★阿修羅♪ 現在地 HOME > 掲示板 > IT5 > 701.html
 ★阿修羅♪
次へ 前へ
最新パッチの適用とJavaScriptの無効化を――トロイの木馬対策【IT_Media記事】Windows 2000のI
http://www.asyura2.com/0401/it05/msg/701.html
投稿者 クエスチョン 日時 2004 年 6 月 28 日 18:47:25:WmYnAkBebEg4M
 

(回答先: ウェブサイトにアクセスしただけで感染--IEユーザーに警告 投稿者 アムリタ 日時 2004 年 6 月 25 日 18:29:25)

最新パッチの適用とJavaScriptの無効化を――トロイの木馬対策【IT_Media記事】Windows 2000のIISのようだ
http://www.itmedia.co.jp/enterprise/articles/0406/25/news097.html

いくつかのWebサイトに悪意あるコードが仕掛けられ、ユーザーのPCにバックドアがインストールされるケースが報告されている。最新パッチの適用とJavaScrpitの無効化が必要だ。

2004/06/25 23:00 更新

 米国時間の6月24日より、Webページに細工を施したJavaScriptコードを仕込むことで、ユーザーがそれと気づかないうちに重要な情報を盗み取るバックドアを仕掛ける、というケースが報告されている(別記事参照)。どうやらこの動きは、マイクロソフトのWindows 2000で動作するIIS(Internet Information Service)サーバおよびWindows版Internet Explorer(IE)の脆弱性を悪用する、最新の例の1つのようだ。

 マイクロソフトは日本時間の6月25日夜、「Download.Ject に関する情報」と題する文書を公開し、最新のパッチを適用するようユーザーに警戒を呼びかけた。この情報やSANS、US-CERTなどの情報を総合すると、問題は次のように起こったようだ。

 まず、いつの時点かは不明だが、MS04-011のパッチを適用していない複数のIIS 5.0サーバに、悪意あるコードが仕掛けられた(SSL-PCT exploitを悪用したのではないかという情報がある)。このJavaScriptは、サーバが公開しているWebページのフッターを改ざんし、別の悪意あるJavaScriptコードを仕込んだ。

 そうとは知らないユーザーが、やはりパッチを適用していないIEを使ってこのWebサーバにアクセスしてくると、JavaScriptが実行されてしまう。このスクリプトは、ユーザーがそれと意識しないうちに北米やロシアのIPアドレスにPCを接続させ、パスワードなどの重要な情報を読み取るバックドア(その例として「Padodor.W」が指摘されている)を勝手にインストールする。

 この悪意あるコードおよびバックドアに対する解析は、現在なお続いており、最終的にどういった影響を与えるかは判明していない。このコードの影響がどこまで及んだかについても、まだ調査中だ。画像を用いるものなど複数の手法が用いられているため、情報が錯綜しているのが正直なところだが、少なくとも6月25日18時の時点では、警察庁およびJPCERT/CCの定点観測システムでは「特にトラフィックに変化などは見られない」という。

 ただし、対策は明確だ。

 まず、IISサーバを運用している管理者/ホスティング事業者(特にDocument Footerオプションを有効にしている場合)は、不審なJavaScriptを含んだHTMLページを公開していないかどうかを確認し、MS04-011のパッチを適用する。自らが加害者とならないためにも、サービスの一時停止も含めてきちんと確認/対処しておくべきだろう。

 Windowsを利用している一般のユーザーは、Windows Updateを実行し、MS04-013も含めた最新のパッチを適用する。US-CERTではこれに加えて、Webブラウザの設定を変更し、JavaScriptを無効にするよう推奨している。また、ウイルス対策ソフトウェアベンダーも、一連の悪意あるコード/バックドアへの対応を開始しており、定義ファイルの更新を進めている。こちらのアップデートも行っておくべきだ。

 だが、いったいどのIIS Webサーバに悪意あるコードが仕掛けられたかは完全に判明していない。しかも、セキュリティ関連のメーリングリストやCAの情報によると、パッチがまだ公開されていないセキュリティホールが悪用された可能性もあるという。被害に遭わないためには、IE以外のWebブラウザを利用することも検討すべきだろう。

関連記事
大手サイトに仕込まれたトロイの木馬に要注意
一部のメジャーサイトにアクセスすると、画像ファイルに組み込まれた悪質なJavaScriptにより、知らない間にトロイの木馬をダウンロードさせられ、スパムの踏み台にされる可能性がある。(IDG)
ウェブサイトにアクセスしただけで感染――IEユーザーに警告

関連リンク
マイクロソフト:Download.Ject に関する情報

Internet Storm Center

US-CERT:IIS 5 Web Server Compromises


[高橋睦美,ITmedia]

 次へ  前へ

IT5掲示板へ


フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。