IEのIFrame欠陥悪用の「広告」が出現--広告配信企業のサーバが改ざんされる

　先週末、何者かが広告配信企業Falkのサーバに侵入し、同社の顧客に悪質コードを含んだ広告を配信した。対象となった顧客には、IT関連ニュースサイトのThe Registerなどが含まれている。

　FalkとThe Registerは共にこの事実を認めている。この事件は米国時間20日午前に発生し、Falkのサービスを利用する複数の企業に影響が及んだ。Falkによると、問題は既に修正されているという。この攻撃は、先日発見されたMicrosoftのInternet Explorer 6の欠陥を突いたもので、Microsoftはまだこれに対する修正パッチを発行していない。

　今回の事件では、コンピュータへのプログラム感染を広げるのにバナー広告が利用された。セキュリティ企業Lurhqによると、このプログラムは広告バナーとして閲覧されると、3つのウェブサイトに順にアクセスし、各ステップを通してユーザーのコンピュータに不正プログラムをダウンロードするという。このプログラムに感染したコンピュータは、攻撃者にコントロールされ、追加のプログラムをインストールされてしまう。

　SANSのオンラインセキュリティ調査部門Internet Storm Centerでディレクターを務めるMarcus Sachsは、「攻撃者はThe Registerをターゲットにしていたわけではない」と説明する。「The Registerが偶然攻撃されただけだ。アンチウイルスソフトを更新していないユーザーは感染する恐れがある」とSachsは言う。

　このような攻撃を通して、安全対策を講じていない危険なウェブサイトが暴かれるのは、今年に入って2回目だ。6月には、同じくIEの欠陥を使った攻撃がロシアの複数のサイトを利用して行われている。今回の攻撃者は、安全でないサーバ上で稼働する広告配信サービスを利用して、悪質なコードをばらまこうと試みている。

　広告配信業者は、顧客ウェブサイトにバナー広告を提供する。だが、一見バナーのように見える広告に悪質なコードを含ませることは簡単だ。Falkによると、これと同じことが、今回起こったという。

　今回の攻撃は、IE経由でいったんユーザーのコンピュータをプログラムをダウンロードすると、それ以上の感染活動を行わないため、ウイルスではない。しかし、「IFrame」といわれるIEの脆弱性と、この欠陥を悪用して広がる「Bofra」ウイルスとを混同しているレポートが多く見受けられる。Bofraは今回の事件より前から存在するウイルスで、MyDoomの亜種である。Lurhqは今回の攻撃を「Trojan.Agent.EC」と呼んでいる。