今そこにある危機(Web閲覧)

よく、ブラウザで未パッチの脆弱性が発見された場合、「信頼されたサイト以外は見ない」という回避策が示されることがある。果してそれは正しいか。

パッチを完全に適用されており、さらに大手のアンチウイルスを導入していて、普通にブラウザで信頼のおけるサイト閲覧をしていて、安全だと保証できるか。

最近みつけたケースだと、怖いと思った。安心してWeb閲覧はできない。

あるユーザのPCから、マルウェアをダウンロードしようとしているのが検知された。
調べてみると、次のような手口であった。

そのユーザはYahooで、一般的な用途で検索して出てきた、一般的な情報が書かれたサイトを閲覧した。

そのサイトは、実は改ざんされていて、不審なJavaScriptが埋め込まれていた。
JavaScriptは、一見しても何の機能があるかわからないように暗号化されていた。

そのサイトを表示すると、すぐ別のサイトに飛ばされるようになっており、そのページを開くとWindowsMediaPlayerを偽装したGIF画像が表示され、再生するためのCodecをインストールするよう、ActiveXでのcodecインストールを偽装したダイアログが表示される。
なお、そのサイトのURLはアダルト系のホスト名になっている。

そのダイアログには次のように書いてある。

"Message Box Object Error" Video ActiveX Object Error: your browser cannot display this video file.
you need to download new version of Video ActiveX Object to play this video file.
To download and install Active X Object Click Continue.
(Continue) Cancel Details…

それをContinueするとマルウェアがインストールされる。そのモジュールは、Kasperscky/F-Secureでは、「Trojan-Downloader.Win32.Agent.npx」と検知されるが、その他の有名どころのアンチウイルスソフトは検知しない。おそらくこまめに更新してパターンファイルから逃れているのだろう。

普通の人なら、おそらく上のダイアログの状態で騙されてしまうはず。
ちょっと不安に思った人がキャンセルしたとしても、しつこく"Click ‘OK’ to download and install media codec.","Please download new version of media codec software."と、"OK"しか押せないダイアログが繰り返し繰り返し表示される。

この時点でブラウザを強制終了しなければ、マルウェアのインストールを回避できない。
というわけで、ほとんどの人は騙されてインストールしてしまう可能性が高い。

試していないが、たぶんこのマルウェアをインストールした後は何も動画は表示されず、本来の改ざんされた元のページにジャンプさせられると思われる。

さて、感染すると何が起こるのか。
まず、二つ以上の別のマルウェアをすぐにダウンロードしてインストールする。両方を検知するアンチウイルスがMicrosoft製のものだけなので、それで説明するとTrojan:Win32/Busky.EDと、Trojan:Win32/Small.ZZBになる。これを書いている日時には、SymantecやMcafeeやTrendmicroは検知しない。 (このように日々新しく更新されるマルウェアに対し、Symantec, McAfee, Trendは検知率が極めて低い。逆に、検知率が悪いと評判のMS製のものは意外とこのようなマルウェアの検知率が高い。)

感染したらどういう悪さをするかはわからないが、その後にまた続きがある。

改竄された最初のサイトを表示すると、今度は「無料のオンラインスキャナーをやってみろ」と表示される。

ATTENTION! If your computer is infected, you could suffer data loss, erratic PC behaviour, PC freezes and creahes.
Detect and remove viruses before they damage your computer!
XP antivirus will perform a quick and 100% FREE scan of your computer for Viruses, Spyware and Adware.
Do you wanto to install XP antivirus to scan your computer for malware now?(Recommended)

XP antivirus will scan your system for threats now.
Please select "RUN" or "OPEN" when prompted to start the installation.
This file has been digitally signed and independently certified as 100% free of viruses, adware and spyware.

このサイトにはWindows Mobile 上のOperaでアクセスしてみたところ、スキャンっぽい画面が走り出し、WMには存在しないシステムファイルなどをスキャンした揚句、感染したというファイルを10個も見つけてくれる。そして、結果を表示するダイアログが、WMなのに、なぜかXPのダイアログが表示される。

XP antivirus Online Scanner detected dangerous spyware on your system!. detected malicious programs can damage your computer and compromise your privacy. It is strongly recommended to remove them immediately.

このダイアログをクリックすると、XP antivirusのコンポーネントを、ダウンロードして「実行」しろとしつこく表示される。保存ではなく。(もちろん、これはダイアログではない)

実際に感染させて動作を見る検証機がないので試せないので、その後はどうなるかわからない。
なんだかんだ言って、有料版をインストールさせ、そしてお金をだまし取る手口かもしれない。
この辺からは想像だが。

まとめると、これらの手口は、ブラウザの脆弱性を利用するようなものはないということ。
巧みに騙したり、インストールせざるを得ない表示をしてインストールさせようとする。
最後の頼り、アンチウイルスも検知しない。
見ているサイトも普通のサイトである。最近では大手企業のサイトであることもあるようだ。

ちなみに、県内の旅行会社H社が、これとは別の改ざん・スクリプト埋め込みがされていたが、「メンテ中」になった後、何事もなかったかのように再開していた。 
「信頼できるサイト」としてアクセスした顧客は、何かに感染させられたかもしれないが、何の注意書きもない。

理想的な対応としては、ウイルス感染の恐れがあるとしてトップページに注意喚起し、アンチウイルスによるスキャンの方法などを知らせ、顧客からの連絡窓口を用意すべきだ。しかし、そんな窓口なんて用意する様子はない。

実際には改ざんされた部分がまだ残っているのだが、連絡窓口がないので連絡していない。

H社のような、多くの人が「信頼のおける」と思っているサイトが他にもあると思われる。今、そこにある危機である。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です