PR

McAfee Avert Labs Blog
Google Code Project Abused by Spammers」より
January 7,2009 Posted by Chris Barton, Research Scientist and Artemis Geek

 最近になって,米グーグルの無料コード・ホスティング・サービス「Google Code」がWebスパマーに悪用されるようになった(関連記事:米Google,ツール/API/オープンソース情報サイト「Google Code」を開設)。これまで我々が確認していたGoogle Codeの悪用件数は一つか二つだったのに,状況は2008年末のホリデー・シーズンを境に極めて悪化してしまったようだ。スパマーたちは,以下に示す種類のWebサイトで新たなプロジェクトを大量に立ち上げている。

[画像のクリックで拡大表示]

 この画像(の本物)をクリックすると,偽コーデックのダウンロード・サイトに誘導される。さらにクリックを繰り返すと,アダルト・サイトにアクセスすることになる(念のため注意しておくが,いずれも職場で閲覧するには不適切なWebサイトである)。

 今回のGoogle Codeの悪用事例と,スタートして約1年になる米マイクロソフトのブログ・サービス「MSN Spaces」の悪用事例には,ある違いが存在する。グーグルはコード・ホスティング・プロジェクト用のインデックスを自動生成しているらしく,Google Codeユーザーなら誰でも攻撃開始用の便利なリスト(グーグルの検索ページ:繰り返し警告するが,職場でこのリンクをクリックしないこと)を作れる。

 また,問題の画像が必ず「http://bestsextubeドットnet/video.gif」からリンクされている,という事実を知っておくと役立つかもしれない。このリンクは「あるドメイン/in.cgi」を指していることも付け加えておこう。この件はまた後で取り上げる。

 誘導先のポルノ映像配信サイト「porntube」は,何らかの脅威への対策をかたる偽ソフトウエアなどを扱うWebサイトにもホスティングされている。

[画像のクリックで拡大表示]

 コーデック・ダウンロード・サイトはラトビア共和国に存在しており,こちらも似たような大量のWebサイトをホスティングしている。

[画像のクリックで拡大表示]

 このGoogle Codeプロジェクトの持ち主は,類似のプロジェクトをほかにもいくつか持っている。

 筆者は1年前,そっくりな事例がMSN Spaces(ベータ版)に存在することを当ブログで取り上げた。知らずに被害者となっていたMSN Spacesユーザーにこの件を伝えてから1年たったのに,現在もスパマーに悪用されたままだマイクロソフトは,スパム対抗組織のスパムハウスからスパム発信元ワースト・サイトと指摘された)。グーグルは悪者と思われたくないはずであり,マイクロソフトより断固とした対策を講じると筆者は信じている。コードのマッシングと(マルウエア・ホスティング・ページに対するアクセスを警告する)「セーフ・ブラウジング」機能を併用するよう推奨する。クリッカブル・リンクには何も問題ないように見えるが,何らかのリダイレクト処理が実行されたことに後から気付いた。

 この種の事例について調査を始めた方がよさそうだ。

 どこかで聞いたことのある話ではないだろうか。「/in.cgi」に覚えがあるはずだ。記憶になければ,筆者の同僚,Micha Pekrulが書いたトラフィック管理に関するブログ記事を読んでほしい。同記事では,この種のリンクをクリックした後に行われる処理について説明している。この事例は「キャンペーン 6」(番号はキャンペーンID)に相当する。


Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Google Code Project Abused by Spammers」でお読みいただけます。