2007年10月の初め、マルウェア(バッドウェア)の撲滅に取り組む組織「StopBadware.org」が、現在のオンライン上の脅威について分析したレポートを発表しました。レポートの中で特に重要なのは、Web サイトのハッキング手法として2007年上半期に最も多かったのが、IFRAME と JavaScript を利用した攻撃であるということです。
StopBadware.org によると、IFRAME を利用した攻撃(正規の Web ページ内のフレームに悪意あるページを埋め込むというもの)と JavaScript を利用した攻撃では、Web サイトのソース・コードに新たなコードが埋め込まれます。
「IFRAME によるフレームは、見ても分からないほど小さくすることができるため、感染サイトの訪問者は、その小さなフレームに別のページが読み込まれていることに気付かない。この隠しフレームは、ソース・コードの冒頭か末尾に埋め込まれることが多い」とレポートでは述べられています。
またマルウェアの配布に JavaScript が使用される場合は、不正な活動を見破られないようにしばしばコードがエンコードまたは暗号化されます。ただし、エンコードされたすべての JavaScript が不正であるというわけではありません。正当な目的でエンコードされている場合もあるからです。しかしながら、ハッキングされた可能性のある Web サイトを調べる際には、まずこの点が手がかりになるといいます。
StopBadware.org によると、JavaScript のエンコード方法にはいくつかの基本的な方法があり、それらによって次のような規則性を持った文字列が生成されるため、問題の箇所は容易に見つけることができます。
- パーセント記号の後に2つの文字(例: %AA%BB%CC)
- 「\u」の後に4つの文字(例: \u0048\u0069\u0021)
これらエンコードされたテキストのブロックは複数のパラグラフにまたがって記述される場合があります。一方、暗号化されたコードは規則性がないため発見が困難ですが、判読できないテキストになっているという特徴があります。 通常の JavaScript は英単語に基づく構文を使用していますが、ソース・コードに埋め込まれた暗号化テキストは、全く理解できない文字、数値、記号の羅列になっています。
レポートに例として挙げられている JavaScript 攻撃などのスクリプト攻撃は、チェック・ポイントの侵入防御システムである Web Intelligence に搭載された Malicious Code Protector でブロックすることができます。
また本レポートは、ハッキングされた Web サイトを閲覧したり、ブログや SNS サイトなどに掲載されたリンクをクリックするだけでもマルウェアに感染する可能性があると警告しています。このようなマルウェア配布サイトの多くは、サイト管理者も気付かないうちにハッキングされた正規のサイトです。
StopBadware.org の共同ディレクターを務める Jonathan Zittrain 氏は次のように述べています。「このような事例が増えてきているのは憂慮すべきことです。Web サイト訪問者のコンピュータを感染させるために著名サイトがハッキングされるのは、もはや当たり前の光景になりつつあります。サイト管理者は、この問題に対する危機意識をもっと高める必要があるでしょう」
『Trends in Badware』レポートでは、このほかにも典型的な脅威の例や巧妙にハッキングされた Web サイトの例などが画面例を交えて解説されています。StopBadware.org のレポートは、過去1年間に見つかった多数の感染 Web サイトの調査結果に基づいて作成されています。