Nine-ball
いわゆるWeb改ざん系のマルウェアとしては、2009年7月現在で最も新しく、最も猛威を奮っているものです。感染経路は他のWeb改ざん系マルウェアと同じで、FTPアカウントがハッキングされたWebサイトのトップページに不正コードを埋め込み、アクセスしたパソコンはその不正コードに操られて感染します。
この「操られて」というのは、具体的にはリダイレクションのことです。悪意のないWebサイトでも、サイト移転などで自動的に別のURLに転送をさせる機能があります。実際によく見かけるものですが、これをリダイレクションと言います。
それでは、どんなサイトにリダイレクトされるのでしょうか。この行き先は、別のところに用意した「システムの脆弱性を突くプログラムをダウンロードさせるサイト」です。当然ですが、このようなサーバーを自前で用意しているはずはなく、ボットネットのようにこれも不正に乗っ取られた機器です。ちなみに、このようなプログラムのことをエクスプロイトと言います。
エクスプロイトをダウンロードさせられて、パソコンがマルウェアに感染すると、インターネットのパケットが監視されるというのはすでにお話ししました。もしこのパソコンを使っているユーザーがホームページを持っていて、その更新作業を感染パソコンでしたとすると、監視されているパケットの中からパスワードなどを盗み出され、その人が所有しているホームページにも不正コードが埋め込まれます。つまり、その人のWebも改ざんされるのです。このようにしてNine-ballは次々と感染サイトを拡大していき、ついには世界で4万ものサイトに不正コードが埋め込まれていることが発覚しました。
改ざんされたWebの所在地を見ると、7割くらいがアメリカです。そして以下はイギリス、ドイツ、トルコ、ロシアと続きます。意外にも日本のサイトはあまり被害に遭っていませんが、これはたまたまでしかありません。
改ざんのターゲットになったWebについても特に傾向が見られないという調査結果もあるので、まさに無差別攻撃です。 現在、このNine-ballに対してはアクセスするパソコン側のセキュリティを向上するなどの対策が進められています。