ブログがやばい--スパイウェアの配布に悪用される脆弱性あり

Stefanie Olsen(CNET News.com) 2005年02月24日 12時43分

  • このエントリーをはてなブックマークに追加

 ハッカーが、ブログを使ってコンピュータにスパイウェアを忍び込ませていることから、ウェブ上で数百万人に利用されているこのツールに深刻なセキュリティ上の欠陥があることが明らかになった。

 この問題は、ウェブページ上でプログラムを起動するのによく使われている、JavaScriptとActiveXの使用方法に関連したもの。セキュリティ専門家によると、悪意を持つプログラマーがJavaScriptやActiveXを使って、脆弱なウェブブラウザでサイトにアクセスしてきたユーザーのPCに、ブログから自動的にスパイウェアを送りつけることが可能だという。

 ウェブでは、音楽再生などの新機能でサイトを強化するJavaScript(で書かれたスクリプト)がブロガー向けに無償で配布されているが、スパイウェアツールをこのスクリプトの中に隠す例も見つかっている。この場合、感染したツールを使うブロガーが、知らないうちに自分のサイトをスパイウェアの配布元にしてしまうことになる。

 スパイウェア対策ソフトウェアを開発するWebrootの技術責任者、Richard Stiennonは、「不法アドウェアビジネスの新たな手法が登場してしまった」と言う。

 「ブログサイトのように自動生成されるウェブサイトが、ActiveXやJavaScriptを組み込めるようになっていると、ブロガーやウェブページの所有者に悪質なコードを埋め込ませようとするスパイウェア作者にとって恰好の場所となってしまう」(Stiennon)

 セキュリティ専門家らによると、この問題が影響するのは、MicrosoftのInternet Explorer(IE)ユーザーがセキュリティ設定を最高にしていない場合だけだという。

 この脆弱性の問題が最も顕著に表れたのは、最も幅広く利用されているGoogleのBloggerサイトだが、しかしほかのサービスでも影響が出る可能性はある。

 BloggerのBlogspot.comネットワークにアクセスしたウェブユーザーからは、「Next Blog」リンクをクリックしたところ感染したサイトに飛ばされてしまった、との苦情が寄せられている。この「Next Blog」リンクは、ユーザーが新しいブログを見つけるのを助けたり、ウェブユーザーを任意のBlogspotサイトに誘導するよう設計されたものだ。

 ハーバード大学の研究者で、自分のサイトでこの脆弱性に関する資料を公開しているBen Edelmanは、「Bloggerが大きなバックッドアを残してしまった」としている。

 Googleの関係者は、同社が「この問題を認識しており、調査を進めているところだ」とコメントした。

 Blogspot.comにあるブログにアクセスした複数のユーザーが、悪質なコードをコンピュータに配布しようとするポップアップ広告が表示されるようになったと述べており、なかにはコンピュータがスパイウェアに対して無防備なので、この広告をクリックして対策を取るよう促してくるという、間違いやすい広告もある。そして、この広告をクリックした場合、PCにスパイウェアをインストールするダウンロードが始まってしまう。

 Bloggerにアクセスしたユーザーのなかには、自らのコンピュータが自動ダウンロードの被害にあったという人もいる。この人物は、自分では何もクリックしなかったにも関わらず、ダウンロードが始まり、マシンが感染してしまったと話している。

 この被害者を名乗る人物は、Mallory & Tsibourisで働く弁護士で、自社のウェブサイトに注意を促す情報を掲載している。

 Edelmanによると、悪質なコードを配布している犯人のひとつは、iWebtunesというサービスで、このサービスを使えばJavaScriptのコードを数行追加するだけで自分のウェブサイトに音楽を追加できるという。Blogspotを利用しているブロガーはiWebtunesのコードを自分のテンプレートに埋め込むだけで、アクセスしてきたユーザーのPCに知らないうちにスパイウェアを送りつけている可能性がある。

 iWebtunesは、スパイウェアがPCにダウンロードされるごとにその分の手数料を得るか、あるいはアドウェアによる広告売上から利益を得ている可能性が高い。それに対し、スパイウェアを送りつけられたブロガー側では何も得られない。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
トランザクションの今昔物語
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
展望2017
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算