PR
Malicious Flash redirectors」より
August 21,2008 posted by Stephan Chenette,Security Researcher

 当ブログの読者の大多数にとって,悪人グループがWebページへのアクセスをリダイレクタで自動転送することなど,当たり前の話だろう。こうした自動転送は,ユーザーがよく使うハイパーリンクを何らかの方法で細工して実行することが一般的だ。例えば,悪人たちは,悪事とかかわりのないWebサイトへのアクセスをほとんど知られていない攻撃用Webサイトに転送するための,短く分かりにくいコードをWebページに加える。多くの場合,攻撃用Webサイトの内容や場所は動的に変える。

 たいていの場合,実際に使用されるリダイレクタは「iframeリダイレクタ」と「オープン・リダイレクタ」の2種類である。

iframeリダイレクタ

 iframeリダイレクタは,この数年間よく使われた。悪人グループは侵入したWebサイト内のWebページにiframeタグを仕込み,攻撃用Webサイトへの窓口に変える。iframeリダイレクタの仕込まれたWebページに対するアクセスは,悪人の選んだところへ自動的に転送されてしまう。

図1●iframeリダイレクタの例
[画像のクリックで拡大表示]

オープン・リダイレクタ

 オープン・リダイレクタは,iframeリダイレクタ以上によく使われる。本来オープン・リダイレクタは,ユーザーのアクセスがどこから来てどこへ行くかを調べる合法的な目的で,広告会社や大企業がプロキシ・サーバーとして利用するものだ。ところが不幸なことに,悪人グループもオープン・リダイレクタを使うと,好きなWebサイトでアクセスの自動転送を実現できる。ユーザーはアクセスするドメイン名の確認くらいはするが,URLに含まれる,リダイレクト・スクリプトとして使われるクエリー文字列の変数など気づきもしない。

図2●オープン・リダイレクタの例
[画像のクリックで拡大表示]

Flashリダイレクタ

 さらに最近は,Flashリダイレクタの使用が増えてきた。悪人は,Flashアプリケーションを作り,無料Webホスティング・サービスを使って配布用Webサイトを開設し,スパム・メールでそのサイトのURLをばらまく。このURLは直接Flashアプリケーション(SWF形式のファイル)を指すことが多く,クリックしたユーザーを自動的に別の場所へ誘導する。悪人から見ると,Flashアプリケーション内のコンテンツは読むことが困難で,さらにJavaScriptと同じく難読化できる点がメリットとなる。そのため,リアルタイムに解析することが難しい。

図3●悪質なSWFファイルへのリンクを掲載したスパム・メール
タイトル

 我々は2008年8月18日(米国時間),ソーシャル・ネットワーキング・サービス(SNS)「Facebook」に関する悪質なスパム「Malicious Viral Facebook」をブログで取り上げた。さらに,このスパムの背後にいる同じグループは,Facebookのゲストブック「wall」に攻撃用Flashファイルへのリンクを投稿している。

図4●スパムで攻撃用Flashファイルへのリンクが書き込まれたFacebookのwall
タイトル

 Flash用ダンプ・ツール「SWFDump」でリンク先のSWFファイルを解析したところ,簡単な動きをするアクション・スクリプトがいくつかあり,主に個人情報の収集を目的とするWebサイトへユーザーを誘導することが分かった。

図5●SWFDumpの動作画面
[画像のクリックで拡大表示]
図6●攻撃用SWFファイル解析中のSWFDumpの画面
[画像のクリックで拡大表示]

 この動作を実現するアクション・スクリプトは簡単に書ける。Flash関数「navigateToURL」を使えば,一切警告を出すことなく,自動的にユーザーをリダイレクトできる。

図7●「websense.com」ドメインへリダイレクトするFlashリダイレクタのアクション・スクリプト・コードの例
[画像のクリックで拡大表示]

 ここで紹介したFlashファイルは一連の302リダイレクタを介し,最終的に個人情報を集める相性占いサイトへユーザーを誘導する。

図8●悪質なFlashリダイレクタをクリックすると自動転送されて到達するフィッシング・ページ
[画像のクリックで拡大表示]

Copyrights (C) 2008 Websense, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,ウェブセンスの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログWebsense Security Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,Malicious Flash redirectorsでお読みいただけます。