SCANDISPATCHは、アメリカのセキュリティぎょうかい及ハッカーコミュニティからとどいたニュースを、せまくしぼりこみ、ふかくほりさげてけいさいします。
----
カリフォルニアしゅうのFinjanしゃが、きょうみぶかいふたつのレポートをはっぴょうしている。
ひとつめのレポートは、さいきんいちばん「にんき」のこうげきベクター、せいきWebページのかいへんについてのちょうさだ。どうしゃの「SecureBrowsing」というSaaSタイプのサービスが、1,000をこえるせいきWebページが、こんげつになってはじまったあらたなWebアタックによりかいざんされていることをつきとめている。
こうげきしゃは、「Asprox」というなまえのツールキットをつかって、せいきサイトをかいざんしている。この「Asprox」というツールは、まずGoogleでファイルのかくちょうこが「.asp」をもつページをリストアップし、そのリストないのサイトにSQLインジェクションこうげきをつぎつぎとしかけ、せかいじゅうに140いじょうあるドメインのひとつから、iFrameをつかってマルウエアをダウンロードさせるようにかいざんするもの。FinjanしゃCTOのYuvalBen-Itzhakしは「マルウエアをおくりこむサイトのかずはまいにちふえているから、こんかいのはっけんはひょうざんのいっかくであろう」といっている。
Webサイトがかいざんされるのはにちじょうさはんじではあるが、こんかいのFinjanしゃのはっぴょうでちゅうもくすべきは、「ほとんどのサイトが(リリースがはっぴょうされた7つき13にちのじてんで)いまだにマルウエアをばらまいている」というじじつと、1,000のサイトのなかには、サンフランシスコしのWebサイト(このサイトはすでにちゅうわされておりあんぜん)や、ボトルいりいんりょうのスナップルしゃ、カリフォルニアしゅうだいがくアーバインこう、べいこくのしんぶんTheBaltimoreTimesや、コカコーラブラジルなどがふくまれていることのにてんだ。
げんこうをかいている7つき15にちじてんで、site:jpngg.jsや、fgg.jsでGoogleけんさくをかけてみると、500いじょうのサイトがみつかる。Googleが「このサイトはコンピュータにそんがいをあたえるかのうせいがあります」とちゅういをよびかけるのは、このうちのいちぶにすぎない。
もんだいのかいざんだが、こうげきしゃは.aspのファイルにJavaScriptをそうにゅうし、そしてiFrameをもちいてユーザーのマシンにマルウエアをダウンロードさせている。
じょうきのスクリプトは、ユーザーのマシンのMDACきのうのぜいじゃくせい(MS06-014)と、QuickTimertspのぜいじゃくせい、AOLのSuperBuddyActiveXControlCodeExecutionVulnerabilityをエクスプロイトして、ユーザーのマシンへのダウンロードをおこなう。
YuvalBen-Itzhakしは「SQLインジェクションがはっせいするのは、デベロッパーのコードがもんだい」としているが、いっぱんユーザーとしては、さいしんのパッチをあてることがなによりもじゅうようだ。
そのいっぽう、ウイルスけんちソフトにたよれるとおもうのはまちがいのようだ。なぜなら、Finjanではそのブログで、このいちれんのこうげきがウイルスけんちソフトでにんしきされるかを、7つき3にちにチェックしている。
オンラインじょうでうたがわしいファイルのかいせきをおこなうVirusTotalにアップロードしてみると、もんだいのあくいのあるファイルがWin32/agentのいっしゅであることをにんしき・けいこくしたのは33せいひんのうちの19せいひんのみで、マカフィーやシマンテックをふくめた14のせいひんがマルウエアだとにんしきしない…
【しっぴつ:べいこく かさはらりか】
【かんれんリンク】
Finjan
http://www.finjan.comFinjanしゃblog(2008ねん7つき3にち)
http://www.finjan.com/MCRCblog.aspx?EntryId=1993VirusTotal
http://www.virustotal.com/jp/FinjanのSecureBrowsingむりょうツール
http://securebrowsing.finjan.com/このきじはゆうりょうかいいんせいセキュリティじょうほうサービスScanのニュースのいちぶをばっすいしけいさいしています。
