米国のセキュリティ対策企業ウェブセンス社は、6月はじめに確認されたWeb改ざん攻撃についてブログ上で解説しました。同社が「Nine-Ball(ナインボール)」と名づけた攻撃は、改ざんされた正規のWebサイトを経由して、サイトを閲覧したユーザーにマルウェアを感染させるということです。複数のリダイレクトを繰り返し最終的な攻撃サイトに誘導するのが特徴で、「ninetoraq.in」が最終的な攻撃サイトになっていたことから、「Nine-Ball(ナインボール)」と名づけられました。
・Webウィルス「Nine-Ball」が依然猛威、3万サイト以上で確認(ITPro)
記事によると、Nine-Ballの攻撃の概要は以下の通りです。
(1)攻撃者はシステムに侵入し、正規のWebサイトのページを改ざん
(2)改ざんされたWebページには悪意あるJavaScriptが埋め込まれており、ユーザーが閲覧すると、マルウェアをダウンロードさせる悪意あるWebサイトに誘導される
(3)誘導先のサイトでは、Microsoft Data Access Component(MDAC)やAdobe Reader、QuickTimeといったソフトウェアの脆弱性が悪用されており、脆弱性の修正パッチを適用していないPCでサイトを閲覧すると、ユーザーの個人情報を盗み出すトロイの木馬などのマルウェアに気づかないうちに感染させられる恐れがある
Nine-Ballの特徴の一つは、改ざんされたサイト数が多いこと。記事によると、6月21日時点では、改ざんされた正規サイトは3万件以上確認されているということです。
また、マルウェアをダウンロードさせるための悪意あるWebサイトに誘導されるまでに、複数のサイトを経由させる点も特徴です。
さらに、悪意あるWebサイトが表示されるのは最初の1回のみで、同じIPアドレスからアクセスすると2回目以降は検索サイト「ask.com」サイトに誘導され、攻撃の正体を隠そうとする特徴もあるということです。
ウィルス感染の被害を最小限に防ぐためにも、ソフトウェアの脆弱性を解消するためのアップデートや、セキュリティ対策ソフトのウィルス定義ファイルを最新にするといった、基本的なセキュリティ対策を必ず行いましょう。
