ブラックハット SEO によって Google 画像検索のリンク先が不正ウイルス対策製品に


By アンドリュー・ブラント / Andrew Brandt

昨日は、脅威調査チームの何人かと共に、Google 画像検索に関するハックについて少し試していました。少なくとも昨日 1 日は、Google の画像検索機能はこのハックに大きな影響を受けていました。きっかけは、ある研究者がまったくの偶然で見つけた攻撃です。米国の地図の画像を Google で検索した結果のリンクの中に、悪質なページにリダイレクトするものがあったのです。このリンクをクリックした不運な Web ユーザーは、画像のページではなく、偽のウイルス対策製品として名高い Security Tool 系列のプログラムをインストールするページに飛ばされてしまいます。

このハックで特に興味を引かれたのは、ユーザーが使用しているオペレーティング システムとブラウザーに応じて動作が変わることです。専用のマルウェア配布用 Web ページがいくつか用意されており、ブラウザーの構成に応じて異なるページが表示されるようになっていました。

いつ頃出現した攻撃かは不明ですが、我々が分析に着手したのは米国山地標準時で午前 10 時頃です。夕方までには、該当するサイトはオフラインとなり、攻撃は効かなくなりました。

我々は、ハックの影響範囲を調べるために、この不正な検索結果を 5 種類のブラウザーで試してみました。 Internet Explorer 6同 8、Safari 5、Google Chrome、および Firefox です。ブラウザーはすべてデフォルト設定でセットアップし、ブラウザー以外の面ではまったく同一の Windows XP SP3 を使用しました。そして、米国の地図を “usa map” という検索語で検索し、[usa map の画像検索結果] として表示される画像から、2 番目の結果をクリックしました (先頭ページに表示される結果画像のうち、最初の画像を除くすべてが、悪質な Web サイトにリンクしていました)。

Internet Explorer では、バージョン 6 と 8 のいずれの場合も、地図画像をクリックした途端にブラウザーのウィンドウが閉じ、ダイアログ ボックスが表示されました。メッセージの内容は次のとおりです。

警告!

お使いのコンピューターで、悪意のあるコードが検出されました。

システムの安全性をすぐに確認してください。Killing Hazard(R) for Microsoft Windows XP が直ちに動作を開始しました。

[OK] をクリックすると、JavaScript による典型的な偽の警告が表示されます。ブラウザーのウィンドウが開き、一見ウイルス スキャン風の処理 (実は単なる精巧なアニメーション) が始まります。これが完了すると、文法的におかしな英語でメッセージが表示されます。重要なドキュメントが失われる可能性があることをユーザーに伝え、偽の削除ツール (ファイル名 :  inst.exe) のダウンロードを促す内容です。

いかにもありがちな動作で、もう見飽きたという感じです。妙な英文によって醸し出されるおかしさは、ブラウザーのタイトル バーにも見られます。”ちょっと待った!これは重要です。デバイスをチェックします” との内容ですが、元の英文は、まるで食い逃げ犯を外まで追いかけてきたウェートレスのせりふのような奇妙な言い回しです。その意味では面白いのですが、技術的には、興味を引かれる点はかけらもありません。

なお、Internet Explorer 8 の場合は、前段階として Google が用意している画像のプレビュー ページが表示されます。ただし、アドレスが要注目です。アドレス バーに表示されるアドレスの “imgurl” の値によると、画像の取得元は http://www.qsl.net のはずなのですが、Google 画像検索のページ本体の中では、[この画像のサイト] 欄は mookhost.com とあるのです。こちらは、リダイレクトを実行するページをホストしているドメインです。

Google のように技術力のある企業であれば、画像が “imgurl” のドメインでホストされていることを判別できるはずだと思うかもしれませんが、これこそが、ブラックハット SEO を手がけた輩による罠の隠し味なのでしょう。

Firefox の場合は、Google に表示されるこの悪質なリンクをクリックすると、次のようなページが表示されます。

このページは update-ff.co.cc でホストされており、驚いたことに、スタイルシートと画像の両方を Mozilla 本家の Web サーバーから読み込んでいます。ただしページ中央部のコンテンツを置き換えており、オレンジ色の四角の中に次のようなメッセージを表示しています。

Adobe Flash Player を今すぐ更新してください。

Firefox は最新ですが、現在お使いのバージョンの Flash Player では、セキュリティと安定性の問題が生じるおそれがあります。無料の更新プログラムをできるだけ早くインストールしてください。

もちろん、このでっち上げのテキストの 2 か所のリンク先はインストーラーです (ただし、Adobe Flash の更新プログラムだと言っているのに、ファイル名は ff-update.exe です)。リンクをクリックしなかった場合でも、カウントダウン タイマーが作動して、最終的には同じインストーラーのダウンロードが開始されます。ページの表示を更新してファイルを何回かダウンロードしてみたところ、ファイルのサイズは毎回同じでしたが、MD5 ハッシュはそれぞれ異なりました。つまり、サーバー側の何らかの処理によって、配信時に各ファイルをランダム化しているということです。

これで少し面白くなってきました。サーバー側でのランダム化自体は以前からある手法ですが、不正ウイルス対策製品で使われているのはあまり見ません。不正プログラムの配布元がペイロード ファイルのランダム化の機能を Web サーバーにわざわざ組み込むことはあまりありません。どのみちサイトの公開期間は短いのが普通だからです。ハッシュのランダム化は、本物のウイルス対策製品による検出を免れる目的で悪党たちが講じる手段の 1 つです。

Firefox を更新したわけではないのにこのページが表示されたという事実以外に、偽物ページであることを示す手がかりはあるでしょうか。ここで、Web ページのスクリーン ショットにあるバージョン番号に注目してください。バージョン 3.6.7 は、本記事執筆時点の最新バージョンの 1 つ下ですが (去る 7 月 23 日に 3.6.8 が公開されました)、私が使用していた Firefox はこのバージョンではありません。私のテスト機には Firefox 2.0 が入っているのです。間抜けな話です。

Safari 向けにカスタマイズされた不正ページは fffest.co.cc でホストされていました。このページではダイアログ ボックスがポップアップし、”新しいバージョンの Flash Player のインストールが必要です” との簡潔なメッセージが示されます。カンマや感嘆符の類も、大文字にした固有名詞も、定冠詞も使われていない、単純な英文です。

奇妙なことに、ページ自体の上部には Internet Explorer 風のメッセージが表示されており、”メディア コンポーネントのインストールが必要です。ActiveX:  Adobe Systems Incorporated の Adobe Flash Player” とあります。これまた間抜けです。Safari は ActiveX を使用しないということを、この作者は誰からも教えてもらえなかったのでしょう。

Chrome の場合、表示されるページの外観は Safari とほぼ同じです。ただし、Safari ではポップアップが表示されるのに対し、Chrome では “Flash ActiveX オブジェクト エラー” というグラフィックが表示され、”web 2.0 を活用するために、新しいバージョンの Adobe Flash Player 11 をインストールしてください” とのメッセージが示されます。

これは驚きです。このメッセージはつまり、 プラグインのアーキテクチャとして ActiveX を使用しないはずの Chrome で、このページを表示するには ActiveX 版の Flash が必要で、しかもそのバージョンは、まだ存在しない未来のバージョンだと言っているのです。このようなマルウェアを開発する天才諸氏は、タイム マシンから外に出て、あたりを少し見回してみてほしいものです。

ちなみに、本物の Adobe Flash Player の更新ダイアログは次のような外観です。Adobe は 6 月から、古いバージョンの Flash を使用しているユーザー向けに、このような更新の通知を開始しました。この本物とそれ以外との違いがわかるでしょうか。

このダイアログの方が情報量がはるかに多いという点もそうですが、[インストールしない] ボタンの存在という細かな点も 1 つです。悪意のある偽の Flash 更新ダイアログには、このボタンはないはずです。

我々が行った調査の最後は、これらの不正な検索結果のリンク先となる Web ドメインをあれこれ探ることです。サーバーに何十件か要求を送信した後で、結果ウィンドウに次のように表示されました。

これは驚きです。ちっぽけで古ぼけたこの私を見守ってくれているというのですから。”Googleum” とは何かわからないため、当然のように Google で検索してみたところ、次の結果が表示されました。

なるほど。 名前は “Black SEO Empire” で、ロシア語の Web サイトで、ドメイン名の末尾は .biz ですね。そんな所だろうと思います。

このお間抜けな敵のことを、我々も見守っていこうと思います。
wordpress blog stats