50万サイト以上の『IIS』サーバーがサイバー攻撃の影響下に

脆弱性を抱える Microsoft の Web サーバー『Internet Information Services』(IIS) を用いた Web サイトが、大規模なサイバー攻撃の対象となっている。サイトの訪問者を、悪質コードのあるサイトにリダイレクトする手口で、被害が急増している。

最初に被害のまん延を検出したセキュリティ会社 Panda Security は、その時点で影響を受けた IIS サーバーを28万2000台と発表していた。F-Secure もそれから1日と経たずに、同社の公式 Blog の中で、まん延規模について51万サイトを超えると発表した。

今回の攻撃でもっとも厄介なことは、影響を受けたすべての Web サイトが見た目にはまったく問題なく、改ざんコードが正規の Web ページ内にあることだ。コードを仕込まれたサイトでは、IFRAME を用いたリダイレクトにより、訪問者は別のページに移動させられてしまう。移動先には、ID 情報窃盗用の悪質コードが待ち受け、リダイレクトされた訪問者のコンピュータにダウンロードされる。そのため、問題のないサイトを閲覧していると思っていても、危険な状態にさらされていることになる。

Panda Security で企業向け主任エバンジェリストを務める Ryan Sherstobitoff 氏は、次のように語った。「以前は、インターネットの影の部分に足を踏み入れることで、感染する確率が高くなると思われていた。だが今日では、問題のある領域に行かずとも、攻撃を受けてしまう。インターネットの良識ある部分を利用していても、感染することがあり得る」

IIS に存在する問題の脆弱性は、正規 Web サイトを操作するための SQL コード挿入を攻撃者に許してしまう。このコードは、訪問者を悪質サイトにリダイレクトするための IFRAME を追加し、餌食となった訪問者のコンピュータをスキャンして、脆弱性がないか調べる。そして、その訪問者の防御手段を潜り抜けることができる悪質コードを、コンピュータにダウンロードしてしまう。

この問題は IIS だけに生じるもので、『Apache』を含む他の Web サーバーには発生しない。Sherstobitoff 氏によれば、報道などから Microsoft はこの問題を把握しているようだと述べている。一方、問題の修正がいつ頃になるのかについて Microsoft に問い合わせたが、本稿執筆時点までに回答は得られなかった。

Sherstobitoff 氏は、特に政府および公共サイトなどを中心に、米国に対する攻撃が最もひどいと語り、「攻撃者は犠牲者が出ることならば、何でも構わないのだ」と説明した。

Panda Security と F-Secure は共に、Web サイトに隠蔽された悪意のあるコードが、リダイレクトを行なうことを確認済みだ。各サイトの管理者は、自分の Web サイト内に「<script src=http://www.nihaorr1***>」(***部分は伏せ字) というコードが仕込まれていないか確かめるべきだ。