解析: Kevin Savage
悪質な Android アプリケーションの拡散に影響する悪質な Web インジェクションについては、先日のブログ記事で報告したばかりですが、今度は従来の手口を用いた大規模なインジェクションが確認されています。セキュリティ業界にいれば誰でもよく知っている 1 件のメールアドレスがあります。jamesnorthone@hotmailbox.com というアドレスですが、脆弱な Web アプリケーションに対する大規模 SQL インジェクション攻撃では一貫してこのアドレスがドメインの登録に使われています。悪質な iframe を使うこの大規模 SQL インジェクションは、Lizamoon と称されていました(2011 年に出現した類似の攻撃で使われたドメイン名に由来します)。
ドメインは変わっていますが、大規模な SQL インジェクション攻撃で脆弱なサイトを改ざんし、悪質なコードを含む Web サイトにユーザーを誘導するという手口は同じままです。Google でインデックスに登録された検索結果に基づけば、現在のインジェクション攻撃もかなりの規模です。
この攻撃では 31.210.100.242 という IP アドレスが確認されており、現時点では以下の 4 つのドメインがこの IP アドレスに関連付けられています。
iframe をインジェクトされたサイトにアクセスすると、以下のイベントが発生します。
感染したサイト [リダイレクト] → [hxxp]://njukol.com/r.php [リダイレクト] → [hxxp]://www3.safe-defensefu.com/?f1hlu4a=[エンコードされたデータ] [リダイレクト] → [hxxp]://www1.powermb-security.it.cx/ntzjc62?vjgtl=[エンコードされたデータ] [リダイレクト] → [hxxp]://www1.powermb-security.it.cx/i.html
i.html ファイルには 2 つの攻撃が仕掛けられています。
シマンテックは現在このファイルを解析中であり、解析が済みしだい情報を更新する予定です。
保護対策
シマンテック製品をお使いのお客様は、以下の IPS シグネチャでこの攻撃から保護されています。
この攻撃で悪用されているのは既知の脆弱性であり、すでに修正パッチも公開されています。必ず最新のパッチを適用し、ウイルス定義も最新の状態に保つようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。