったためである。

 同社では,不正アクセスを許した原因などについては「警察が調査中であり,今後の自社のセキュリティにも影響するので控えたい」(穐田誉輝代表取締役社長兼CEO)として,詳細を明らかにしていない。しかしながら,今回改ざんされたのは,動的にWebページを生成するプログラムだと考えられる。そのようなプログラムが改ざんされたために,閲覧するだけで,ウイルスを勝手にダウンロードさせられるWebページが,同社サイト上に置かれていたと考えられる。

ウイルスの詳細が分からない

 とはいえ通常の環境では,ページを閲覧するだけでファイルを勝手にダウンロードおよび実行させられることはない。このようなことが可能になるのは,セキュリティ・ホールが存在する環境でアクセスした場合である。このため,パッチをきちんと当てている環境(例えば,Windows Updateを実施している環境)では,ページを閲覧するだけでウイルスに感染することはなかったと考えられた。

 NOD32をインストールしたマシンで同社ページを閲覧すると,「trojandownloader.small.AAO」と「PSW.Delf.FZ」の2種類のウイルスが検出されるものの,これらの詳細情報については公表されていなかった。このためカカクコムでも,「感染した場合にどうなるか」といった情報は公表できなかった。「価格.comのページを閲覧したあとに『ブラウザが重くなった』や『ブラウザが起動しなくなった』という報告が寄せられたが,ウイルスが原因かどうかは分からなかった」(穐田氏)

 これらのウイルスについて,会見時点では「アンチウイルス・ベンダー各社が調査中」(カカクコム)とされていたが,同日夜,トレンドマイクロは今回のウイルスに関する情報を公表した。

IEのセキュリティ・ホールを突く

 まず,NOD32がPSW.Delf.FZとするウイルスについては,「TROJ_DELF.RM」として詳細情報および駆除ツールを公表した。このウイルス・プログラムはユーザーのキー入力を記録し,特定アドレスへメール送信する。また,セキュリティ・ソフト「ZoneAlarm」などを停止させる。加えて,ある特定サイトへアクセスする機能もあるが,同サイトは既に閉鎖されているという。

 NOD32がtrojandownloader.small.AAOとするのは,TROJ_DELF.RM(PSW.Delf.FZ)を勝手にインストールするプログラム(スクリプト)。トレンドマイクロでは「CHM_DELF.C」として情報を公開した。【5月30日追記】当初は「CHM_DELF.C」とされていたが,現在では「CHM_DELF.RM」とされている【以上,5月30日追記】。CHM_DELF.CはInternet Explorer(正確には,Outlook Expressのコンポーネント)のセキュリティ・ホール「Outlook Express 用の累積的な修正プログラム (837009) (MS04-013)」を突いて,攻撃者が指定したファイルをユーザー・マシンにインストールしようとする。

 以上をまとめると,まず,(1)(改ざんプログラムによって挿入された)ページ中のリンクをブラウザが解釈すると,サイトに置かれたCHM_DELF.Cを含むファイルが開かれる,(2)「MS04-013」のパッチを適用していない場合には,CHM_DELF.Cが解釈されて,ウイルス本体であるTROJ_DELF.RM(PSW.Delf.FZ)が勝手にダウンロードされて実行される。

 前述のように,サイトが閉鎖されるまでは,NOD32以外の対策ソフトでは上記ウイルスは検出できなかった。このため,修正パッチを適用せずに価格.comにアクセスしていたユーザーは,対策ソフトを使っていてもウイルスに感染している可能性があるので注意したい。

 また,どの修正パッチも(マシンに悪影響が出ない限り)きちんと適用する必要があるが,特に「MS04-013」のパッチは確実に適用しておきたい。今回のように,このセキュリティ・ホールを悪用すれば,「ページを閲覧しただけでウイルスに感染するサイト」を容易に作成できてしまうからだ(関連記事)。現在では,攻撃者の常とう手段の一つといってもよいだろう。

◎参考資料
【重要なお知らせ3】当社運営サイトを閲覧されたユーザーの方々へのセキュリティ対策のご報告(2005/5/16 17:00)(カカクコム)
TROJ_DELF.RM(トレンドマイクロ)
CHM_DELF.C(トレンドマイクロ)
【5月30日追記】当初は「CHM_DELF.C」とされていたが,現在では「CHM_DELF.RM」とされている。【以上,5月30日追記】

(勝村 幸博=IT Pro)