マイスペース、アップルにワームへの対応を要請--悪意あるQuickTime映像問題で

文:Joris Evers(CNET News.com) 翻訳校正:編集部

2006-12-06 10:58

 MySpace.comが、Apple Computerに「QuickTime」メディアプレーヤーをアップデートするよう要請している。同ソフトウェアを利用したMySpaceに対する攻撃を阻止する狙いがある。

 この要請は、QuickTimeムービーを偽装したワームが週末にMySpace.comに出現し、MySpaceユーザーのプロファイルが変更されたことを受けて出された。専門家によると、同ワームはQuickTimeがJavaScriptのコードをサポートしていたことで広く感染したという。

 MySpaceの最高セキュリティ責任者(CSO)、Hemanshu Nigam氏は米国時間12月5日に電子メールで声明を出し、「QuickTimeの機能を悪用し、不幸にもMySpaceユーザーをターゲットにする問題を確認した。そこで、われわれは即座にAppleに連絡を取り、パッチを準備するよう要請した」と述べた。

 MySpaceのユーザーが、特別に作成されたQuickTimeムービーを「Internet Explorer」もしくは「Firefox」で見ると、これがそのユーザーのMySpaceページに自動的に登録され、ユーザーのプロファイルにあるリンクが、フィッシングウェブサイトへのリンクに入れ替わってしまう。F-Secureによると、同社が「Quickspace」と呼ぶこの悪質なソフトウェアはMySpaceユーザーに幅広く感染したが、具体的な感染数は不明だという。

 Appleの広報担当Lynn Fox氏は電子メールで、同社は現在QuickTimeの修正に取り組んでいるが、5日に暫定ソリューションを公開したという。

 Fox氏は電子メールに、「先ごろQuickTimeの機能を悪用してMySpaceユーザーを狙う問題の存在を知った。Internet Explorerユーザー向けにはQuickTimeのこの機能を無効にする方法を用意した。ほかのユーザーにも対応する幅広いソリューションを準備中だ」と書いている。

 Appleは、MySpaceに対して暫定的な修正を提供したという。Appleによると、これをユーザーに提供するかどうかはMySpaceの判断次第だという。CNET News.comでは、ユーザーへの暫定ソリューション提供時期を問い合わせたが、MySpaceから回答は得られていない。

 MySpaceはAppleが修正の最終版を用意するまでの間、この問題の悪用を試みるウェブリンクをブロックし、MySpaceサイトのプロファイルからこれらを削除しているところだ、とNigam氏は語っている。MySpaceはさらに、この事件を捜査当局にも通報していると、同氏は語っている。

 News Corp.子会社のMySpaceは人気の高いソーシャルネットワーキングサイトで、7000万人以上の登録ユーザーがいるとされる。専門家らによると、このワームは、MySpaceの機能と、本来は正当な目的のために用意されながら悪用も可能なQuickTimeのHREFトラック機能とを一緒に悪用しているという。

 F-Secureの最高調査責任者Mikko Hypponen氏は、「URLフィルタリングの結果、今回の攻撃についてはもはや機能していない。しかし、脆弱性自体はまだシステムのなかに残っている。最終的に解決するためにはユーザーの手元にあるQuickTimeプレーヤーをアップデートするしかない」と語っている。

 Quickspace攻撃の目的は、どうやらMySpaceのログインページに似せた不正サイトにユーザーをおびき寄せることのようだ。犯人たちがログインデータを使って何をしようとしているのかは明らかでないが、ユーザーのプロファイルを悪用した宣伝活動などが考えられる。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. クラウドコンピューティング

    生成 AI リスクにも対応、調査から考察する Web ブラウザを主体としたゼロトラストセキュリティ

  5. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]