Enterprise Watch
バックナンバー

“メンテナンス付き攻撃ツール” 新しい脅威「MPack」


 「バージョンアップ、サポート付き」という通常のアプリケーションのようなネット攻撃ツールが出現した。「MPack」と呼ばれるこのツールは、複数の攻撃コードをパッケージにしたもので、強力な管理機能を特徴とする。6月に入ってイタリアのサイトを中心に被害が広がっており、改ざんされたWebサイトの数が1万を超えたという報告もある。


 攻撃者は管理プログラムを利用して、感染したユーザーに関する情報を収集し、データベースサーバーに格納する。

 攻撃コードは、「Internet Explorer」「Firefox」「Opera」「QuickTime」などさまざまなアプリケーションの脆弱性に合わせた複数のものをそろえており、ユーザーの環境に合わせて使い分ける。モジュール式なので、新しい脆弱性が発見されれば、それを狙ったコードを追加できる。

 MPackの被害が広がったのは6月中旬で、セキュリティ企業が一斉に警告を出した。トレンドマイクロの6月18日の警告によると、イタリアで1174のWebサイト改ざんを確認したという。WebSenseも、6月18日時点で1万以上のWebサイトが感染したと報告している。また、英Sophosの6月度セキュリティ報告によると、IFRAMEは全体の64%を占め、マルウェアのトップとなった。当初、イタリアドメインの英語サイトが多くを占めたが、欧州を中心に被害が広がっており、日本でもJPCERT/CCが6月28日に警告を出している。


 MPackを最初に発見したというPanda Softwareは、「MPack Uncovered」と題したMPackに関する詳細なレポートを公開している。それによると、最初に確認されたのは2006年12月で、それ以降定期的にバージョンアップしているという。

 最新バージョンは6月19日に確認された「0.9」で、「ほぼ月に1度のペースで更新されている」(Panda)という。MPackの作成者は「Dream Coders Team」と名乗っており、販売はロシアの地下組織を通じて行われているという。価格は1000ドルで、販売時点のウイルス対策ソフトを回避できると保証している。1年間無償サポートつきで、1件あたり50~100ドルで新しい攻撃コードを追加できるという。

 このほかにも、Symantecが、MPackに含まれているトロイの木馬「Trojan.Srizbi」について、「初のカーネルモードで動くスパイウェアと報告している。こうなると、通常のセキュリティソフトでは対応できない。また、VeriSignのセキュリティ部門iDefenseの担当者は、「成功率50%」としている。

 MPackは正規のWebサイト改ざん、複数のアプリケーションを狙った点、バージョンアップと管理機能など、インターネットセキュリティにとって新しい脅威となっている。さらに、Symantecは7月5日、MPackが150ドルの“85%オフ価格”で販売されていると報告した。攻撃の急増が懸念されている。

 MPackについては、すでに米連邦捜査局(FBI)が調査に乗り出しているといわれており、セキュリティ各社も分析と対策を進めている。たとえば、Webサーバーを乗っ取る手法については、SANS InstituteがApacheサーバーの設定プロセスに原因があることを突き止めている。

 JPCERTでは、ユーザーに対しては、OSとアプリケーションが最新の状態かどうかを確認するよう、サーバー管理者に対しては、Webサイト内のコンテンツが改ざんされていないことを確認するようアドバイスしている。なお、Pandaは、無料でスキャンできるWebツール「TotalScan」を紹介している。



URL
  トレンドマイクロの報告
  http://jp.trendmicro.com/jp/threat/security_news/virusnews/article/20070619064518.html
  米WebSenseの報告
  http://www.websense.com/securitylabs/alerts/alert.php?AlertID=782
  英Sophosの報告
  http://www.sophos.co.jp/pressoffice/news/articles/2007/07/toptenjun07.html
  米Panda Softwareの「MPack Uncovered」
  http://blogs.pandasoftware.com/blogs/images/PandaLabs/2007/05/11/MPack.pdf
  米Symantecの報告
  http://www.symantec.com/enterprise/security_response/weblog/2007/06/spam_from_the_kernel_fullkerne.html
  http://www.symantec.com/enterprise/security_response/weblog/2007/07/mpack_clearance_sale.html
  JPCERT/CC
  http://www.jpcert.or.jp/at/2007/at070016.txt
  SANS Instituteの報告
  http://isc.sans.org/diary.html?storyid=3078
  TotalScan
  http://www.infectedornot.com


( 石井 一志 )

Enterprise Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.