この脅威は、どのようにしてコンピュータに侵入しますか?

オープン・ソース・データベース「MySQL」を使用したWebサイトに不正なスクリプトが組み込まれた場合、このWebサイトを閲覧したユーザは、様々な不正プログラムに感染することとなります。今回の攻撃においてユーザは、不正なスクリプトにより、不正なURL「http://<省略>.robint.us/u.js」、あるいは「http://<省略>77.in/yahoo.js」に誘導されました。

「http://<省略>.robint.us/u.js」は、「SQLインジェクション」というセキュリティの脆弱性を突く手口による1件目の大規模改ざん攻撃に関連しており、この攻撃で10万以上のWebサイトが被害を受けたといいます。この中には、米日刊経済紙「ウォール・ストリート・ジャーナル」やイスラエルの日刊英字紙「エルサレム・ポスト」といった主要なニュースサイトも含まれていたといいます。

「http://<省略>77.in/yahoo.js」は、SQLインジェクションによる2件目の大規模改ざん攻撃に関連しており、この攻撃は1件目より規模が小さく、およそ1000におよぶWebサイトが改ざんされたといいます。

この脅威は、どのような攻撃をユーザに仕掛けますか?

SQLインジェクションによる大規模Webサイト改ざん攻撃は2件発生していますが、どちらの事例においても、同様の不正活動が実行されています。

1件目の事例では、改ざんされたWebサイトの閲覧者は、トレンドマイクロの製品で「TROJ_DLOAD.VAC」として検出されるトロイの木馬型不正プログラムの「ダウンローダ」をダウンロードすることとなります。2件目の事例では、改ざんされたWebサイトの閲覧者は、不正なスクリプトの「JS_IFRAME.AUW」および「HTML_SHELLLOAD.B」をダウンロード後、実行してしまい、その後、「TROJ_SMALL.NSZ」がダウンロードされ、実行されることになります。「TROJ_SMALL.NSZ」はさらに、「TSPY_LEGMIR.JW」をダウンロードします。

この脅威は、どのような影響をユーザに与えますか?

「TSPY_GAMETHI.QJB」および「TSPY_LEGMIR.JW」は、感染コンピュータからユーザ名やパスワードといったオンラインゲームに関連する個人情報を収集するトロイの木馬型スパイウェアです。これらの不正プログラムは特に、「AION」や「Dungeon Fighter Online(アラド戦記)」、「World of Warcraft(ワールド オブ ウォークラフト)」のオンラインゲームユーザを標的としています。これらのオンラインゲームは、世界中のユーザがバーチャル世界で同時にプレイする「多人数同時参加型オンラインゲーム(MMORPG)」です。

サイバー犯罪者がこの攻撃を仕掛けた動機はなんですか?

サイバー犯罪者は、前述のオンラインゲームに関連するユーザの個人情報を狙っています。さまざまなMMORPGが、ゲーム内のみで通用する「バーチャル通貨」や「商品」といった形をとった取引に対して現実の通貨を使うことをユーザに認めているため、サイバー犯罪者は、オンラインゲームに関する個人情報をマネーロンダリングを含む詐欺行為やその他の違法行為に利用していると、研究者は2008年のトレンドマイクロ白書「Virtual Worlds」にて明らかにしました。

大流行中のオンラインゲームのバーチャル世界には、「バーチャル通貨」や「商品」とは異なる形をとった経済が他にも2つあります。この2つ「ポイント」および「特別または珍しいアイテム」は、他のオンラインゲームユーザをどう使うかにも影響を与えます。ゲーム中の環境で強いクラン(「ギルド」としても知られる)は、ポイントの蓄積や、特別または珍しいアイテムの獲得といった目的のために、他のオンラインゲームユーザを雇うことができます。ポイントや、特別または珍しいアイテムは、他のオンラインゲームユーザへの報酬や、他クランとの取引のうちのいずれかに使うことができます。

この脅威は、今までの脅威となにが違いますか?

今回のSQLインジェクション攻撃は、偽装の手口も含んでいたようです。それが「エルサレム・ポスト」の事例に該当し、オンラインのニュースサイトである同新聞社自身により報告されたのは、「大規模Web改ざんが起きる約2週間前に、親パレスチナのサイバー犯罪者が同新聞社のWebサイトを乗っ取ろうとした」ということでした。しかし、こういった最近の大規模改ざんでは、共通したある特徴を持つ特定のWebサイトが標的となっている点に、ユーザは留意しなければなりません。その特徴とは、標的となるWebサイトは、マイクロソフトのインターネット・サーバ・ソフトウェア「インターネットインフォメーションサービス (IIS)」により構築されたサーバで、同社が開発・提供しているWebアプリケーションフレームワーク「ASP.NET」を使用していることです。

トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?

トレンドマイクロ製品をご利用のユーザは、クラウド型技術と連帯した相関分析により、今回の脅威から保護されています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」では、「ファイルレピュテーション」技術によって不正なファイル「TROJ_DLOAD.VAC」や「TSPY_GAMETHI.QJB」、「JS_IFRAME.AUW」、「HTML_SHELLLOAD.B」、「TROJ_SMALL.NSZ」、「TSPY_LEGMIR.JW」を検知し実行を防ぎます。そして、「Web レピュテーション」技術により、不正なWebサイトへのアクセスをブロックします。さらに、感染コンピュータから収集した情報をコマンド&コントロール(C&C)サーバへアップロードしたり、または、C&Cサーバから感染コンピュータへ追加の不正プログラムをダウンロードする、「phone-home」機能の実行も妨げます。

コンピュータを攻撃から守るにはどうすればいいのですか?

閲覧するWebサイトに対してユーザが慎重になることが必要不可欠です。一方で、「タワー オブ アイオン」、「アラド戦記」、そして「ワールド オブ ウォークラフト」に熱中しているオンラインゲームユーザは、破られにくい安全なパスワードを使用し、必要に応じてこれを変更することによって、これらのゲームアカウントのセキュリティを守るように注意を払う必要があります。

また、トレンドマイクロ製品をご利用でないユーザは、無料ツール「Trend Micro HouseCall」を利用して、この脅威に感染していないかどうか確認することをお勧めします。この無料サービスは、感染コンピュータからすべてのウイルス、トロイの木馬型不正プログラム、ワーム、迷惑なWebブラウザのプラグインおよび他の不正プログラムを特定し、除去します。