スペインのPanda Softwareは,ユーザーが気づかないうちにワームのインストールを手助けするアドウエア「Searchmeup」を検出したことを,米国時間3月2日に発表した。WindowsのLoadImage APIに存在する「カーソルおよびアイコンのフォーマットの処理」の脆弱性を悪用する「初めての」(同社)アドウエアだという。
ユーザーが特定のWebサイトを訪れると,Searchmeupがコンピュータにダウンロードされる。同サイトには,銀行口座のパスワードを盗む「Tofger.AT」やユーザーの許可なく有料ダイヤルにアクセスする「Dialer.BB」「Dialer.NO」など,一連の悪質なプログラム(マルウエア)も潜んでいるという。
SearchmeupはコンピュータのWebブラウザのホーム・ページを,ポップアップ広告を表示する検索エンジン・サイトに変える。Webブラウザが立ち上がるたびにポップアップ広告が表示され,これにより,スパイウエアなどがコンピュータにインストールされる。
Tofger.ATは,「Internet Explorer」を立ち上げるたびに稼働し,ユーザーのインターネット活動を追跡して,オンライン・バンキングなどに使用したパスワードを記録する。銀行名を含むURLを見つけると,パスワードを取得しようとする。対象とする金融機関名は,「cajamadrid」「bpinet」「millenniumbcp」「hsbc」「barclays」「lloydstsb」「halifax」「autorize」「bankofamerica」「bancodevalencia」「cajamar」「portal.ccm」「bancaja」「caixagalicia」「caixapenedes」「ebankinter」「caixasabadell」「bes」「banif」「millenniumbcp」「totta」「bancomais」「montepiogeral」「bpinet」「patagon」「lacaixa」「citibank」「bbvanet」「banesto」「e-trade」「unicaja」など。重要情報を収集すると,任意のサーバーに送信する。
問題の脆弱性は,攻撃者がWebページやHTML電子メールに,特別に細工したアイコンや画像ファイルを組み込んでいる場合,それを読み込むと,バッファ・オーバフローを起こす。その結果,コンピュータを外部から制御することが可能になる。
「Searchmeupの出現は,特にアドウエアやスパイウエアといったマルウエアが進化していることを示している。最初はフリーウエア・アプリケーションのコンポーネントだったアドウエアが,今では,ウイルス作成者ですら使わなかった脆弱性を悪用している」(Panda Software社研究部門ディレクタのLuis Corrons氏)
なお,米Microsoftは同脆弱性のパッチをすでに配布している。Microsoft社のWWWサイトで情報を入手できる。
◎関連記事
■「パソコン1台あたり平均25個のスパイウエア」,米EarthLink
■スパイウエアを巡って揺れる米国
■「ITマネージャが考える2005年ネットワーク・セキュリティの脅威はスパイウエア」,米WatchGuard
■「2005年1月はトロイの木馬型ウイルスとDHA攻撃が増加」,アンチウイルス・ベンダーの調査
■「企業はスパイウエアを懸念するも,対策ソフト導入率は10%未満」,米調査
■「過信は禁物,パソコンの80%がスパイウエアに感染」,米調査
■「セキュリティ最大の課題は,ユーザーの認識の低さ」,米Evans Data調査
■インターネット上の新たな脅威「ボット(bot)」に気をつけろ!(上)
[発表資料へ]