【レポート】

Mpackから探るWeb経由の攻撃

1 Mpack、その3つの特徴

勝海直人
 
  • <<
  • <

1/4

6月下旬から7月上旬にかけて、Mpack(※1)というWebサイト攻撃コード詰め合わせパックとでも言うべきツールが話題となった。Mpackそのものが危険であるように紹介されていることもあるが、実際はそうではない。Mpackは2006年から存在が確認されており、またMpackで悪用されている脆弱性は既知のものである。ただし、Mpackは最近主流となっている、Webサイト経由の攻撃の特徴をよく表していると言える。Mpackの事例を見ることで、Webサイト経由の攻撃がどのようなものであるか見ていくこととする。

※1: PandaLabsが公開している資料がMpack について、詳しく解説している(PDF)

最近のWebサイト経由の攻撃

最近のWebサイト経由の攻撃の特徴は、大きく3つ挙げられる。

  1. Web サイトに攻撃コードを取得するiframeタグを挿入する
  2. 攻撃コードがJavaScriptで書かれる。なお、この時のJavaScrtipコードは難読化(Obfuscation)されている
  3. 攻撃コードで悪用する脆弱性はブラウザ関連のものである

特徴 1

Webサイト経由の攻撃は、その多くがiframeタグをWebページに挿入することで実行される。挿入されたiframeタグはブラウザに表示されないように設定されている(下記にMpackサーバへのiframeタグの例を記載する)。

<IFRAME name='StatPage' src='Mpack サーバのURL' width=5 height=5 style='display:none'>

Mpackの事例では、このiframeタグの挿入がFTPブルートフォースにより実行されたとの考察がある点も興味深い。Mpackの事例では、短期間で数千サイトにMpackサーバにアクセスするiframeタグが挿入されたことが確認されている。

一部ではCross Site Scripting (XSS)を悪用することで、iframeタグが挿入されたとされているが、挿入されたWebサイトには、シンプルな構成のWebサイトもあることから、XSSでiframeタグが挿入されたとは考えにくい。各SOCからの統計レポート(※2)でも、FTPまたはSSHブルートフォース攻撃は多く検知されていることから、ブルートフォース攻撃でWebサーバに侵入されてiframeタグが挿入されたことは納得できる。iframeタグの挿入については、Webサイトそのものの脆弱性ではなく、Webサーバそのもののセキュリティに問題があったと言える。

※2:
JSOC 侵入傾向分析レポート Vol.8(PDF)
ISS SOC情報分析四半期レポート 2007年第1四半期(ダイジェスト版) (PDF)
ISS SOC情報分析四半期レポート 2006年第4四半期(ダイジェスト版) (PDF)

次のページでは2つ目の特徴である「難読化」について解説する。

  • <<
  • <

1/4

インデックス

目次
(1) Mpack、その3つの特徴
(2) 難読化でIDS/IPSを回避
(3) Webコンテンツで利用するコンポーネントも悪用される
(4) Webからの攻撃に対抗するには


転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

ADI、中間周波数レシーバ/トランスミッタの新製品を発表
[19:31 9/26] テクノロジー
シャープ、プラズマクラスター技術による結核感染リスクの低減効果を発表
[19:20 9/26] ヘルスケア
ON Semi、低照度産業用イメージングに適した8メガピクセルイメージセンサ
[19:11 9/26] テクノロジー
[沢村一樹]朝ドラ初出演に抱負?「とにかくさわやかに」
[19:09 9/26] エンタメ
日本鉱物科学会が「日本の石」にひすい選定
[19:00 9/26] テクノロジー

求人情報