新手の攻撃の狙いは、スパム中継マシンの量産か？

インターネット上の悪質行為を追跡している SANS Internet Storm Center が24日から25日にかけて公開した報告によると、人気サイトを含む多数の Web サイトが乗っ取り攻撃に遭い、『Internet Explorer (IE)』の既知の脆弱性を狙った悪意あるコードを配布するよう改竄を受けたという。

同センターは、Microsoft の Web サーバーソフト『Internet Information Services (IIS)』を用いているサーバーが改竄を受けているとし、「攻撃者は、乗っ取った Web サーバーに JavaScript コードを含む小さなファイルをアップロードし、該当の Web サーバーが扱う全てのページに、 (ページフッタとして) その小ファイルを追加するようサーバーの設定を変更した」と述べている。

改竄を受けたサイトに IE でアクセスした場合、ブラウザが問題の JavaScript コードを実行し、ロシアの Web サイトから実行プログラム (トロイの木馬) をダウンロードして、インストールするという。トロイの木馬をダウンロードするコードには、『Scob』や『Download.Ject』という呼び名が付いている。

同センターは、「トロイの木馬としてインストールするプログラムとしては、キーストローク記録プログラム、プロキシサーバー、外部からの完全なアクセスを許すバックドアなどを確認している」と述べた。

また同センターは今回の攻撃について、高度な技術を持つ国際スパム組織の仕業との考えを示した。「今回の攻撃は、侵入したシステムをスパムの中継や送信をするプロキシに仕立てる、『スパムウェア』の拡散およびインストールを実行するための新手法だと、多くの点から考えられる。分散型サービス不能化 (DDoS) 攻撃用のネットワークを、構築していると示す証拠は見あたらない」と同センターは述べる。

Microsoft は25日早朝、今回の問題について、『What You Should Know About Download.Ject (Download.Ject に関する情報)』と題しウイルス対策情報を公開した。同社は、IIS 5.0 と IE に影響があるとし、危険度を最大の「緊急」としており、なおも調査中と述べている。

今回の攻撃を防ぐパッチを入手可能かどうかについて、情報が錯綜している。Microsoft の対策情報によれば、『Windows 2000 Server』と IIS の組み合わせで運用している Web サーバーで、セキュリティ勧告『MS04-011』の修正プログラムを適用していない場合、「乗っ取りを受け、IE ユーザーに悪意あるコードを配信させられるおそれがある」という。

しかし、SANS Internet Storm Center によると、該当の修正プログラムを適用済みでも、改竄被害を受けたと、複数のサーバー管理者が報告しているという。

同センターは警告の中で、「現在のところ、改竄を受けたサーバーが、どのようにして乗っ取られたのか分かっていない。SSL-PCT の脆弱性を突いた可能性が最も高いと考えている。サーバーの改竄に気付いたら、システムを完全に再構築することを強く勧める。ページフッタの設定を変更し、問題の JavaScript ファイルを削除すれば、Web サイトを以前の状態に戻せるかもしれない。しかし、今回は非常に高度な攻撃の可能性が高いため、ほかにもバックドアが隠れていると考えておくべきだ」と述べた。

ユーザーサイドの対策としては、セキュリティ関連各社が、『JS.Scob.Trojan』といった識別名で、既に対応情報を更新している。同センターはセキュリティプログラムを導入するか、今回のような形で Javascript がトロイの木馬をインストールしてしまう問題については、まだ公式対応がないため、可能ならば Javascript を無効にしたり、IE 以外のブラウザを用いるといった対応を勧めている。