悪意のあるコードとの「もぐらたたきゲーム」が続いています。malicious Gumblar domains からの自動ダウンロード攻撃の件で、セキュリティベンダーがドメインとマルウェアの検出をようやく開始したばかりというのに、攻撃者たちはすでに古いドメインを捨て、新しい Martuz.cn を立ち上げたようです。Who.is で調べたところ、このドメインは英国に存在し、IP アドレスは 95.129.x.x とのこと。現在、Web サイトに仕組まれている新しい JavaScriptは以前よりもわかりにくくなり、IT マネージャや Web 管理者でも攻撃に気づかないケースが増えています。これは、ドメイン名をそのまま記述するのではなく、ドメイン名の一部を変数で置き換えるという方法によって、攻撃者がこのわかりにくさを容易に変更できるためです。しかも、新しい悪意のある JavaScript はユーザーが使用しているブラウザの種類をチェックする機能を備えており、異なるペイロードを送り込むようにしています。これは、ブラウザに装備されている悪質・有害ドメインのブラックリストを迂回するのが目的です。

自動ダウンロードされるマルウェアは、ブラウザプラグインの脆弱性など、システムに存在する多くの脆弱性に対して攻撃を仕掛けます。こうした攻撃のリスクを最小限に抑えるには、上に述べた製品に限らず、サードパーティ製のアプリケーションを常に最新のバージョンに更新しておくことが重要です。

今回、これほど多くの Web サイトがいっせいに攻撃を受けているのはいったいどのような手口によるものでしょうか。SQL インジェクションエラーによるものだったり、ホスティング会社のバックエンドが直接ハッキングされているケースも少なくありませんが、今回はむしろ Webサイト管理者が保有する FTP パスワードが奪取されていることが主な原因のようです。いずれにせよ、管理者が FTP パスワードを変更して不正侵入を阻止しない限り、攻撃コードは次々と姿を変えて生き延びることになります。IT マネージャや Web 管理者の方は、契約しているホスティング会社と協力して自身の Web サイトが感染していないかどうか確認するようにしてください。

 シマンテックのウイルス対策製品は、これらの悪質なコードやマルウェアのいくつかを Bloodhound.Exploit.196、Trojan.Pidief.C、Bloodhound.PDF.7、 Infostealer.Daonol として検出します。しかしこれらのドメインや、Web サイトに仕組まれている悪質な JavaScript は、まるでもぐらたたきゲームのように姿を変えながらあちこちに出現するものと予想されます。ユーザーの方が今すぐ行える対策としては、IPS（侵入防止システム）やノートン ブラウザ プロテクション（ブラウザ保護機能）を搭載した最新のノートン製品、あるいは IPS 機能を搭載した Symantec Endpoint Protection をインストールること、そしてサードパーティ製アプリケーションに最新のパッチを適用することなどがあります。

謝辞: 今回の脅威を解析していただいた Nishant Doshi 氏に感謝いたします。

この記事は Security Response Blog（英語）にて掲載された内容を日本向けに編集された記事です。

本文はこちら（英語）