PR
図1 攻撃サイトに誘導する広告の例。警告のダイアログは、Exploit Prevention Labsのセキュリティソフトが表示したもの(同社の情報から引用)
図1 攻撃サイトに誘導する広告の例。警告のダイアログは、Exploit Prevention Labsのセキュリティソフトが表示したもの(同社の情報から引用)
[画像のクリックで拡大表示]
図2 検索結果については、リンク先URLがステータスバーに表示される(Exploit Prevention Labsの情報から引用)
図2 検索結果については、リンク先URLがステータスバーに表示される(Exploit Prevention Labsの情報から引用)
[画像のクリックで拡大表示]
図3 アドワーズ広告では、リンク先URLがステータスバーに表示されない(Exploit Prevention Labsの情報から引用)
図3 アドワーズ広告では、リンク先URLがステータスバーに表示されない(Exploit Prevention Labsの情報から引用)
[画像のクリックで拡大表示]

 セキュリティソフトメーカーの米Exploit Prevention Labsは2007年4月25日(米国時間)、米グーグルが提供する広告サービス「アドワーズ」を悪用した新たな攻撃を報告した。攻撃者が出稿した広告のリンクをクリックすると攻撃サイトに誘導され、ウイルスを勝手に仕込まれる恐れがあったという。

 Exploit Prevention Labsの情報によれば、攻撃者は「Better Business Bureau(米商業改善協会)」や「cars.com」といった実在する組織やWebサイトをかたって偽の広告を出稿。広告中には、Better Business Bureauやcars.comの正規のURL(www.bbb.orgやcars.com)が表示されるものの、実際には攻撃者が用意したWebサイトにリンクされている(図1)。このため、アドワーズで表示されたこれらの広告リンクをユーザーがクリックすると、攻撃者のWebサイトに誘導されてしまう。

 攻撃サイトには、Windowsに含まれるデータベース関連コンポーネント「MDAC(Microsoft Data Access Components)」のぜい弱性(セキュリティホール)を悪用する仕掛けが施されている。このため、修正プログラム(セキュリティ更新プログラム)を適用していないパソコンでは、攻撃サイトにアクセスするだけでウイルス(悪質なプログラム)をインストールされてしまうという。

 具体的には、攻撃者がそのパソコンに勝手にアクセスできるようにする「バックドア」や、特定のオンラインバンクに送信した情報を盗む「ポストロガー」をインストールされる。ポストロガーを仕込まれると、オンラインバンクに送信したパスワードなどを盗まれることになる。ポストロガーは送信前の情報を記録するので、通信にSSLのような暗号化通信を使用していても盗難を防げない。

 なお米マカフィーの情報によると、攻撃サイトには、2007年1月に公表された「QuickTime」のぜい弱性や、2007年4月に修正パッチが公開されたWindowsのぜい弱性を悪用する仕掛けも施されていたとしている。

 Exploit Prevention Labsによれば、同社が確認した悪質な広告は、現時点では削除済みだという。しかしながら、攻撃サイトへ誘導する広告すべてが削除されたかどうかは不明だとしている。

 Googleのサイトでは、検索結果のリンクについては、通常のリンクと同様に、リンク上にマウスカーソルを持っていくと、リンク先のURLがWebブラウザーの「ステータスバー」に表示される(図2)。ステータスバーの表示を見れば、ユーザーはそのサイトにアクセスする前にURLを確認できる。

 だが、アドワーズで表示された広告については、ステータスバーにURLを表示しないようにしている(図3)。このため、ユーザーが今回のような攻撃サイトを事前に見抜くことは難しいとしている。