2001年8月に確認された「JS_FLUG.A」を調べてみる
Gumblar(いわゆるガンブラー)騒ぎで、「Web サイトを閲覧させて攻撃コードを実行させる」手法が広く認知されたのかなーと思う今日この頃です。過去 2005 年頃の SQL インジェクションによるウェブサイト大量改ざんや、2007 年頃に MPack のようなツールキットでこの手法を悪用しており、当然 Gumblar が最初にこの手法を悪用したわけではありません。では、最初にこの手法が確認されたのはいつだろう?と思い、以前調べたことがあります。その時は、「2001 年 9 月に登場した Nimda ワームが最初にこの手法を悪用した」という結論に至りました。
しかし、Nimda ワームより早く「Web サイトを閲覧させて攻撃コードを実行させる」手法を悪用した不正プログラム「JS_FLUG.A」の存在を知りました。当時はセキュリティの「セ」の字も考えていなかったので、この不正プログラムは知りませんでした。ということで、この不正プログラムについて調べてみました。なお、単純に興味からこの不正プログラムを調べただけであり、現在攻撃に悪用されているから調べたわけではありません。
もし「JS_FLUG.A」よりも古い不正プログラムや事例をご存知の方がいたら教えてください。
不正プログラム「JS_FLUG.A」
2001年8月に Webサイト「プライスロト」が改ざんされ、CVE-2000-1061 の脆弱性を悪用する攻撃コードが埋め込まれたとのこと。独立行政法人 情報処理推進機構(IPA)*1が同時期に被害情報を発信していることから、被害を受けた利用者も多数いたのではないかと推測します。
悪用された脆弱性:CVE-2000-1061
公開情報を読む限りだと、CVE-2000-1061 は、本来署名付きの Java Applet からしか操作できない ActiveX コントロールを、署名なし Java Applet から操作できてしまう脆弱性のようです。この脆弱性は 2000 年 10 月に公開された修正プログラム MS00-075 で修正されています。本来ウェブサイト上で使用が制限されるべきオブジェクト(オブジェクトのメソッドも含む)が操作できてしまう点から、今だ悪用され続けている MS06-014 で修正された脆弱性 CVE-2006-0003 と似た印象を受けました。
技術詳細に関しては、BugTraq の投稿(アーカイブ)、Java House Mailing List の投稿を参照してください。
「JS_FLUG.A」に関するウイルス対策ソフトベンダの情報
埋め込まれた攻撃コードを、各ウイルス対策ソフトベンダは「JS_FLUG.A」(トレンドマイクロ社)、「Trojan.JS.Offensive」(シマンテック社)、「JS/Offensive」(マカフィー社) と呼称しています(以後、「JS_FLUG.A」)。当時のトレンドマイクロ社、マカフィー社の公開情報を読むと、「JS_FLUG.A」を "新種" と表現していることから、「JS_FLUG.A」以前には「Web サイトを閲覧させて攻撃コードを実行させる」手法を悪用した不正プログラムはないと読み取れますね。
<
セキュリティニュース | トレンドマイクロ>
ランキングにあらわれないトピックとしては 8月18〜20日にかけて、あるサイトがハッカーによって不正なJavaScriptを仕込まれ、同サイトを閲覧したユーザが被害を受けるという事件がありました。この事件で使用された不正スクリプトはWebサイトを閲覧するだけで感染してしまうという非常に画期的な新種ウイルスであったため、大きな話題となりました
新種の悪質プログラムに関する情報について
Webを介して Windowsの挙動に障害をあたえる悪質なプログラムに対する対処法
日本ネットワークアソシエイツ株式会社(本社:東京都渋谷区道玄坂1-12-1 渋谷マークシティウエスト20F、代表取締役社長:加藤 孝博、略称:NAC)のAVERTウイルス解析チームは、日本の多くのユーザが利用する商用Webサイトに、悪意の第三者により、悪質プログラムが導入されたと予測される現象が報告されており、弊社にも数多くの被害報告が寄せられ、既に対処法を公表したと発表しました。
http://www.mcafee.com/japan/about/prelease/pr_01B.asp?pr=01/08/20-2
まとめ
公開情報を色々と見ていると、「JS_FLUG.A」が「Web サイトを閲覧させて攻撃コードを実行させる」手法を初めて悪用したようですね。
僕自身、セキュリティに携わってから、まだ十年経っていないため、知らないことが多くあります。インターネットが普及し出した当初からセキュリティに関わっている方とお話すると、過去から現在までの経緯が背景にあるため、非常に説得力があるなーと感じます。現在起こっている事象を把握することも大事ですが、過去を振り返ってみるのも大事だと思いました。
おまけ:「JS_FLUG.A」を知ったきっかけ
「JS_FLUG.A」を知ったキッカケは、内田勝也氏、高橋正和氏著「有害プログラム ― その分類・メカニズム・対策」の以下の記述です。
5.2.3 Java Script 型ウイルス
Java Script 型ウイルスでは,ブラウザのセキュリティ上の脆弱性を利用している。
p.88 5.2.3 Java Script 型ウイルス, 有害プログラム―その分類・メカニズム・対策
2001 年 8 月に報告されているケースでは,Windows で利用するマイクロソフト社の Internet Explorer (IE) である Web にアクセスすると悪意のあるJava Script が実行され,それによって,パソコンのレジストリファイルが書き換えられてしまい,アプリケーションの起動,設定変更,システムの終了ができなくなる。このため,強制終了して,再度,起動すると,起動時に下記のメッセージが表示される。
「If you have any trouble please email:findlu@21cn.com. note:not for japanese&dog&pig」
このため,全くパソコンを利用できなくなる。
参考情報
- http://www.microsoft.com/japan/technet/security/bulletin/ms00-075.mspx
- http://java-house.jp/ml/archive/j-h-b/037187.html
- セキュリティホールmemoメーリングリスト:[memo:1042]新種のウイルス?
- 【FUCK Japanese の概要とその修復ツールの解説】(執筆:kei100) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
- プライスロト、Webを改ざんされる~悪意あるJavaスクリプトにより被害者続出~
- http://itpro.nikkeibp.co.jp/word/page/10006191/
*1:旧 情報処理振興事業協会