サイバー犯罪者に利用される Google―Kaspersky が新たな攻撃手法を公表

Google がスパムに利用されやすいネットワークの第3位になった。

この事実は、米国のスパム監視団体 Spamhaus Project が2009年1月5日にリストを公開した後、一部でメディアでも報道されたものだ。スパムギャング組織のホスティングをしていたり、スパマーが docs.google.com を悪用していたという。

（なお、Google は現在、スパムの原因として指摘された問題のほとんど全てを解決している）

さらに、Google はスパムの送信に利用されるだけではなく、マルウェアの拡散にも利用されている。ロシアに本拠を置くセキュリティベンダの Kaspersky によると、ハッカーたちは、Google の大きな武器である検索エンジンの結果さえもマルウェアの配布に利用しているそうだ。この攻撃手法は Kaspersky Lab Weblog で明らかにされたもので、Google 検索結果とリダイレクトを駆使して巧妙にユーザーの PC をマルウェアに感染させるという。

攻撃の手順としては、まず、ハッカーは Google 検索で人気のある Web サイトを特定し、検索結果の上位に表示された Web サイトの脆弱性がないかどうか調査する。そして、脆弱性を発見したサイトにはもちろん侵入する。

ただ、この攻撃手法では、彼らは従来の攻撃手法のように侵入したサイトには新たなファイルをアップするどころか難読化されたコードを挿入することさえしない。

その代わり、すでに実行されているスクリプトをこっそりと変更。その際、既存のスクリプトに「--referer=http://www.google.com/」という関数を加える。これにより、ハッカーらは、感染したサイトを訪問したユーザーがどこから来たのかをチェックし、Google のリンクからであった場合は、トロイの木馬をダウンロードさせるなどの機能を持つ有害な Web サイトへ自動的に再接続させられるようになる。

結果、ウイルスに感染したコンピュータが現れるというわけだ。


同 Blog は「面白いことにこの攻撃手法は、感染している Web サイトの名前を直接入力したときにはこのリダイレクトが機能しない」とも補足する。

また、「ハッカーらはこの手法を使うことで、Web マスター、従業員あるいは定期的な訪問者に感染させずに、目的を達成できる。すなわち、『大多数の人々を感染』させ『有害なスクリプトを従来のマルウェアよりも長い期間にわたり生きながらえさせられる』のだ」とも説明する。

さらには、攻撃されるのは検索結果上位に表示されるように最適化されている Web サイトだけではなく、セキュリティサイトも攻撃対象にされている。例えば、偽セキュリティソフトの「Antivirus XP」話題が活発に議論されているサイトだ。


同様のセキュリティ情報を参照する意識の高いユーザーも、この攻撃によりウイルスに感染してしまう可能性があり、注意が必要だ。