本頁作成日: 2004年6月23日
最終更新日: 2009年7月17日

the Incidents 6



 2004.06.23, 2004.07.02, 2008.10.10, 2009.07.17
 ■ なりすましたWebコンテンツ(画像等)にご注意 ■

画像等になりすまし、Windows 版 Internet Explorer (以下IE)、
または IE コンポーネントを利用したブラウザでそれを開くと、
無数の他サイトを勝手にPop-Upさせられる悪意あるファイルが、
このところ、いろいろな Webサイトに仕掛けられている模様です。
(2004年5月以降、お問い合わせが急増しています。当方、サポート担当ではありません

今回問題になっている事例の多くは、画像掲示板へ投稿された画像であり、
次の二つに大別されます。

  (1)見た目は普通の「.jpg(.jpeg)、.gif」拡張子のファイルだが、
    中身はバイナリではなく、ASCII 。HTMLファイルの拡張子を「.jpg(.jpeg)、.gif」に
    変えただけのもの。

  (2)通常の画像ファイルに何かを埋め込んだもの( ※1, ※2, ※3, ※4 )。

多くの場合、Pop-Up参照先に Java や ActiveX コントロールを悪用する記述が
仕掛けられていて、それらに無防備であれば、IE のスタートページや、
ダイヤルアップネットワーク等の設定が変更されてしまう(自動架電)といった、
場合によっては深刻な被害に遭う恐れがあります。

 
 2004.06.28
  ※1:
     この他に、code size 値を偽って IE をクラッシュさせる姑息な GIF ファイルも、
     サイトによっては確認されているようです(こちらは IE を起動し直せば問題なし)。

 
 2004.07.02
  ※2:
     この他に、Download.Ject という手口を使って、Web 上のファイルのダウンロード時に
     悪意あるファイルを紛れ込ませてダウンロードさせられ、それをマイコンピュータゾーンで
     実行されてしまうといったケースも確認されているようです。
     こちらは、Web サーバーが Microsoft Internet Information Services など、
     Microsoft 社製品(詳細はMSサイト等で別途確認要)である場合に限りますが、
     これの副生成物である悪意あるファイルを画像掲示板等に Upload される手口が想定され、
     併せて注意が必要です。

 
 2004.11.23
  ※3:
     Microsoft 社の ISA Server 2000 および Proxy Server 2.0 に脆弱性があり、
     これらを利用することでも、Webコンテンツのなりすましが行われる可能性があることが、
     ベンダーから公表されている模様です。

        リンク先は当サイト外です。 Microsoft Security/ 絵でみるセキュリティ情報/
        MS04-039 : ISA Server 2000 および Proxy Server 2.0 の脆弱性により、
        インターネット コンテンツのなりすましが行われる (888258)
        http://www.microsoft.com/japan/security/bulletins/ms04-039e.mspx

 
 2008.10.10
  ※4:
     ごく普通の画像ファイル(等)に何かを忍び込ませる。
     通常はファイルに関連付けられたアプリケーションソフトウェアが開き、
     目の前には、ひとつの絵(など)しか現れない。
     ところが、ある種のアプリケーションがそのファイルを開くと、もしくはいくつかまとめて開くと、
     まったく別の挙動を示すファイルが生成される。

     ファイルに何かを“埋め込み”すること自体は結構昔から行われていたようですね。
     つい先日も、画像ファイルへのウイルスの埋め込みが発見された模様です。

        リンク先は当サイト外です。 IT Pro/
        「ウイルス入り画像ファイル」にご用心――エフ・セキュア
        http://itpro.nikkeibp.co.jp/article/NEWS/20081009/316598/




 このWebコンテンツ(ファイル)の問題点


1.IEが勘違いして、Pop-Up参照先を開いてしまう

   画像ファイルなら、その画像を表示して終わればよさそうですが、
   IEは、そのファイルを Webページとしてブラウズしようとするので、
   結果、多くの場合、とんでもないサイトに飛ばされることになります。


2.アンチウィルスでは検出されない

   中身が「他サイトをPop-Upする記述」だけでは、アンチウィルスは、
   そのファイルを検出対象にできません。
   そのため、よく、アドバイザリがWeb上配布物のダウンロードの際に
   推奨している手順、ここでいう、画像掲示板上のハイパーリンクを
   右クリックから、「対象をファイルに保存」でローカルに保存後に
   スキャンしても、何の異常も発見できません


3.ユーザが気付くのは、他サイトが開いてから

   ベンダーである Microsoft 社が何か対策するまでは、
   ユーザーは、勝手に他サイトを開かされる件について、
   何も手立てがないでしょう。



 ベンダーで対策がされるまでの暫定策


1.ご自分のマシンのウィークポイントに対して関心を持ちましょう

   OSやブラウザなど、お使いのコンポーネントの脆弱性情報入手
   修正プログラムの随時適用を(内容は各々実機による)。
   加えて、セキュリティ設定の見直しを(内容は各々実機による)。

   ご参考例(但し、IE6 が主体の内容):
   リンク先は当サイト外です。 Microsoft Security/ ブラウジングと電子メールの安全性を強化する
   http://www.microsoft.com/japan/security/incident/settings.mspx


2.アンチウィルスを常駐する

   (そもそも画像と思わせたファイルが他サイトをPop-Upすること自体が悪意だが)
   Pop-Up参照先で、最後の砦として、悪意あるスクリプトを検出させるのが目的です。


3.サムネイル表示を避ける(Webからダウンロードする時の心構え

   例えばWeb訪問先が、サムネイル表示するかどうか選択できる「良心的」な
   画像掲示板であれば、サムネイル表示をしないようにカスタマイズする。
   (例えActiveスクリプトが無効であっても、IFRAMEだけでできる悪戯があります。)

   そして、画像掲示板上のハイパーリンクを右クリックから、
   「対象をファイルに保存」で、ファイルを一旦、ローカルに保存する。

   JPEG、GIFファイルは、面倒でも、ローカルに保存後 Photo Editor で
   開くことによって、「種類を特定できません」エラーで、ファイルの異常に
   気付くことができるかもしれない。

   そこまでしてダウンロードする気も起こらないファイルは、
   ダウンロードしない方が吉かもしれない。

   『私の所は安全です。信じてください。』などと通り一遍で言うサイトは、
   Webの本質を理解していないので近寄らない方が吉かもしれない。


   また、少なくとも、マイコンピュータゾーンでのサムネイル表示は避けましょう


4.関連付けを、「IE」以外に(マイコンピュータゾーン

   『あ!』と思った時には、すでに、ダウンロードしたファイルを
   ダブルクリックした後ではありませんか。

   拡張子「.htm、.html」などのHTMLファイルは致し方ないにしても、
   それ以外のファイルは、ダブルクリックした時に開くアプリケーションの
   「関連付け」を、IE以外に設定し直しておきましょう。

   例:「.jpg(.jpeg)、.gif」拡張子 → Microsoft Photo Editor


   当然のことながら、シングルクリックでファイルを開いてしまう、
   危なっかしい「Webスタイル」は、やめておきましょう


5.この際、IEの使用をやめる

   上記が面倒なら、他社のブラウザに乗り換える。
   シャレではなく、これはとても有効な手段かもしれません。
   IEコンポーネントを流用しないものを導入しましょう。
   
   但し、その製品の脆弱性情報に絶えず注意をしていきましょう

 
 2009.07.17
  ※5:
        リンク先は当サイト外です。 エフセキュアブログ/ hilyati_alia氏(翻訳:F-Secureスタッフ 中野 恵美子氏)/
        アップデートしたブラウザにお馴染みの攻撃
            |Firefox 3.5が入手可能になり、現在までに世界で2400万回ダウンロードと、
            |すごい速さでホットなダウンロードアイテムとなっている。〜〜
            |〜〜我々の脆弱性アナリストの一人が先日、このビデオを見つけた。
            |同ビデオのタイトルは「Firefox エクスプロイト」となっているが、
            |我々が分析した限り、このエクスプロイトは実際にFirefoxを標的としてはいないようだ。
            |
            |・CVE-2009-1136
            |・CVE-2008-0015
            |・CVE-2008-2463
            |・CVE-2007-0071
            |
            |〜〜よってブラウザ、あるいはWebアプリケーションのバージョンが何であれ、
            |既知の悪意あるWebサイトにはアクセスしないことが大切だ。
        http://blog.f-secure.jp/archives/50256177.html




 2004.06.24
 被害に遭われた方へ


--- 幾度設定を直しても、IEのスタートページが、
    見知らぬサイトに書き換えられてしまう。 ---

こういった場合は、IEのスタートページを書き換えるファイルが、
Windows 起動時からロードされています(スタートアップ登録)。
サービスにまわっていて、それに気付かない場合もあるでしょう。
msconfig で、余計なものがスタートアップ登録されていないか、
確認してみましょう
。また、ダイヤルアップネットワークに、
覚えのない設定アイコンが追加されていないか確認しましょう





--- とある個人の方が、
    被害対策の手順等をとても詳しく纏めていらっしゃいます。 ---

リンク先は当サイト外です。 群青 さんのWebサイト:
アダルトサイト被害対策の部屋
― PCの調子が悪くて困っている人のためのサイト ―
リンク切れ






----- この件について、続報があれば追記していく予定です。 -----





 ■ ご注意 ■

当サイトでの、上記のような記事に速報性はありません。
ご使用のコンピュータの OS や周辺コンポーネント等に纏わる脆弱性情報に
絶えず注目していく必要があります。



  リンク先は当サイト外です。 経済産業省/ 情報セキュリティに関する政策、緊急情報/
    コンピュータウイルス対策基準
    http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm

  リンク先は当サイト外です。 総務省/
    国民のための情報セキュリティサイト
    http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/

  リンク先は当サイト外です。 独立行政法人 情報処理推進機構 セキュリティセンター (IPA/ISEC)
  http://www.ipa.go.jp/security/

  リンク先は当サイト外です。 総務省・経済産業省 連携プロジェクト サイバークリーンセンター
  https://www.ccc.go.jp/

  リンク先は当サイト外です。 有限責任中間法人 JPCERT コーディネーションセンター (JPCERT/CC)         
  http://www.jpcert.or.jp/

  リンク先は当サイト外です。 JEITA 社団法人電子情報技術産業協会/
    パーソナルコンピュータ(PC)安全・安心
    http://home.jeita.or.jp/cgi-bin/page/detail.cgi?n=75&ca=14

  リンク先は当サイト外です。 日本コンピュータセキュリティリサーチ株式会社
  http://www.jcsa.jp/

  リンク先は当サイト外です。 株式会社ラック/
    注意喚起の記事
    https://www.lac.co.jp/lacwatch/alert/

  リンク先は当サイト外です。 エフセキュア株式会社/
    エフセキュアブログ
    http://blog.f-secure.jp/

  リンク先は当サイト外です。 フィッシング対策協議会 (Council of Anti-Phishing Japan)
  http://www.antiphishing.jp/

  リンク先は当サイト外です。 警視庁/ 警視庁について/
    こんなときこそ110番(通報したい時)
    http://www.keishicho.metro.tokyo.jp/jiken_jiko/110/110_110.html
    こんな時は、もう一つの110番(#9110: 悩みごと・相談ごと)
    http://www.keishicho.metro.tokyo.jp/jiken_jiko/110/110_9110.html


ベンダーのサイトなどで定期的な情報収集をされることを強くお勧めします。







目次へ戻る