最近では「ドライブバイダウンロード」と言ったほうが通りがいいのかな?
“CoolWebSearch の悪夢再び”というよりは、色んな不正手段が出てきたので目立たなくなってただけな気もします。
- まっちゃだいふくの日記★とれんどふりーく★ - トレンドマイクロ、Webを媒体にして感染する新型トロイの木馬群に警報:Enterprise:RBB TODAY (ブロードバンド情報サイト) 2007/06/18:
- Webからの大規模ウイルス感染がイタリアで発生
- 大規模なウェブ攻撃「Mpack」が猛威--セキュリティ企業が注意を呼びかけ:ニュース - CNET Japan
- ウイルスニュース - 2007/6/19 | セキュリティ情報 : トレンドマイクロ
iframeタグ挿入については価格コム事件と同じ方法ですね。なので、別段新しい攻撃というわけではないんですが、国内の個人サイトなどでも同様の手口でやられてる場合があるので注意しておいた方がいいと思います。
(上記とは違いますけど)先日偶然見つけた(Nortonのインターネットワーム防止機能が検出)国内の個人サイトでは参照先が中国サイトとなってました。私がわかった限りですけど悪用する脆弱性はMS06-067とMS07-027だったようです。NortonはiframeソースをTrojan.Dowiex!infとして検出しただけです。脆弱性狙いのスクリプトに関してはエンコードされてたからなのか全く未反応でした。
この手のサイトは攻撃手段(悪用する脆弱性)は一つではないことが殆ど、というか大抵てんこ盛りなので、検出したからと言っても(ゼロデイの可能性がある場合とかは)安心は禁物かな。
iframeの参照先は今のところ海外の不正サイト(あるいは乗っ取られたサイトとかかな)ばかりのようなので、Internet Explorer のセキュリティ設定で、インターネットゾーンを「高」にしていれば、信頼済みサイトに登録したサイトに仕掛けられた場合でも(※参照先ホストを信頼済みサイトに登録していなければ参照先はインターネットゾーンとなるので)、スクリプトは実行されません。また、ダウンロードも不可となるのでほぼ安全になるかと。(※もちろん、Windows 2000/XP でいわゆる「ゼロデイ」以外なら Windows Update してれば大丈夫ですけど)
とは言え、画像表示でアウト(かつ、ゼロデイ)な脆弱性などを悪用した場合、または信頼済みサイトに登録したサイト自身に不正スクリプトがおかれた場合などは、防ぐことができないので完璧とは言えませんけど。
ゼロデイ(未パッチのセキュリティホール)については、ニュースサイトなどを定期的にチェックしておくことが必要かなと。
あと、あんまりニュースになってないような気がしますが、Internet Explorer だけでなく、Real Player や Quicktime、Java Runtime などの脆弱性を悪用するサイトも現実にあります。むちゃくちゃ面倒クサ!なんですけど、アップデートについては念入りにこれでもかというぐらいに習慣にしてしまわないといけないんじゃないかと思います。
尚、私の知る限りですけど(こればっか...)、これらの攻撃サイトのほとんどは、iframeタグ→JavaScript、または、(最近は減ってるみたいですが)JavaScriptでポップアップウインドウ表示させる手口を使ってるようです。
ブラウザの設定で、せめて「JavaScript」(※IEでは「アクティブ スクリプト」)だけはデフォルト無効にしておくべきだと思います。もちろん完璧ではないにしても危険遭遇確率は劇的に下るはずです(いやぁ断言しちゃったよーw)・・・・でも、そうすると教会パソコン(何..)では文句タラタラ〜だったり。某Yahoo! や 某asahi.com などでは「無効にするのが悪いこと」みたいな文面(ちょっと言いすぎw)を出してくれよるんですよねぇ。セキュリティニュースの報道サイトでも自分とこがJavaScript使ってるもんだからそーゆーこと言えなかったり。FAQ見たいだけなのに、Cookie/スクリプト/ActiveXコントロール を有効にしろ、IE使えとか、なかなか表示させてくれない某Microsoftさんとかあるし。慣れないとかなり不便になるかなぁ。
誰か「ブラウザの設定」について書いてくださーい(他力本願バリバリw)。「そんなん人それぞれやがな」ですか。そうですね...っていうか第一目的を「安全」とするなら、とことん追求すべきちゃうんかい、と。てなわけで最後はお約束のフレーズ「隗より始めよ」ということで。なんだかなぁ
あっと、もう一つ。結構忘れがちかなと思うこと...
- Googleなどで検索する場合は、セキュリティを【高】に(または JavaScriptを無効)
Googleの基本機能 StopBadwareや、ブラウザ用アドオンSiteAdvisorなんかで結構ブロックしてくれますが、多分50%ぐらいかなと。過信はだめですね。
慌てて追記(汗)
新しくないとか書いてしまいましたが、最近の傾向として、以下の点に留意しておくべきかな。というか、時代はどんどん変わるので現時点では「可能性」としての話でも、いずれは「現実化」するものなのだと構えておいた方がいいですね。
以下2点は「やられた後」の話となりますが。
- ファイル感染型ウイルス(古典的な所謂狭義の「ウイルス」のような)が増えている
-
拡散方法として使えるものはなんでも使えってかんじでしょうか。自分のホームページ用のhtmlファイルに感染(iframeを挿入するだけ?)した場合は、自分のWebサイトがばら撒きサイトになってしまいます。
実行ファイルに感染するものもあるので、リカバリーする際に再入手可能なファイルについてはすべて削除するべきかも。
- Webアプリなどの脆弱性を狙う
-
踏み台PCからWebサーバを攻撃したりするみたいです。以前は「ワーム」と言えばウイルスメールの発信が殆どだったように思いますけど、これも使えるものはなんでも状態?
ふぅ、ゆーた。久々に書いたらむちゃ疲れた(年とかいうなそこ!)