2008/09/17

　当ブログの読者の大多数にとって、悪人グループがWebページへのアクセスをリダイレクタで自動転送することなど、当たり前の話だろう。こうした自動転送は、ユーザーがよく使うハイパーリンクを何らかの方法で細工して実行することが一般的だ。例えば、悪人たちは、悪事とかかわりのないWebサイトへのアクセスをほとんど知られていない攻撃用Webサイトに転送するための、短く分かりにくいコードをWebページに加える。多くの場合、攻撃用Webサイトの内容や場所は動的に変える。

　たいていの場合、実際に使用されるリダイレクタは「iframeリダイレクタ」と「オープン・リダイレクタ」の2種類である。

iframeリダイレクタ

　iframeリダイレクタは、この数年間よく使われた。悪人グループは侵入したWebサイト内のWebページにiframeタグを仕込み、攻撃用Webサイトへの窓口に変える。iframeリダイレクタの仕込まれたWebページに対するアクセスは、悪人の選んだところへ自動的に転送されてしまう。

オープン・リダイレクタ

　オープン・リダイレクタは、iframeリダイレクタ以上によく使われる。本来オープン・リダイレクタは、ユーザーのアクセスがどこから来てどこへ行くかを調べる合法的な目的で、広告会社や大企業がプロキシ・サーバーとして利用するものだ。ところが不幸なことに、悪人グループもオープン・リダイレクタを使うと、好きなWebサイトでアクセスの自動転送を実現できる。ユーザーはアクセスするドメイン名の確認くらいはするが、URLに含まれる、リダイレクト・スクリプトとして使われるクエリー文字列の変数など気づきもしない。

Flashリダイレクタ

　さらに最近は、Flashリダイレクタの使用が増えてきた。悪人は、Flashアプリケーションを作り、無料Webホスティング・サービスを使って配布用Webサイトを開設し、スパム・メールでそのサイトのURLをばらまく。このURLは直接Flashアプリケーション（SWF形式のファイル）を指すことが多く、クリックしたユーザーを自動的に別の場所へ誘導する。悪人から見ると、Flashアプリケーション内のコンテンツは読むことが困難で、さらにJavaScriptと同じく難読化できる点がメリットとなる。そのため、リアルタイムに解析することが難しい。

　我々は2008年8月18日（米国時間）、ソーシャル・ネットワーキング・サービス（SNS）「Facebook」に関する悪質なスパム「Malicious Viral Facebook」をブログで取り上げた。さらに、このスパムの背後にいる同じグループは、Facebookのゲストブック「wall」に攻撃用Flashファイルへのリンクを投稿している。

　Flash用ダンプ・ツール「SWFDump」でリンク先のSWFファイルを解析したところ、簡単な動きをするアクション・スクリプトがいくつかあり、主に個人情報の収集を目的とするWebサイトへユーザーを誘導することが分かった。

　この動作を実現するアクション・スクリプトは簡単に書ける。Flash関数「navigateToURL」を使えば、一切警告を出すことなく、自動的にユーザーをリダイレクトできる。

　ここで紹介したFlashファイルは一連の302リダイレクタを介し、最終的に個人情報を集める相性占いサイトへユーザーを誘導する。

---

Copyrights (C) 2008 Websense, Inc. All rights reserved.
本記事の内容は執筆時点のものであり、含まれている情報やリンクの正確性、完全性、妥当性について保証するものではありません。
◆この記事は、ウェブセンスの許可を得て、米国のセキュリティ・ラボの研究員が執筆するブログWebsense Security Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は、Malicious Flash redirectorsでお読みいただけます。