悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2003年09月08日(月) 17時03分

大手ウェブホスティング会社がホストする各サイトに悪意あるスクリプトWIRED

 世界第2の規模を誇るウェブホスティング企業、米インターランド社は、大規模なハッキング攻撃に苦しめられているようだ。1100件余りのウェブサイトに影響が出ており、被害は今なお続いているらしい、とスクリプトを分析したセキュリティー専門家が報告している。

  http://www.eeye.com/html/ 米イーアイ・デジタル・セキュリティー社の設立者の1人、マーク・メイフレット氏によると、悪質なスクリプトが書き込まれたサイトは、スクリプトを除去したあとも再感染する可能性があるという。また、感染したサイトを訪問すると、訪問者のコンピューターも感染する危険性があるという。

 しかしインターランド社は、わずか数件のサイトがオフラインになっただけだとして、ハッキング攻撃があったことを否定している。

 メイフレット氏は、感染したサイトを訪問したユーザーは次の電話料金の請求書に、900番サービス[日本のダイヤルQ2に相当する有料電話情報サービス]の高額の利用料を発見して驚くかもしれないと述べている。また、他人のコンピューターへのサービス拒否(DoS)攻撃に加担させられていたことがわかる可能性もあるという。

 このような事態を引き起こすのは、インターランド社がホスティングしている多数のウェブページのHTMLコード末尾に書き込まれた悪意のあるスクリプトだ。このスクリプトは訪問者のブラウザーに対して、他の悪意のあるサイトにアクセスする指示を出し、2種類あるトロイの木馬からどれか1つをダウンロードさせるという。2種類のトロイの木馬は、マシンに与える影響がそれぞれ異なっている。このスクリプトは、パッチを当てていない『インターネット・エクスプローラ』(IE)のユーザーに影響を与える。

 インターランド社がホスティングしているメイン州の気象情報サイト『ウェザーメイン』のオーナー、マックス・ライズマン氏が自身のサイトに悪意のあるスクリプトを最初に発見したのは、8月28日(米国時間)のことだった。

 インターランド社に告げたところ、問題のコードはその日のうちにサイトから除去されたが、次の日にはまた現れた。インターランド社が再度、除去したにもかかわらず、コードは9月2日と3日にも現れたという。

 インターランド社の技術サポート担当者がライズマン氏に送付したメモには、何者かが「以前には知られていなかった手口」で同社サーバーの1台にアクセスしたとあり、同社は「米マイクロソフト社と協力して、今後は二度と同じ問題が生じないよう対策を講じている」と説明していた。

 後に、もう1人の技術サポート担当者がライズマン氏に宛てた電子メールには、サーバーに修正パッチを当てているところだと書かれていた。このメールが示唆しているのは、ハッカーがインターランド社のサーバー上に植え付けたコードにより、サーバーはホスティングしているHTMLページに自動的に悪意のあるスクリプトを挿入してしまうということだ。

 「問題が非常に深刻なため、インターランド社内外すべてのリソースを駆使して、顧客への影響を最小限にとどめ、今後の再発阻止に努めている」と担当者は述べている。

 この問題についてのインターランド社の反応は一貫していない。顧客がログインした時にポップアップ表示される同社の技術サポートページは、「エンジニアとセキュリティー専門家が外部の専門家と協力して」、「一連の問題の根本原因」を解消するために取り組んでいると伝えている。また、問題が発生した原因は「悪意のある行為」だったこと、インターランド社が「この状況について適切な捜査機関と連絡をとっている」ことを説明している。

 しかし同社にインタビューしたところ、担当者は一部の顧客のウェブサイトで「サービスや利用」に支障を来たす問題が生じたことを認めただけで、サーバーがハッキングを受けたことも、サーバー・ソフトウェアにこのような攻撃手法を許す脆弱性があることも否定した。同社は当初、悪意のあるスクリプトが顧客のウェブサイトに見つかったということも否定していた。

 インターランド社の情報セキュリティーとコントロール部門で統括責任者を務めるジェフ・ライク氏は、ある短い期間中、一部の顧客のウェブサイトが利用できなくなったことはあったと述べたものの、次のように説明している。「サーバーがダウンしたとか、データを悪用されたといった問題が起こったわけではない。実際には……ハッキング攻撃と呼べるようなものだとは思わない」

 25万件以上のウェブサイトをホスティングしているインターランド社は、ウィンドウズ2000ベースのホスティング企業としては最大とみなされている。顧客には中小企業も多く、電子商取引サイトも含まれている。主要提携先、そして投資企業にはマイクロソフト社が含まれており、ホスティング業務用のサーバー・ソフトウェアにはマイクロソフト社の製品も使用している。

 技術サポート担当者が送付したメモは、問題の原因はサーバーがハッキングされたことだと述べていたにもかかわらず、ライク氏は、「現在起きている事態に、もともと脆弱性や納入業者側の問題はいっさい関わっていない」と主張している。

 メイフレット氏によると、問題のスクリプトはウェブページのフッターのHTMLコードに埋め込まれているという(フッターとは、一般に企業が著作権情報やプライバシー方針を掲載する、ページの一番下の部分)。このスクリプトは、 http://support.microsoft.com/default.aspx?scid=kb;ja;313675 2001年12月に報告されたIEの脆弱性を悪用するもので、被害を受ける可能性があるのは、パッチを当てていないIE6のユーザーだという[日本語版編集部注:上記IEの脆弱性はパッチを当てていないIE5.5にも存在するようだが、IE5.5のユーザーが問題のスクリプトの被害を受けるかどうかは現時点では不明]。

 感染したウェブページがブラウザーにロードされる際、このスクリプトがユーザーのコンピューターを、トロイの木馬が含まれたウェブページにつながる4つのIPアドレスのうち、1つにアクセスさせる。トロイの木馬はユーザーのコンピューターに自動的にダウンロードされるが、すべてはユーザーの知らないうちに行なわれてしまう。

 ダウンロードされるトロイの木馬の1つ『Aicore』は、感染したコンピューターにハッカーがリモート・アクセスできるようにする。感染したコンピューターは将来、命じられるままにサービス拒否(DoS)攻撃を行なうゾンビのような存在に変わってしまう。もう1つのトロイの木馬『ap26.exe』は、自動ダイヤル・プログラムを含んでおり、ユーザーのコンピューターに接続されたモデムに電話をかけさせる(たとえば知らない間にポルノを提供する900番サービスの利用料が加算され、請求を受けることになる)。

 メイフレット氏がこのスクリプトに含まれる一連の文字列を『グーグル』で検索したところ、インターランド社がホスティングしている1100件のサイトに、このスクリプトが書き込まれていることがわかった。メイフレット氏がインターランド社に電話をかけたところ、応対した担当者は同社が大規模なハッキングを承知しており、米連邦捜査局(FBI)に通報済みだということ、FBIとはトロイの木馬コードが寄生しているウェブサイトを閉鎖するために協力していることを明らかにしたという。

 しかしライク氏は、「われわれはこのことに関してFBIに連絡したことはないし、FBIの介入を求めたこともない」とコメントしている。

 アトランタのFBI特別捜査官ジョー・パリス氏は、インターランド社で起きている問題で誰かが同局のサイバー犯罪部門に連絡を取った事実はないし、これに関する捜査については全く知らないと答えた。

 マイクロソフト社からはコメントが得られなかった。

 5月に同種の問題が起きた際にも、インターランド社は密かに問題処理を行なっている。このときは、ハッカーが同じ悪質なスクリプトを『ラボマイス・ネット』(LabMice.net)というサイトに書き加え、訪問者をトロイの木馬が掲載されたサイトに導いていた。インターランド社はこのスクリプトを除去したが、スクリプトは7月28日にまた現れた。再び除去したはずだが、ちょうど1ヵ月後の8月28日に3度めの大規模攻撃が始まったわけだ。

 インターランド社によると、顧客のサイトがオフラインになっている問題についてはすべて解決し、再発防止対策に取り組んでいるという。

 しかし、 http://www.webmasterworld.com/forum23/2615.htm ウェブマスターたちのオンライン・ディスカッション・フォーラム(登録が必要)では、インターランド社の顧客から、サイトに悪意のあるスクリプトが見つかったという報告が相次いでいる。

[日本語版:鎌田真由子/湯田賢司]日本語版関連記事

http://www.hotwired.co.jp/news/news/culture/story/20030904207.html SCOグループのサイトに再びDoS攻撃、犯人はリナックス支持者?

http://www.hotwired.co.jp/news/news/technology/story/20030903301.html 『MSブラスター』ワーム感染から復旧できないユーザーが続出

http://www.hotwired.co.jp/news/news/technology/story/20030821306.html 続くウイルス攻撃——問われるマイクロソフト社の責任

http://www.hotwired.co.jp/news/news/technology/story/20030820301.html この1週間で4つめのワーム『ソービッグF』発生

http://www.hotwired.co.jp/news/news/technology/story/20030820302.html 『MSブラスター』を削除する変種ワームが登場

http://www.hotwired.co.jp/news/news/technology/story/20030818303.html 懸念される『ブラスター』類似の攻撃

http://www.hotwired.co.jp/news/news/technology/story/20030718301.html ウィンドウズにまた深刻な欠陥:シスコの『IOS』にもセキュリティーホール

http://www.hotwired.co.jp/news/news/culture/story/20030701201.html 名うてのハッカーたちによるハッキング情報満載の新刊


WIRED NEWSのメール購読申込みは http://www.hotwired.co.jp/reception/index.html こちらへ


(WIRED)

http://headlines.yahoo.co.jp/hl?a=20030908-00000001-wir-sci

最新のニュース記事一覧
お問い合わせ