悪名高い Blackhole 悪用ツールキットの勢いは衰えを知りません。最近も、数々の新機能を搭載するバージョン 2.0 のリリースを作成者が予告し、メディアの注目を集めたところです。先日シマンテックは、Blackhole 悪用ツールキットのバージョン 2.0 らしきものがホストされている Web サイトを発見しました。驚くべき発見ですが、いつものようにすぐに調査を始めたところ、Web サイトに不審な点があることに気がつきました。
図 1. 悪用ツールキットの(不審な)統計ページ
図 1 を見ると、ページの一番下のラベルに「Blackhole v.2.0」とはっきり書かれていることがわかります。ところが、その違いを除けば、ページの残りの部分は旧バージョンとほとんど差がありません。
図 2. 悪用ツールキットの旧バージョンの統計ページ
どちらのページも、メインのコンテンツセクションは同じですが、新しいと称するバージョン(図 1)の上部には、ロシア語が書かれた水色のボックスが表示されています。もともとは[Blackhole]メニューが並んでいる位置です。この部分のテキストの翻訳は、およそ以下のとおりです。
広告: [削除済み] - iframe / javascript コードの暗号化サービス。
広告: シリアにあるデータセンターの専用サーバーを利用、プロジェクトの内容は不問。マーケットでの実績は 6 年以上。品質は保証付き!(^^)
[削除済み]
広告: 独自のドメイン登録サービスパック。どんなトピックも可。高速、快適、安全です。[削除済み]
このページは「Blackhole 2.0」という名前を餌にしてユーザーのアクセスを誘い、広告を読ませようとしているだけであることが、これで明らかになりました。この手口は目新しいものではありません。スパマーが有名人や人気製品の名前、あるいは最新ニュースを使ってユーザーの興味を誘い、スパムメールを読ませようとするのは、よくあることです。しかし、その手口に悪用ツールキットの知名度を利用するのは異例です。
では、これはいったい何の広告なのでしょうか。一方はサーバーホスティング用、もう一方は JavaScript と iframe の暗号化用という、2 種類のドメイン名登録サービスです。総じてこのようなサービスは、サイバー犯罪活動のホスティングに使える理想的なインフラとして、サイバー犯罪者に利用されています。実際、サーバーホスティングと暗号化を広告しているどちらの Web サイトも、不正行為を狙ったインフラを提供するサイトとして広く知られています。
Blackhole 悪用ツールキット 2.0 を称するこのページが偽造であることは、以下の点からも明らかです。
- このページの名前は bhstat.php ですが、これは旧バージョンのファイル名として知られており、認証なしでアクセスできます。
- Blackhole の PHP ページ以外は、この Web サイトに存在しません。
- 都合の良いことに、[Exploits]セクション(画像では[ЭКСПЛОИТЫ])では Java パックが報告されています。これはバージョン 2.0 の説明でも言及されていましたが、報告されているのは悪用パック作成者が公開したものです。
以上のことから、これは Blackhole 悪用キット 2.0 の新しいページではないと結論付けできます。現行の Blackhole 悪用キットページを書き換え、新しいページを装っているだけです。このページを作成した人物はバージョン 2.0 を所有していないばかりか、おそらく Blackhole とは何の関係もなく、その知名度を利用して注目を集め、自分たちのサービスを広告しようとしているにすぎません。その標的は明らかに、悪用ツールキットの利用に関心を持ちそのホスト先インフラを必要としているサイバー犯罪者です。
はたして、Blackhole の作成者は著作権違反で訴えたりしないものでしょうか。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。