4月第2週の週末と、それに続く月曜日の早い時間、StalkDaily.com XSSワームから派生した少なくとも4つの亜種が、人気のマイクロブログサイトTwitterを襲った。これらのワームは、同サイトのクロスサイトスクリプティングのセキュリティホールを悪用することによって自動的にアカウントをハイジャックし、そのアカウントの所有者に成り代わってtweetを投稿することにより、ワーム作者のウェブサイトをへのリンクを広めた。
このワームの作者である17歳のMikey Mooney氏は、退屈だったのでこのワームを作ったと述べており(同氏の写真もあり、インタビューのポッドキャストもある)、同氏は月曜日に登場した一番最近の亜種は、Twitterがその日早くに対処したと発表したクロスサイトスクリプティングのセキュリティホールが、まだ修正されていないことを証明することを目的としたものだと主張している。
では、Mooney氏のすべての攻撃を分析してみよう。
現在ではどちらのワームの概念実証コードも公開されている。NoScriptの作者Giorgio Maone氏は、サードパーティが放った2番目の亜種は基本的に最初のものを難読化したバージョンであることから、Twitterは実際にXSSのセキュリティホールに対処していない可能性があると結論しており、Mooney氏の主張は本当かも知れない。
オリジナル版のStalkDaily.com/Mikeyy XSSワームの攻撃では、自動tweetで次のメッセージが発信される。
“Dude, www.StalkDaily.com is awesome. What’s the fuss?”
“Join www.StalkDaily.com everyone!”
“Woooo, www.StalkDaily.com :)”
“Virus!? What? www.StalkDaily.com is legit!”
“Wow…www.StalkDaily.com”
“@twitter www.StalkDaily.com”
Mooney氏の最初のワームは、その後クッキーを盗むことを試み、ユーザーをmikeyylolz.uuuq .com/x.js およびmikeyylolz.uuuq .com/x.phpというURLにアクセスさせることによって、拡散を続けようとする。これらのURLはすでに削除されている。
日曜日に登場した2番目のMikeyy XSSワームはもう少し興味深いもので、これは次のようなメッセージを送る模倣ワームだ。
“Wow…Mikeyy.”
“Man, Twitter can’t fix shit. Mikeyy owns. :)”
“Dude! Mikeyy! Seriously? Haha. ;)”
“Dude, Mikeyy is the shit! :)”
“damn mikeyy. haha.”
“Twitter should really fix this…”
“Mikeyy I am done…”
“Mikeyy is done..”
“Twitter please fix this, regards Mikeyy”
2番目の亜種(修正版も含めて)は、その後ユーザーをcontent.ireel .com/jsxss.js、content.ireel .com/xssjs.js、omghax.uuuq .com/x.php、omghax.uuuq .com/woo.php、bambamyo.110mb .com/wompwomp.jsというURLにアクセスさせ、さらに伝播しようとする。また、このことから、iReel.comはセキュリティ侵害を受けている可能性がある。
最新の亜種は米国時間4月13日に登場しており、このバージョンは入力値の検証処理にあるセキュリティホールを利用しているようだ。これが、Mooney氏が利用したと話しているTwitterの2つ目の脆弱性だと思われる。
- 過去の関連記事にも目を通して欲しい。Commercial Twitter spamming tool hits the market、XSS worm at Justin.tv infects 2,525 profiles、Four XSS flaws hit Facebook、Facebook vulnerable to critical XSS, could lead to malware attacks、HSBC sites vulnerable to XSS flaws, could aid phishing attacks、Google fixes critical XSS vulnerability。
この攻撃では、伝播のために次のメッセージが使われている。
“Twitter, freaking fix this already. >:[ - Mikeyy”
“Twitter, your community is going to be mad at you… - Mikeyy”
“This worm is getting out of hand Twitter. - Mikeyy”
“RT!! 4th gen #Mikeyy worm on the loose! Click here to protect yourself: http://tinyurl.com/cojc6s”
“This is all Twitters fault! Don’t blame Mikeyy!!”
“ALERT!! 4TH GEN MIKEYY WORM, USE NOSCRIPT: http://bit.ly/4ywBID”
“How TO remove new Mikeyy worm! RT!! http://bit.ly/yCL1s”
この易読化されたスクリプトは、twitter .com/reberbrerberとstalkdaily .com/ajax.jsにアクセスする。興味深いことに、bit.lyで公開されている統計を使えば、この最新の攻撃によるクリック数を簡単に評価することができる。これまでのところ、1つ目のURLは2万140回クリックされており、そのうち米国からは9268回、イギリスからは3039回となっている。2つ目のURLは8961回クリックされ、4095回が米国から、1452回がイギリスからだ。
マルウェアを広めようとする悪意の有無に関わらず、Twitterがクロスサイトスクリプティングのセキュリティホールを修正できていないことを証明しようとするMooney氏の粘り強い行動は違法であり、javascriptのコードをホストさせるためにiReel.comをセキュリティ侵害しているとすれば、それもやはり違法だ。今回の攻撃では、マルウェアの配布も行なわれず、(例えばスケアウェアをインストールするなどして)そのトラフィックを収益化しようともしていないが、人が変われば動機も異なるものだ。本格的なサイバー犯罪者がこれらのセキュリティホールを悪用するのを座して待つのではなく、Twitterは本格的に(ささいな)クロスサイトスクリプティングのセキュリティホールに対して、真剣に対処し始めるべきだ。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
