Google検索結果からマルウェア・サイトに誘導する手口が発覚
対象となる検索フレーズは、例えば「how to cisco router vpn dial in」(Cisco Systems製のルータを使いVPNでダイヤルインする方法)といった専門的な検索から、「how to teach a dog to play fetch」(物を投げて犬に取ってこさせる方法)といったごく一般的なものまで数百に及んでいる。
該当するフレーズをGoogleで検索すると、大量のマルウェアを仕込んだ悪意あるサイトへのリンクが検索結果の上位に表示されるという。「(悪意あるサイトへのリンクは)膨大な量だ。今のところ27のドメインが見つかっており、なかには1,499もの(悪意ある)ページを含むものもあった。ざっと見積もっても4万ページに及ぶ」と、SunbeltのCEOを務めるアレックス・エッケルベリー(Alex Eckelberry)氏は話す。
こうしたページが検索結果の上位に表示されるのは、サイトのコメント欄に大量のリンクをはり付ける“コメント・スパム”や、ブログの投稿としてリンクをばらまく“ブログ・スパム”といった手口が使われているからだ。「ボットを使い、URLを要求するWebフォームにリンクをはりまくっているのだろう」と、Sunbeltのマルウェア研究者、アダム・トーマス(Adam Thomas)氏は推測する。
だが、攻撃者がGoogleの検索キーワードを買ったとか、正規サイトにマルウェアを仕込んだという証拠は今のところない。どうやら彼らは、Googleのランキング・システムを悪用してサイトを独自に登録したようだ。
「まず正規の方法でGoogleに登録し、その後ユーザーをマルウェアのページにリダイレクトするというやり方だ」とEckelberry氏は言う。悪意あるURLの多くは文字がごちゃごちゃと表示され、右端のTLD(トップレベル・ドメイン)が「.cn」(中国を意味する)になっていることから、よほど慎重なユーザーでないかぎり、検索結果だけ見ても疑問を抱かないはずだ。
ユーザーがマルウェアのサイトに誘導されると、偽のコーデック・インストレーション・ダイアログが表示されることがある。ここでユーザーがインストールを拒否した場合、そのページのIFRAMEに捕まる仕組みだ。
「最も被害をもたらすのはIFRAMEだ。偽のツール・バー、スパイウェア、スケアウェア(ウィルスに感染したと思わせてユーザーに対策ソフトの購入を促すソフトウェア)など、ありとあらゆるマルウェアが潜んでいる」とThomas氏は説明する。
Thomas氏が遭遇したあるサイトは、たくさんのトロイの木馬に加え、スパム・ボットと本格的なルートキット、2種類のパスワード抜き取りソフトなど25種類以上のマルウェアをPCにインストールしようと試みたという。これらのコードはどれもセキュリティ・ベンダーにとって既知のものばかりで、最新パッチを適用していないPCだけが狙い撃ちされることになる。
なお、Sunbeltのブログには、Googleの検索結果リストのスクリーン・ショットと、マルウェアに感染していると判別されたサイト、偽のコーデック・インストレーション・ダイアログのイメージ、および悪意あるIFRAMEのコードが掲載されている。
(Gregg Keizer/Computerworld オンライン米国版)
米国Sunbelt Software
http://www.sunbelt-software.com/
提供:Computerworld.jp
