1万を超えるWebサイトを支配する“史上空前”のサイバー攻撃が発生――「世界中に蔓延する危険も」――セキュリティ・ベンダー各社が警告
Mpackを使った大規模な攻撃がアナリストによって報告されたのは、先週の金曜日のこと。攻撃者は、Webサイトを支配し、サイト訪問者のコンピュータにMpackをホスティングするサーバにリダイレクトするためのコードを送り込む。
Mpackは、ロシア製のプロフェッショナル用エクスプロイト集で、稼働しているエクスプロイトの種類や攻撃相手国のドメインに関する詳細な情報を表示する管理コンソールも付属している。
感染サイトにアクセスしたコンピュータには、悪意のあるコード(オンライン・バンキング・サイトなどで利用される重要なアカウントのユーザー名やパスワードを盗み出すキーロガーが多い)が送り込まれる。
Symantecの研究員、エリア・フロリオ氏は、先週金曜日に行った同社のセキュリティ問題対応ブログへの投稿で、「攻撃の首謀者は、イタリアにある数百に及ぶ正規Webサイトのホームページを支配することに成功した。これまでに支配下に入ったサイトは膨大な数に上る」と警告する。
フロリオ氏によると、攻撃の起点となるサイトがどのようにして乗っ取られたかは不明だが、ホスティング・レベルでの脆弱性が利用された疑いもあるという。
一方、Trend Microのネットワーク・アーキテクト、ポール・ファーガソン氏は、Webサイトを乗っ取るのに用いられている手法はいまだ明らかになっておらず、そうした議論はあまり意味がないと指摘する。「重要なのは、攻撃者が支配可能なサイトを数多く見つけ出しているということだ」(同氏)
Symantecは、6月15日夜の時点で、Mpackエクスプロイトを送り出している感染サイトの数が6,000に達したことを明らかにした。また、Webセキュリティ対策企業のウェブセンスも6月18日までに1万以上の感染サイトを確認したとしている。
Trend Microのファーガソン氏は、「これは驚異的な数だ」と語り、以前にエクスプロイトを使って行われた同様の攻撃に比べて感染サイトの数がケタ違いに多いと指摘する。
ウェブセンスは18日、Mpack管理コンソールのスクリーン・ショットをポストした。またSymantecは15日、感染サイトを訪れたコンピュータの数が膨大な数に上り、攻撃成功率もきわめて高いことを明らかにした。攻撃を受けたPCの大半は、イタリアのIPアドレスを使っているが、他国のマシンも無縁ではない。
ファーガソン氏は、「当社が見つけた感染サイトは依然としてイタリアに多い。しかし、感染サイトは世界中に広がりつつある」と警告する。Trend Microはすでに、米国のカリフォルニア州とイリノイ州で感染サイトを特定しているという。
「これまで、信用できないWebサイトへのアクセスは避けるようアドバイスしてきたが、正規のサイトも乗っ取られて不正なコードを送り出している。今ではどのサイトも信用できなくなってしまった」(ファーガソン氏)
(グレッグ・カイザー/Computerworld 米国版)
提供:Computerworld.jp