大規模なウェブ攻撃「Mpack」が猛威--セキュリティ企業が注意を呼びかけ
先週末にかけてイタリアにおける英語ウェブサイトの多くが、1行のコードの犠牲になった。この悪質なコードは、ユーザーが訪問するサイトを信頼していることを利用し、Javascriptを介してさまざまなドライブバイ攻撃を仕掛けるサーバへとブラウザをリダイレクトする。サイトを閲覧しているコンピュータがOSやブラウザ、特定のアプリケーションの脆弱性に対するパッチを適用していない場合、悪質なコードがダウンロードされる。一旦インストールされると、ソフトウェアは個人情報を盗難したり、感染したマシンを利用して他のマシンを攻撃したりすることができる。セキュリティベンダーのWebsenseによると、現時点で世界中の1万件以上ものウェブサイトがこの攻撃を受けており、その数はまだ増加し続けているという。Trend Microによると、この悪質なコードの一部を含むサーバは、シカゴ、サンフランシスコのベイエリア、および香
MPack:大量ハッキング・ツールの変わった例
インターネットの闇の世界を避け,「名の通った」Webサイトだけ利用していれば,攻撃や怪しげなコンテンツから逃れられると考えてはいないだろうか。残念ながら,これだけでは十分とはいえない。筆者の同僚であるElia Florio氏とHon Lau氏の最近の報告(その1,その2)によると,合法的なWebサイトが,悪意のある(HTMLの)IFRAMEに汚染されるなどしており,その結果,ユーザーは知らぬ間に不正なWebサイトにリダイレクトされる事件が起こっている。 Elia氏が自らの報告で述べている通り,何千ものWebサイトが汚染されていた(大半がイタリアだが,そのほかの国もあった)。我々には,このMPack gangグループがどうやって短期間のうちにこれほど多くのWebサイトのハッキングを成し遂げたのか,さらに悪意のあるIFRAMEをどうやって素早く送り込めたのかが分からなかった。 MPackグルー
【レポート】Mpackから探るWeb経由の攻撃 (1) Mpack、その3つの特徴 | エンタープライズ | マイコミジャーナル
6月下旬から7月上旬にかけて、Mpack(※1)というWebサイト攻撃コード詰め合わせパックとでも言うべきツールが話題となった。Mpackそのものが危険であるように紹介されていることもあるが、実際はそうではない。Mpackは2006年から存在が確認されており、またMpackで悪用されている脆弱性は既知のものである。ただし、Mpackは最近主流となっている、Webサイト経由の攻撃の特徴をよく表していると言える。Mpackの事例を見ることで、Webサイト経由の攻撃がどのようなものであるか見ていくこととする。 ※1: PandaLabsが公開している資料がMpack について、詳しく解説している(PDF)。 最近のWebサイト経由の攻撃 最近のWebサイト経由の攻撃の特徴は、大きく3つ挙げられる。 Web サイトに攻撃コードを取得するiframeタグを挿入する 攻撃コードがJavaScriptで
ますます危険になる攻撃ツール「MPack」
以前このブログの記事で,攻撃ツール「MPack」の仕組みを説明した。同記事で取り上げたMPackのバージョンは「v0.84」だったが,既にアップデート版「v0.91」が登場している。今回は両者を比べてみよう。 v0.91にはv0.84と同じエクスプロイトが含まれている。記事の最後にエクスプロイトの一覧を掲載しておく。 管理/レポート用インタフェースに若干の変更があった。新たに「admin.php」というファイルが追加され,逆に「stats.php」というファイルがなくなった。このadmin.phpは,MPackを安全にインストール,設定できるようにするために用意されたものだ。MPackの利用者は,settings.phpを使ってユーザー名/パスワード保護を設定できる。ユーザー・インタフェースにも変更があった。表示画面の見栄えがよくなり,著作権のロゴが「(c) 2007 DreamCoder
“メンテナンス付き攻撃ツール” 新しい脅威「MPack」
「バージョンアップ、サポート付き」という通常のアプリケーションのようなネット攻撃ツールが出現した。「MPack」と呼ばれるこのツールは、複数の攻撃コードをパッケージにしたもので、強力な管理機能を特徴とする。6月に入ってイタリアのサイトを中心に被害が広がっており、改ざんされたWebサイトの数が1万を超えたという報告もある。 攻撃者は管理プログラムを利用して、感染したユーザーに関する情報を収集し、データベースサーバーに格納する。 攻撃コードは、「Internet Explorer」「Firefox」「Opera」「QuickTime」などさまざまなアプリケーションの脆弱性に合わせた複数のものをそろえており、ユーザーの環境に合わせて使い分ける。モジュール式なので、新しい脆弱性が発見されれば、それを狙ったコードを追加できる。 MPackの被害が広がったのは6月中旬で、セキュリティ企業が一斉に警告を
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://www.jpcert.or.jp/at/2007/at070016.txt
