Nine-Ballとは、正規のWebサイトを改ざんして、サイトを閲覧したユーザーにマルウェアを感染させる攻撃の一種で、米国のセキュリティ対策企業ウェブセンス社が名づけたもの。複数のリダイレクトを繰り返し最終的な攻撃サイトに誘導するのが特徴で、「ninetoraq.in」が最終的な攻撃サイトになっていたことから、Nine-Ballと名づけられた。
Nine-Ballの攻撃の概要は、攻撃者がシステムに侵入し、正規のWebサイトのページを改ざんする。
改ざんされたWebページには悪意あるJavaScriptが埋め込まれており、ユーザーが閲覧すると、マルウェアをダウンロードさせる悪意あるWebサイトに誘導される。誘導先のサイトは、Microsoft Data Access Component(MDAC)やAdobe Reader、QuickTimeといったソフトウェアの脆弱性が悪用されており、脆弱性の修正パッチを適用していないPCでサイトを閲覧すると、ユーザーの個人情報を盗み出すトロイの木馬などのマルウェアに気づかないうちに感染させられる恐れがある。
経由するサイトや攻撃用ページはアクセスするユーザーによって異なる。また、攻撃用ページが表示されるのは最初のアクセスのみで、同一のIPアドレスからアクセスすると、2回目以降は検索サイト「ask.com」サイトに誘導され、攻撃の正体を隠そうとする特徴がある。
Nine-Ballによって改ざんされたWebサイトは多数にわたっており、感染拡大が懸念されている。マルウェア感染の被害を最小限に防ぐためにも、ソフトウェアの脆弱性を解消するためのアップデートや、セキュリティ対策ソフトのウィルス定義ファイルを最新にするといった、基本的なセキュリティ対策を行う必要がある。
