広告経由で IE の脆弱性を突く攻撃、さらなる被害の可能性も

先週末、複数のヨーロッパの著名 Web サイトが、広告配信会社経由で『Internet Explorer』(IE) の IFRAME タグ脆弱性を突く悪質コードを含んだ広告を掲載する、という事態が起きた。各セキュリティ企業も、ウイルス散布の新たな手法として悪用が拡大する兆しとの見方を示し、警戒を強めている。

SANS Internet Storm Center (ISC) は20日、イギリス、スウェーデン、オランダの複数サイトが攻撃を受けたとして、警告を出した。ISC はまた、バナー広告の配信サービス側にも、IFRAME タグの脆弱性を突くコードが広告に入っていないか、確認するよう呼びかけている。

実際に被害を受けたイギリスの技術ニュースサイト『The Register』によると、広告配信会社 Falk AG が配信して、同サイトに掲載したバナー広告の一部が、IE に存在する脆弱性、IFRAME タグにおけるバッファオーバーフローを利用した『Bofra/IFrame』(IFRAME 脆弱性を利用する MyDoom の別名) に感染していたという。なお問題の広告掲載については、20日の段階で既に対処したと述べている。

セキュリティ会社 LURHQ によると、問題のバナー広告は Bofra 以外に、特定のサイトアクセスを強要する悪質なアドウェア『Virtumonde Adware』や、バックドアを仕掛けるトロイの木馬『Trojan.Agent.EC』も含んでいたという。

McAfee (NYSE:MFE) のウイルス緊急対策チーム AVERT 担当副社長 Vincent Gullotto 氏は、「Web サイトの改竄を行なうだけでなく、より深刻な被害を与える可能性がある。これまでに、感染件数はおそらく数千件規模になっている。ただし、まだ感染が蔓延しているとか爆発的に拡がっているという数字ではない」と語った。

Gullotto 氏はまた、同種の攻撃がこの程度の頻度に留まっているのは驚きで、IFRAME 脆弱性を修正しないかぎり、この傾向が続く可能性が高いと述べた。

セキュリティ調査会社の Secunia によると、IE が持ついわゆる IFRAME 脆弱性は、IFRAME タグのほか、FRAME タグや EMBED タグにも存在し、特定の属性 (NAME 属性や SRC 属性) を処理する部分のバウンダリ問題が原因でバッファオーバーフローを起こすという。同社は、問題の脆弱性を5段階中「最大」の危険度と評価している。

また、市場調査会社 Gartner (NYSE:IT) の副社長でセキュリティ アナリストの John Pescatore 氏は、問題を回避するには同脆弱性の影響を受けない『Windows XP Service Pack 2』(XP SP2) を適用するか、IE 以外のブラウザを使用する必要があると述べた。

Microsoft は、同脆弱性に対応するパッチを出していない。