PR

知らぬ間に中国内サーバーの「fuckjp.js」を実行してしまう

 3月に発生したWeb改ざんと,Webにアクセスしてきたエンドユーザーへの攻撃手法を,もう少し詳しく見てみよう(図2)。

図2●3月11~13日の攻撃の流れ
図2●3月11~13日の攻撃の流れ
(1)攻撃者は,SQLインジェクションを使って企業や団体のWebページを改ざん,悪意のあるJavaScriptへのリンクを挿入する。(2)Webページを閲覧したユーザーは,知らぬまにリンク先の悪意のあるJavaScriptを実行。(3)もしユーザーのパソコンにぜい弱性がある場合は,ウイルスなど不正プログラムに感染する。
[画像のクリックで拡大表示]

 前述したように,まずはSQLインジェクション攻撃を使って企業や団体のWebサイトを改ざんする。改ざんといっても,昔のようにWebページをごっそり別のものに差し替えたり,なんらかのメッセージ文を表示したりするといったことではない。「fuckjp0.js」や「fuckjp.js」というJavaScriptを実行させるHTML文を,こっそりと挿入しただけだ。そしてこのfuckjp0.js,fuckjp.jsは「www.2117966.net」というサイトに置かれていた。

 たったこれだけのことだが,これでエンドユーザーへの攻撃準備が整う。改ざんされたWebサイトにアクセスしてきたユーザーのブラウザは,ユーザーが気付かないままwww.2117966.netに置かれたJavaScriptを実行する。このJavaScriptには,さらに別のサーバーからエンドユーザーに向けて不正プログラムを送り込むスクリプトが書かれており,エンドユーザーのパソコンにぜい弱性が存在していた場合は,この不正プログラムに感染してしまうことになる。

 送り込まれる不正プログラムの種類は,1種類とは限らない。「fuckjp.jsの内容はアクセスするたびに変化する」(川口氏)からである。またパソコン側のぜい弱性を狙う攻撃手法も様々。今回は,Windows OSのぜい弱性を突くものだけでなく,「RealPlayer」や「Yahoo! Messenger」のぜい弱性を狙ったものもあったという。

 さらには,www.2117966.netというサイトの“場所”も移動していた。川口氏によると,3月11~13日に発生した攻撃と3月24日に再開された攻撃では,www.2117966.netのIPアドレスが異なっていたという。いずれも中国内のアドレスだが,ホスト・アドレス部分がちょっと変わっただけでなく,ネットワーク・アドレス部分を含めて大幅にアドレスが変更されていたのである。

 攻撃者は多種多様な攻撃手法で,いろいろな種類の不正プログラムに感染させようとする。もし不正プログラムに感染してしまった場合はどうなるのだろうか。例えば,ボットを送り込まれて知らぬ間に悪事に荷担することになるかもしれないし,キー・ロガーのようなものを送り込まれて,キーボードから入力したID/パスワードが攻撃者に筒抜けになってしまうかもしれない。いずれにしても,考えるだけで恐ろしい。

OS,アプリを常に最新の状態に保つ

 もちろん,エンドユーザーのパソコンにぜい弱性が存在しなければ,改ざんされたWebサイトにアクセスしても,不正プログラムに感染することはない。だが,かなり慎重にならなければ危ないことも確かだ。セキュリティ対策ソフトを導入して,最新のパターン・ファイルに更新して利用することはもちろんのこと,Windows Updateを行ってセキュリティ・パッチを適用するとともに,パソコンにインストールされているアプリケーションも常に最新の状態に保っておかなければならない。

 筆者も,セキュリティ対策ソフトのパターン・ファイルとWindows Updateは意識していたが,その他のアプリケーションを常に最新状態に保つことまでは,あまり意識してやってこなかった。川口氏も「Windows Updateはやっているが他のアプリはやっていないというパターンが多い」と指摘する。

 このほか,指定サイト以外ではスクリプトを自動実行させないという手もある(関連記事)。

 だがいずれの対策も決定打とはなり得ない。ぜい弱性を修復するセキュリティ・パッチが出る前に攻撃される「ゼロデイ攻撃」の可能性もあるし,セキュリティ対策ソフトのパターン・ファイルにパターンがない未知のウイルスを送り込まれる可能性もある。指定サイト以外ではスクリプトを自動実行させないという対策も,「おなじみサイト」が改ざんされた場合には意味を成さない。

 結局のところは,複数の対策を組み合わせて,慎重に運用していくほかはない。正直な話,パソコンを立ち上げた直後にセキュリティ・アップデートが始まると面倒に感じてしまうものだ。特に長期休暇の後などは,たまったメールにいち早く目を通して,気になっていたWebサイトにアクセスしたいと思うだろう。そんなときは,アップデート作業は後回しにして必要な業務を優先したくなりがちだ。だが,その数分間,十数分間のアップデート作業を後回しにしたことが,命取りになる可能性もある。

 セキュリティ・アップデートが最優先。残念ながら,こうした強い意志を持ってセキュリティ対策を講じないといけない時代になってしまっているのが実情なのである。