2010年9月末から11月にかけて、アクセス解析サービスを提供するサーバが断続的に改ざんされ、悪意のあるサイトへ誘導するスクリプトが埋め込まれました。このため、このサービスを導入しているサイト（複数の有名サイトを含む）を閲覧したユーザがドライブバイダウンロードによってmstmpと呼ばれるマルウェアに感染し、被害が広がりました。

事件の特徴

この事件の特徴は、いわゆるマッシュアップ（複数のサイトからのコンテンツを連結し、1つのコンテンツに見せる手法）で作成されたコンテンツの一部が悪用されたことです。現在、さまざまなWebサービスでAPIが公開され、それを通じてサイト間でデータを連携できるようになっています。

一般の利用者が日常的に参照するポータルサイト、検索エンジン、ニュースサイト等もマッシュアップを行っていることが多く、複数サイトからのコンテンツが連結されてWebブラウザに表示されています。このため、マッシュアップに利用されているコンテンツが1つでも改ざんされると、そのコンテンツを利用しているWebサイトを閲覧しただけで、マルウェアに感染してしまう可能性が生じます（図-12）。

▼図-12 マッシュアップコンテンツに起因したマルウェア感染　※画像をクリックして拡大

攻撃者にとって、この手法は非常に効果のあるものになります。一昨年のGumblar事件＊54では、大手サイトに広告を出していたWebサイトが改ざんされたことで被害が拡大しました。また、大手広告サイトの改ざんによって、その広告を掲載していたサイトを閲覧したユーザがマルウェアに感染する事件も複数発生しています。今回の事件においても、感染者数が短時間のうちに急激に増加したと報告されています。

攻撃者は、良く利用されるマッシュアップコンテンツの１つを改ざんするだけで、それを利用するすべてのサイトを改ざんしたときと同等の効果を得ます。このことから、意図的にこのサービスを狙ったことが推測できます。

また、アクセス解析サービスを利用していたサイトは、マルウェア配布を意図した悪性サイトではなく、一般のサイトでした。このため、このサイトをブラックリスト等でフィルタリングすることが困難であったことも、被害が拡大した要因と考えられます。

===

マルウェアの感染とその動き

マルウェアの感染原因は、Webブラウザやそのプラグインの脆弱性を攻撃する悪意のあるサイトにユーザが誘導されたためです。IIJでは、表-2に示す脆弱性が悪用されたことを確認しています。

▼表-2 mstmpで悪用された脆弱性

図-13に、マルウェア感染後の挙動を示します。脆弱性の悪用に成功すると、まず"1.1234567890123456.swf"のような数字とピリオドの後に16桁の数字が続く、拡張子.swfのファイルが生成されます。実際には、このファイルの中身はDLLで、mstmpを生成して実行するためのプログラムです。mstmpはWebブラウザのプラグインとして動作し、外部サーバからさらにlib.dll等のマルウェアをダウンロードして、Webブラウザのプラグインとしてインストールします。また、IIJでは、「Security tool」というスケアウェアとともに、FTPアカウントを盗みだすマルウェアがインストールされ、そのアカウントを悪用して感染者が管理しているWebサイトも改ざんされるという、いわゆるGumblarスキームを持つ事例があったことも確認しています。

▼図-13 mstmp感染後のマルウェアの変遷

===

対策に向けて

参照したWebサイトを経由したマルウェア感染や、フィルタリングが困難な状況が起こる可能性を認識して、常日頃からブラウザ等のパッチ適用を迅速に行うことが一番の対策になります。特にJavaの脆弱性を突いた攻撃が急激に増加しているとも報じられているため、近年狙われ続けているアドビ社の製品群と併せて早急な対処が重要です。また、事件が発生した後にファイアウォールやIPS等のログをさかのぼって調査できる仕組みや、定期的にログを調査したり解析したりして異常を見つけ出すための仕組みを持つことも役立ちます。

　
文・鈴木 博志（株式会社インターネットイニシアティブサービス本部 セキュリティ情報統括室）