 |
|
|
6月28日、JPCERT/CCは、MPackと呼ばれる攻撃ツールによる被害が主に海外で増加していると注意喚起を行った。
MPackは、サーバ上の管理プログラムと実際にクライアントコンピュータ上で実行される攻撃コードから構成され、海外ではウェブサイトから購入することもできることから、今後日本でもMPackによる攻撃の増加が懸念される。
攻撃コードは、何らかの方法でサーバに侵入した攻撃者が、攻撃コードを仕込んだhidden属性のiframeをHTMLファイルに記述する。このページを開いた被害者は、攻撃コードを実行してしまう。このとき、被害者のOSやブラウザの情報を読み取り、既知の脆弱性に対して攻撃をしかけるという。
MPackによる攻撃は、正規のHTMLを書き換える方法のほかに、スパムによる攻撃コード入りサイトに誘導したり、クロスサイトスクリプティングによる方法が考えられるそうだ。
対策としては、サーバ管理者はウェブサイトの改ざんをチェックすること。とくに、見知らぬドメインやIPアドレスを参照するiframeやhidden属性が設定されたiframeをチェックする必要がある。エンドユーザは、OSとアプリケーションを最新の状態に保つこと、ウィルス対策ソフトの導入などの対策が必要だ。
JPCERT/CCの分析では、以下の脆弱性への攻撃の可能性を指摘している。
MS06-014, CVE-2006-0003(MDAC の脆弱性)
MS06-006, CVE-2006-0005(Windows Media Player の脆弱性)
MS06-044, CVE-2006-3643(Microsoft 管理コンソール (MMC) の脆弱性)
MS06-071, CVE-2006-5745(XML コアサービスの脆弱性)
MS06-057, CVE-2006-3730(Window シェルのリモートコードの脆弱性)
CVE-2006-5198, VU#512804(WinZip 等の FileView AcviveX コントロールに複数の脆弱性)
CVE-2007-0015, JVNTA07-005A, VU#442497(Apple QuickTime の脆弱性)
MS07-017, CVE-2007-0038(Windows のアニメーションカーソルの脆弱性)
なお、MPackの攻撃コードはモジュールとして追加が可能なため、攻撃される脆弱性が増える可能性もある。 |
|
| (中尾真二@RBB 2007年6月28日 19:22) |
|
|
全セミナーリストへ
