ブログがやばい--スパイウェアの配布に悪用される脆弱性あり

Stefanie Olsen(CNET News.com) 2005年02月24日 12時43分

  • このエントリーをはてなブックマークに追加

 ハッカーが、ブログを使ってコンピュータにスパイウェアを忍び込ませていることから、ウェブ上で数百万人に利用されているこのツールに深刻なセキュリティ上の欠陥があることが明らかになった。

 この問題は、ウェブページ上でプログラムを起動するのによく使われている、JavaScriptとActiveXの使用方法に関連したもの。セキュリティ専門家によると、悪意を持つプログラマーがJavaScriptやActiveXを使って、脆弱なウェブブラウザでサイトにアクセスしてきたユーザーのPCに、ブログから自動的にスパイウェアを送りつけることが可能だという。

 ウェブでは、音楽再生などの新機能でサイトを強化するJavaScript(で書かれたスクリプト)がブロガー向けに無償で配布されているが、スパイウェアツールをこのスクリプトの中に隠す例も見つかっている。この場合、感染したツールを使うブロガーが、知らないうちに自分のサイトをスパイウェアの配布元にしてしまうことになる。

 スパイウェア対策ソフトウェアを開発するWebrootの技術責任者、Richard Stiennonは、「不法アドウェアビジネスの新たな手法が登場してしまった」と言う。

 「ブログサイトのように自動生成されるウェブサイトが、ActiveXやJavaScriptを組み込めるようになっていると、ブロガーやウェブページの所有者に悪質なコードを埋め込ませようとするスパイウェア作者にとって恰好の場所となってしまう」(Stiennon)

 セキュリティ専門家らによると、この問題が影響するのは、MicrosoftのInternet Explorer(IE)ユーザーがセキュリティ設定を最高にしていない場合だけだという。

 この脆弱性の問題が最も顕著に表れたのは、最も幅広く利用されているGoogleのBloggerサイトだが、しかしほかのサービスでも影響が出る可能性はある。

 BloggerのBlogspot.comネットワークにアクセスしたウェブユーザーからは、「Next Blog」リンクをクリックしたところ感染したサイトに飛ばされてしまった、との苦情が寄せられている。この「Next Blog」リンクは、ユーザーが新しいブログを見つけるのを助けたり、ウェブユーザーを任意のBlogspotサイトに誘導するよう設計されたものだ。

 ハーバード大学の研究者で、自分のサイトでこの脆弱性に関する資料を公開しているBen Edelmanは、「Bloggerが大きなバックッドアを残してしまった」としている。

 Googleの関係者は、同社が「この問題を認識しており、調査を進めているところだ」とコメントした。

 Blogspot.comにあるブログにアクセスした複数のユーザーが、悪質なコードをコンピュータに配布しようとするポップアップ広告が表示されるようになったと述べており、なかにはコンピュータがスパイウェアに対して無防備なので、この広告をクリックして対策を取るよう促してくるという、間違いやすい広告もある。そして、この広告をクリックした場合、PCにスパイウェアをインストールするダウンロードが始まってしまう。

 Bloggerにアクセスしたユーザーのなかには、自らのコンピュータが自動ダウンロードの被害にあったという人もいる。この人物は、自分では何もクリックしなかったにも関わらず、ダウンロードが始まり、マシンが感染してしまったと話している。

 この被害者を名乗る人物は、Mallory & Tsibourisで働く弁護士で、自社のウェブサイトに注意を促す情報を掲載している。

 Edelmanによると、悪質なコードを配布している犯人のひとつは、iWebtunesというサービスで、このサービスを使えばJavaScriptのコードを数行追加するだけで自分のウェブサイトに音楽を追加できるという。Blogspotを利用しているブロガーはiWebtunesのコードを自分のテンプレートに埋め込むだけで、アクセスしてきたユーザーのPCに知らないうちにスパイウェアを送りつけている可能性がある。

 iWebtunesは、スパイウェアがPCにダウンロードされるごとにその分の手数料を得るか、あるいはアドウェアによる広告売上から利益を得ている可能性が高い。それに対し、スパイウェアを送りつけられたブロガー側では何も得られない。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
藤本恭史「もっと気楽にFinTech」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
米ZDNet編集長Larryの独り言
谷川耕一「エンプラITならこれは知っとけ」
田中克己「2020年のIT企業」
大木豊成「Apple法人ユースの取説」
デジタル未来からの手紙
モノのインターネットの衝撃
松岡功「一言もの申す」
三国大洋のスクラップブック
大河原克行のエンプラ徒然
今週の明言
アナリストの視点
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
スマートデバイス戦略
セキュリティ
ネットワークセキュリティ
セキュリティの論点
スペシャル
de:code
Sapphire Now
VMworld
HPE Discover
Oracle OpenWorld
Dell World
AWS re:Invent
PTC LiveWorx
デプロイ王子のテクノロジ解説!
古賀政純「Dockerがもたらすビジネス変革」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
さとうなおきの「週刊Azureなう」
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
北川裕康「データアナリティクスの勘所」
Windows Server 2003サポート終了へ秒読み
米株式動向
Windows Server 2003サポート終了
実践ビッグデータ
中国ビジネス四方山話
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化