【レポート】Mpackから探るWeb経由の攻撃 (4) Webからの攻撃に対抗するには | エンタープライズ | マイコミジャーナル
Mpack以外の事例 Webサイト経由の攻撃はMpackが初めてではない。 記憶に新しいところでは、ドルフィンスタジアムの公式WebサイトにJavaScriptコードが仕込まれた事例がある。この事例ではiframeタグではなく、scriptタグが挿入されていた。scriptタグで読み込まれたJavaScriptコードでは、Microsoft Data Access Components (MDAC)の脆弱性(前述)、Vector Markup Languageの脆弱性(CVE-2007-0024)を悪用する。ドルフィンスタジアムの事例、今回のMpackの事例により、公式Webサイトにも攻撃コードが挿入されることを示唆している。 では、Mpackが優れた管理機能を持つ、新しい攻撃ツールかというと、そんなことはない。Mpackの事例がある以前にも、Web Attacker Toolkitといっ
MPack:有名サイトにも罠
「信頼できるWebサイトにしかアクセスしない」――。危険に近寄らないためには重要なことだ。ぜひお勧めしたい。しかし、このことを守っていても、危険に出くわす時代になっている。有名企業の正規のWebサイトに罠(わな)が仕掛けられるケースが増えているからだ。その背景には、「MPack(エムパック)」という攻撃ツールの“普及”がある。MPackを使うと罠を仕掛けやすくなるのだ。 MPackには、さまざまなソフトウエアのぜい弱性を悪用するプログラムが収められている。例えば、IEやWindowsの既知のぜい弱性を悪用するプログラムが含まれている。 狙われるのはマイクロソフト製品だけではない。FirefoxやOpera、動画再生ソフトのQuickTime、ファイル圧縮ソフトのWinZipなどのぜい弱性を悪用するプログラムも収められている。どのようなソフトでも攻撃対象になり得る。 MPackはWeb経由で
シリア大使館サイトでハッキング被害
在英シリア大使館の公式サイトがハッキングされ、ユーザーを悪質サイトにリダイレクトするiframeが仕掛けられているのが見つかったとして、セキュリティ企業のWebsenseがアラートを公開した。 Websenseによると、同大使館サイトには3件のiframeが挿入され、JavaScriptによる難読化などのさまざまな手口を使って検出されにくいようになっていた。 リダイレクト先の悪質サイトはそれぞれ米国、マレーシア、ウクライナでホスティングされ、うち1件には攻撃ツールのMPACKが仕掛けられていた。ユーザーがこのページを閲覧すると、OS、Webブラウザ、プラグインのバージョンを判別して複数の脆弱性を悪用し、トロイの木馬をダウンロードさせる仕掛けになっているという。
攻撃ツール「MPack」で50万台のマシンがクライムウエアに感染
米Finjanは米国時間7月31日,新しいクライムウエア(犯罪目的で使用されるソフトウエア)について2007年7月に実施した調査の結果を発表した。それによると,攻撃ツールキット「MPack」を使って58人の犯罪者が約310万台のパソコンに攻撃を仕掛け,50万人を超えるユニーク・ユーザーのパソコンをクライムウエアに感染させたという。感染成功率は16%となる。 MPackで仕掛けられたクライムウエアは,銀行口座のユーザー名,パスワード,クレジット・カード番号,社会保障番号などを様々な方法で盗み取っている。この攻撃は,偽のWebサイトを使った従来のフィッシング攻撃と異なり,ユーザーのパソコン上で仕掛けられる。例えば,ユーザーがオンライン・バンキング・サイトのログイン・フォームに入力してログイン・ボタンを押すと,感染マシン上のクライムウエアがこの通信を妨害し,情報を銀行ではなく攻撃者のサーバーに送
Webページを見ただけでボットに感染攻撃ツール「MPack」による被害が世界規模で拡大
「普通のWebページを見ただけでパソコンにマルウエアを仕込まれる」。2007年6月半ばから,世界中でこうした攻撃の被害が広がっている。ユーザーに気付かれないように「MPack」という攻撃ツールを仕込んだWebサイトに誘導し,ブラウザのぜい弱性を自動判別して攻撃する。被害は日本にも及んでいる。 最初に大規模な被害が出たのはイタリアだった。攻撃者は一般の企業や政府のWebサイトに次々に侵入し,不正なHTMLコードを埋め込んで,これらのサイトにアクセスしてきたユーザーにマルウエアをばらまいた。特殊なサイトではなく,一般の企業や政府のWebサイトを“踏み台”としたため,ユーザーが普段通りにWebアクセスしただけで感染する事態に陥った。 米ウェブセンスによると,不正なコードを埋め込まれたサイトは1万を超え,被害に遭うユーザーが増加。日本でも多くのパソコンが感染したようだ。 IFRAMEタグで悪質なサ
MPack:大量ハッキング・ツールの変わった例
インターネットの闇の世界を避け,「名の通った」Webサイトだけ利用していれば,攻撃や怪しげなコンテンツから逃れられると考えてはいないだろうか。残念ながら,これだけでは十分とはいえない。筆者の同僚であるElia Florio氏とHon Lau氏の最近の報告(その1,その2)によると,合法的なWebサイトが,悪意のある(HTMLの)IFRAMEに汚染されるなどしており,その結果,ユーザーは知らぬ間に不正なWebサイトにリダイレクトされる事件が起こっている。 Elia氏が自らの報告で述べている通り,何千ものWebサイトが汚染されていた(大半がイタリアだが,そのほかの国もあった)。我々には,このMPack gangグループがどうやって短期間のうちにこれほど多くのWebサイトのハッキングを成し遂げたのか,さらに悪意のあるIFRAMEをどうやって素早く送り込めたのかが分からなかった。 MPackグルー
MPACK攻撃ツール、バーゲン価格で販売
各国で大きな被害を出している攻撃ツール「MPACK」が、アンダーグラウンドで格安販売されているという。Symantecが7月5日のブログで報告した。 MPACKは、Webサイトを乗っ取り、そこにアクセスしてきたPCに攻撃コードを送り込むWebエクスプロイトツール。ユーザーの環境に応じて、Windows OSのほかWinZipやApple QuickTimeなど、複数のアプリケーションの脆弱性を悪用して攻撃コードを送り込んでくる。 Symantecによると、MPACKツールキットは当初、作者が1年間の無料サポート込みで1000ドルで販売していた。攻撃コードの追加モジュールも100ドル前後で提供していたという。 しかし現在では、作者以外の売り手がこのツールキットを「85%引き」の150ドル程度にまで値下げして販売しているという。この売り手は、自分でMPACKを買ったのではなく、無防備なWebサ
攻撃ツール「MPack」が大安売り、悪用が急増する恐れあり
米シマンテックは2007年7月5日(米国時間)、ソフトウエアのぜい弱性を悪用する有料の攻撃ツール「MPack」が格安で販売されていることを、同社の公式ブログで明らかにした。通常は1000ドルのところを、150ドルで販売しているWebサイトがあるという。これにより、MPackを使った攻撃が今後さらに増える可能性があると予想する。 MPackとは、WindowsやWindows Media Player、WinZip、Apple QuickTimeなどのぜい弱性を悪用するツールキットのこと。MPackが仕掛けられたサイトに、ぜい弱性を解消していないパソコンでアクセスすると、知らないうちにウイルスなどをインストールされてしまう。 正規の企業が運営するWebサイトのページが改ざんされ、MPackが仕込まれたサイトに誘導するコード(iframe)が仕掛けられるケースも増えている。この場合、ぜい弱性の
国内でも被害急増の恐れ、JPCERT/CCが「MPACK」に警告
JPCERT/CCは、国内でも被害が増加する可能性があるとし、攻撃ツール「MPACK」に対し注意を喚起した。 JPCERTコーディネーションセンター(JPCERT/CC)は、イタリアをはじめ、海外で大々的に被害を生じさせている攻撃ツール「MPACK」に対する注意喚起を発した。今後は国内でも同様の攻撃が増加する可能性があるため、Webサイト管理者、エンドユーザーともに注意が必要という。 MPACKは、Webサイトを乗っ取り、そこにアクセスしてきたPCに攻撃コードを送り込むWebエクスプロイトツール。ユーザーの環境に応じて、Windows OSのほかWinZipやApple QuickTimeなど、複数のアプリケーションの脆弱性を悪用して攻撃コードを送り込んでくる点が特徴だ(関連記事)。 JPCERT/CCによるとMPACKは、既存の攻撃ツールと比べて管理プログラムの機能が多く、モジュールの追
初のフルカーネルマルウェア? スパム送信もカーネルモードで実行
Symantecによると、MPACK攻撃で感染するトロイの木馬「Srizbi」は、ユーザーモードを使わずにスパムを送信できる初のフルカーネルマルウェアと見られる。 セキュリティ企業のSymantecは、各国で多発している「MPACK」攻撃で感染するマルウェアの中に、フルカーネルのマルウェアを発見したと報告した。実際の悪用目的でフルカーネルマルウェアが出回ったのは恐らく初めてだとしている。 トロイの木馬「Srizbi」は、MPACK攻撃で乗っ取られたサイトを閲覧すると感染するマルウェアの1つ。いったんインストールされると、ユーザーモードを一切使わずに、スパム送信も含めてすべての動作をカーネルモードから実行できる機能を持つという。 Srizbiのドライバ(windbg48.sys)には、Rootkitを使って身を隠す機能とスパム送信の2つの機能があるが、Rootkitコードの方は新しいものでは
MPACK攻撃、今度はポルノサイトで多発
さまざまな脆弱性を悪用できるWeb攻撃ツール「MPACK」の被害が拡大している問題で、Trend Microは6月22日、ポルノサイトを使った攻撃が多発していると報告した。 MPACKを使った攻撃はまずイタリアで広がり、企業や自治体などが運営する正規サイトがハッキングされて不正なIFRAMEが仕掛けられた。その後欧州や米国へと被害が拡大し、18日の時点で1万以上の感染サイトが報告されていた。 Trend Microによると、この攻撃で今度は多数のポルノサイトが利用されている。こうしたサイトには難読化し見えにくくした不正IFRAMEがHTMLコードの末尾に隠され、トロイの木馬をダウンロードさせる別のドメインへとリダイレクトする仕掛けになっている。使われているMPACKは、イタリアでの攻撃と同じバージョン0.86だという。 これらポルノサイトがハッキングされてIFRAMESを埋め込まれたのか、
大規模なウェブ攻撃「Mpack」が猛威--セキュリティ企業が注意を呼びかけ
先週末にかけてイタリアにおける英語ウェブサイトの多くが、1行のコードの犠牲になった。この悪質なコードは、ユーザーが訪問するサイトを信頼していることを利用し、Javascriptを介してさまざまなドライブバイ攻撃を仕掛けるサーバへとブラウザをリダイレクトする。サイトを閲覧しているコンピュータがOSやブラウザ、特定のアプリケーションの脆弱性に対するパッチを適用していない場合、悪質なコードがダウンロードされる。一旦インストールされると、ソフトウェアは個人情報を盗難したり、感染したマシンを利用して他のマシンを攻撃したりすることができる。セキュリティベンダーのWebsenseによると、現時点で世界中の1万件以上ものウェブサイトがこの攻撃を受けており、その数はまだ増加し続けているという。Trend Microによると、この悪質なコードの一部を含むサーバは、シカゴ、サンフランシスコのベイエリア、および香
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PandaLabs Report: MPack uncovered
Webベースの悪質コード感染が拡大、ソフォス調査
https://www.jpcert.or.jp/at/2007/at070016.txt
複数の脆弱性を狙う攻撃ツール「MPack」に注意喚起、JPCERT/CC
SANS - Internet Storm Center - Cooperative Cyber Threat Monitor And Alert System