Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

価格.comクラック対策〜可能性は低いが閲覧者はウイルス感染確認を


価格.comの閲覧でウイルス被害の可能性は高くないが、十分警戒を

 価格比較サイトとして有名な「価格.com」が不正アクセス被害に遭い、現在、セキュリティ対策を施すためにサイトを一時閉鎖している。同サイトがトップページに掲載している経緯説明によれば、5月11日までにサイトに悪意のプログラム(ウイルス、トロイの木馬)が仕掛けられたとしており、11日から14日までの間に同社サイトを閲覧したユーザーは、ウイルスに感染した可能性があるという。

 価格.comの発表、ウイルス対策ソフトベンダ、それにインターネット上の情報(今回は2ちゃんねるなど、掲示板での情報交換が非常に活発に行なわれた)を総合して考えると、今回のウイルスは、Webを閲覧することでPC内にウイルスが取り込まれて活性化される、いわゆる「受動攻撃型」のウイルスのようだ。

 ただし、ウイルスを読み込み、また活性化するには過去に対策されているものを含め、いくつかの脆弱性を利用しなければならない。従って、同サイトにアクセスしたことで、PCがウイルスを読み込み、キャッシュに取り込むなどが行なわれたとしても、実際にウイルスが活性化して悪意のユーザーの意図がそのまま実行される可能性はそう高くはないと思われる。しかし、11日以後、サービスが閉鎖されるまでにアクセスしたユーザーは、十分な警戒が必要だろう。

 また、今回と同様の仕組みを利用してウイルスを読み込ませようとするWebサイトが他にも多く存在するようだ。合わせてこちらも警戒したい。


価格.com閲覧の場合は、ウイルス対策メーカーのツールを利用すべき

 カカクコムによれば、2種類のウイルスがページからは発見され、キヤノン販売から発売されているウイルス対策ソフト「NOD32」がこのウイルスを発見可能であるとしている。

 ただし、「NOD32」は多くのウイルス対策ソフトと同様に、他のウイルス対策ソフトと競合する可能性がある。このため、他のウイルス対策ソフトを導入済みの場合、そちらを先にアンインストールする必要がある。すでに他のウイルス対策ソフトを利用している場合は、他の方法を利用すべきだろう。

 本誌でもすでにニュースとして掲載しているが、トレンドマイクロが16日、11日から14日にかけて価格.comを介して感染を拡大したとされる「TROJ_DELF.RM」専用の駆除ツールを公開している。こちらは、他社製ウイルス対策ソフトを導入済みの環境でも利用可能だ。

 価格.comでは、ページデータが改ざんされ、ウイルスデータがPCに読み込まれるようになっていたが、トレンドマイクロが提供する駆除ツールは「読み込まれるウイルスデータ」を検出し、システムから取り除く簡易ツールとなっている。

 この駆除ツールは、ウイルスデータが検出されなかった場合もWindowsのデスクトップ上に検出ログを残すだけで、システムに悪影響はない。価格.comにアクセスした心当たりがある場合は、利用してみるといいだろう。また価格.comでは、11日にこの改ざんに気づいたとしているが、現段階ではそれ以前に感染していた可能性もまったくないとは言い切れない。近い過去にアクセスした可能性がある場合は、念のために使用してみることをお勧めする。

 また、シマンテックも英文ページで駆除ツールの配布を開始した。


 ◇トレンドマイクロのTROJ_DELF.RM専用駆除ツール
 http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=11359
 ◇シマンテックのTrojan.Jasbom専用駆除ツール(英文)
 http://securityresponse.symantec.com/avcenter/venc/data/trojan....


ウイルスが感染する仕組み

 今回価格.comが遭遇したクラックは、サーバーにウイルス本体を送り込み、また、同時に同Webのページデータを改ざんし、このウイルス本体を読み込む「受動攻撃」を行なうように手を加えたものと見られる。


ウイルス感染の仕組み。ウイルス感染サイトへのリンク(Iframe)が不正に書き込まれ、元ページを表示すると、ウイルス配布サイトのスクリプトの内容がPCで実行され、PCがウイルスに感染する

 Googleキャッシュに残っていた、クラックされた当時のページデータを見たところ、今回のウイルスは以下のような仕組みでのウイルス感染を狙ったもののようだ。

 まず、ウイルス感染のエントリーページ(今回は価格.comのページ)中には、ウイルス配布ページの内容を、エントリページ中に表示するようにiframeタグが書き込まれている(これが価格.comトップページ改ざんの内容)。

 このウイルス配布ページには、2つのJavaScriptが書かれている。1つは、エンコードされたスクリプトと見せかけてブラウザにウイルスページを読み込ませるスクリプト。もう1つは、読み込んだスクリプトをActiveXオブジェクトとして実行し、ウイルスを活性化させるスクリプトだ。

 ウイルス対策ソフトは、このページの悪意のスクリプトを1つめのウイルスとして検出する(ただし、どちらのスクリプトをウイルスとして判定しているかは不明)。

 ただし、このWebページ中に書かれたウイルス本体を読み込み活性化するための仕組みはWindowsのMHTML URLのプロセスに関する脆弱性を利用しており、Windowsに、2004年に公開されたセキュリティ更新プログラム「MS04-013」を適用している場合、ウイルスデータが読み込まれることはあってもウイルスが活性化することはない。

 また、このウイルス本体も現在このウイルスに対応しているウイルス対策ソフトでは、ウイルスとして判定できるようだ。上記の活性化の仕組みを利用するために、ウイルス本体はコンパイル済みヘルプファイルを悪用したものになっている。

 このウイルスは、実行されると、Windows中のexplorer.exeなどシステムファイルの改ざんやレジストリの改ざんを行なう。この状態でWindowsの再起動が行なわれると、ウイルスが活性化され活動を始める。

 なお、このウイルスについてシマンテックは17日、MMORPG「リネージュ」起動中に活動することが判明したと発表している。詳しくはニュース記事で別途報じているので参照してほしい。


 ◇トレンドマイクロのTROJ_DELF.RM情報
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DELF.RM
 ◇トレンドマイクロのCHM_DELF.RM情報
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=CHM_DELF.RM
 ◇シマンテックのTrojan.Jasbom情報
 http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.jasbom.html


価格.com以外のサイトにも要警戒

 価格.comで使われたウイルス配布サイトのアドレスで検索してみると、価格.com以外にもこのウイルス配布サイトを表示させるiframeやリンクが貼られているページが見受けられる。同種のウイルスの媒介となるWebサイトが多く存在しているようだ。

 Windows Updateを行ない、脆弱性修正パッチを当てて、万一ウイルスが読み込まれても活性化するところまではいかないよう、システムを強化しておく必要があるだろう。

 また、今回はウイルス対策ソフトの対策までに時間がかかったが、こうした被害が明らかになった場合は、その時点で未対応でも最新のパターンファイルで対応が行なわれる可能性が高い。ふだんから定義ファイルはこまめにアップデートが行なわれるよう、自動アップデートを設定しておこう。

 また、今回価格.comからIframeで読み込むように指定されていたウイルス配布サイトなど、ウイルス配布サイトが判明したなら、Internet ExplorerやIEコンポーネントを利用しているブラウザを利用している場合は、これらのサイトを「制限付きサイト」に登録して、Javaスクリプトなどの実行を制限しよう。これにより、今後、同様にクラックされたサイトを訪れてしまった場合に、ウイルスに感染する可能性を下げることができる。

 制限付きサイトを設定するには、Internet Explorerのメニューで「ツール」→「インターネットオプション」を選択。タブで「制限つきサイト」の設定を開き、「危険なサイト」をクリックで選択。「サイト」ボタンを押して、「次のWebサイトをゾーンに追加する」という入力欄に、当該サイトのURLを入力し、「追加」ボタンを押す。


危険なサイトに偶然出くわしたときの用心として、あらかじめInternet Explorerの制限付きサイトにこれらを登録しておこう、(この画面で登録しているサイトはウイルス配布サイトのため絶対にブラウザなどでアクセスしないでください)

 この設定により、サイトがクラックされているかどうか確認が必要な場合にも、制限付きサイトに登録してからアクセスすれば、確認作業の危険性を下げることができる。

ただし、この方法は、同じ仕組みが使われているとしても、他のURLでアクセスできるサイトで行なわれた場合には無効だ。あくまで暫定的な対策と考えてほしい。ユーザーとしてふだんからできる対策としては、OSベンダーやブラウザのベンダーが配布するセキュリティ修正プログラムを確実に当てることと、ウイルス対策ソフトをはじめとするセキュリティ対策ソフトを導入して、定義ファイルをこまめに自動アップデートし、定期的にディスクのチェックを行なうことに尽きるだろう。


URL
  価格.com
  http://www.kakaku.com/

関連記事
価格.comのウイルス、MMORPG「リネージュ」起動中に活動することが判明(2005/05/17)
価格.comが一時閉鎖、不正アクセスでトロイの木馬を仕込まれる(2005/05/16)
価格.comのウイルスに対応した駆除ツール、トレンドマイクロが公開(2005/05/16)


( 大和 哲 )
2005/05/17 16:24

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.