japan.internet.comThe Internet & IT Network
RSS
  • ニュース
  • コラム
  • リサーチ
  • ヘッドライン
  • 特集
  • ブログ
  • プレスリリース
  • 専門チャンネル
  • イベント
  • ランキング
  • ニュースメール
2009年7月4日
文字サイズ文字サイズ小文字サイズ中文字サイズ大
Webテクノロジー2004年11月24日 00:00

広告経由で IE の脆弱性を突く攻撃、さらなる被害の可能性も

海外海外internet.com発の記事
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • Buzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
先週末、複数のヨーロッパの著名 Web サイトが、広告配信会社経由で『Internet Explorer』(IE) の IFRAME タグ脆弱性を突く悪質コードを含んだ広告を掲載する、という事態が起きた。各セキュリティ企業も、ウイルス散布の新たな手法として悪用が拡大する兆しとの見方を示し、警戒を強めている。

SANS Internet Storm Center (ISC) は20日、イギリス、スウェーデン、オランダの複数サイトが攻撃を受けたとして、警告を出した。ISC はまた、バナー広告の配信サービス側にも、IFRAME タグの脆弱性を突くコードが広告に入っていないか、確認するよう呼びかけている。

実際に被害を受けたイギリスの技術ニュースサイト『The Register』によると、広告配信会社 Falk AG が配信して、同サイトに掲載したバナー広告の一部が、IE に存在する脆弱性、IFRAME タグにおけるバッファオーバーフローを利用した『Bofra/IFrame』(IFRAME 脆弱性を利用する MyDoom の別名) に感染していたという。なお問題の広告掲載については、20日の段階で既に対処したと述べている。

セキュリティ会社 LURHQ によると、問題のバナー広告は Bofra 以外に、特定のサイトアクセスを強要する悪質なアドウェア『Virtumonde Adware』や、バックドアを仕掛けるトロイの木馬『Trojan.Agent.EC』も含んでいたという。

McAfee (NYSE:MFE) のウイルス緊急対策チーム AVERT 担当副社長 Vincent Gullotto 氏は、「Web サイトの改竄を行なうだけでなく、より深刻な被害を与える可能性がある。これまでに、感染件数はおそらく数千件規模になっている。ただし、まだ感染が蔓延しているとか爆発的に拡がっているという数字ではない」と語った。

Gullotto 氏はまた、同種の攻撃がこの程度の頻度に留まっているのは驚きで、IFRAME 脆弱性を修正しないかぎり、この傾向が続く可能性が高いと述べた。

セキュリティ調査会社の Secunia によると、IE が持ついわゆる IFRAME 脆弱性は、IFRAME タグのほか、FRAME タグや EMBED タグにも存在し、特定の属性 (NAME 属性や SRC 属性) を処理する部分のバウンダリ問題が原因でバッファオーバーフローを起こすという。同社は、問題の脆弱性を5段階中「最大」の危険度と評価している。

また、市場調査会社 Gartner (NYSE:IT) の副社長でセキュリティ アナリストの John Pescatore 氏は、問題を回避するには同脆弱性の影響を受けない『Windows XP Service Pack 2』(XP SP2) を適用するか、IE 以外のブラウザを使用する必要があると述べた。

Microsoft は、同脆弱性に対応するパッチを出していない。

関連テーマ
このエントリーを含むはてなブックマーク この記事をクリップ!
BuzzurlにブックマークBuzzurlにブックマーク Yahoo!ブックマークに登録
この記事をokyuuへインポート
最新トップニュース
データメーション
【データメーション】
中国が「Green Dam」フィルタ規制を撤回(7月1日)
Graphic Design Forum
【Graphic Design Forum】
Chris Dickman(6月25日)
プライバシー ジャパン・インターネットコム版
【プライバシー ジャパン・インターネットコム版】
グーグル・ストリートビューの問題について総務省の見解(6月23日)
エンジニアの独り言
【エンジニアの独り言】
システムを「使う」時代のエンジニアに求められるもの(6月2日)
最新ハイテク講座
最新ハイテク講座
電気は家庭でつくる時代へ!燃料電池「エネファーム」(7月3日)
アクセス解析で見るWebマーケティング
アクセス解析で見るWebマーケティング
決定力を探るアクセス解析(7月3日)
百式のネットビジネス研究
百式のネットビジネス研究
ファーストフードを高級っぽく盛り付けて紹介している「Fancy Fast Food」(7月3日)
週刊-サイト別アクセス状況データ
週刊-サイト別アクセス状況データ
ビデオリサーチインタラクティブ調査(月間インターネットオーディエンスデータ)(7月2日)
成約率、反応率を上げる Web 文章術
成約率、反応率を上げる Web 文章術
言葉がダイレクトにキャッシュを生む(7月2日)
不況時代の Web ビジネス最適化講座
不況時代の Web ビジネス最適化講座
アクセス解析エキスパートここだけの話、Web コンシェルジュの“勉強法”こっそり教えます(7月2日)
「Webからの脅威」―その傾向と最新対策
「Webからの脅威」―その傾向と最新対策
不正プログラムの分類(7月1日)
DevX
DevX
JavaScriptとDOMによる動的なWebページの作成(6月30日)
エンジニア転職ノウハウ開発室
エンジニア転職ノウハウ開発室
今のままで大丈夫?3匹の子ブタ的キャリア危険度診断(6月30日)
アイレップの SEM フロンティア
アイレップの SEM フロンティア
Web サイトは「無駄な穴のたくさん開いたじょうご」〜サイト成果向上の基本的な考え方(6月30日)
Copyright 2009 Japan Internet.com K.K. All Rights Reserved.http://www.internet.com/