MySpaceの脆弱性を悪用する映像ファイル--目的は詐欺サイトへの誘導

　MySpace.com上に悪意ある映像ファイルが出現した、とセキュリティ専門家が警告している。このファイルは、再生時にユーザーのプロファイルを変更し、同サイトのページに自らを埋め込み、詐欺サイトにリンクさせようとするという。

　セキュリティ企業Websenseが米国時間12月1日に発表した警告によると、同映像は、MySpaceにある脆弱性とApple Computerのメディアプレーヤー「QuickTime」のJavaScriptサポートを悪用した不正なQuickTimeファイルだという。

　同映像は、再生時に自分自身をユーザーのMySpaceページに追加し、プロファイルの中に張られているリンクをフィッシングサイトへのリンクに置き換えると、Websenseは説明している。フィッシングサイトとは、人々をだましてログイン情報などの機密情報を漏洩させようとする、詐欺的なサイトを指す。

　米国時間12月4日にMySpaceの関係者にコメントを求めたところ、返答は得られなかった。

　News Corporationが所有するMySpaceは、人気の高いソーシャルネットワーキングサイトで、7000万人以上の登録者がいると見積もられている。今回のワームは、同サイトにあるクロスサイトスクリプティングと呼ばれる一般的なウェブの脆弱性と、適切にも不適切にも使われることがあるQuickTimeのHREFトラックを悪用している。

　セキュリティ企業F-Secureの最高リサーチ責任者であるMikko Hypponen氏は米国時間12月2日、「悪意があるQuickTimeのMOVファイルを用いてみずからを増殖させるMySpaceワームが登場したようだ」と、ブログに書いている。

　さらに同氏のブログには、この不正なQuickTime映像は、感染したページが「Internet Explorer」から閲覧された場合に自動的に起動するJavaScriptコードを含んでいると書かれている。こうしたコードが、ユーザーのMySpaceプロファイルを改ざんするという。「感染したMySpaceプロファイルを閲覧したすべてのユーザーが、同じように感染してしまう」（Hypponen氏）

　攻撃の目的は、人々をフィッシングサイトへ誘導することである。F-Secureによれば、こうしたフィッシングサイトはMySpaceのログインページに似せて作られており、ユーザーにMySpace関連の機密情報を入力させようとするという。

　MySpaceが攻撃の対象となったのは、これが初めてではない。以前にも、同サイトの人気を利用して個人情報を盗み、アドウェアを頒布しようとしたケースが確認されている。またMySpaceのユーザーが、自分の名前を広めるために同サイトの脆弱性を悪用したこともあった。