セキュリティ・ベンダーの米Websenseは現地時間9月22日,Internet Explorer(IE)が影響を受けるパッチ未公開のセキュリティ・ホール(脆弱性)を悪用するWebサイトが続出しているとして注意を呼びかけた。アクセスするだけで「キーロガー(ユーザーのキー入力情報を盗む悪質なプログラム)」がインストールされるサイトもあるという。
IEのコンポーネントの一つであるMicrosoft Vector Graphics Rendering library(Vgx.dll)には,パッチ未公開のセキュリティ・ホールが見つかっている(関連記事:IEにまたもやパッチ未公開のセキュリティ・ホール)。細工が施されたWebページやHTMLメールを開くだけで任意のプログラムを実行される危険なセキュリティ・ホールである。実際,このセキュリティ・ホールを突いて悪質なプログラムをインストールするWebサイトが次々と確認されている。
Websenseでは,そういったサイトの一つを動画で紹介している。そのサイトに回避策を施していないIEでアクセスすると,キーロガーを勝手に仕込まれるという(写真1)。そのサイトのトップ・ページには,IFRAMEでセキュリティ・ホールを突くプログラム(ページ)へのリンクが張られている(写真2)。
IFRAMEのサイズは小さく(5×5ピクセル),メッセージなどは一切表示されないためユーザーはまず気がつかないが,バックグラウンドでは「Goldun」と呼ばれるキーロガーがインストールされて動き出す。
このキーロガーがインストールされると,Webページにフォーム入力したユーザー名やパスワードなどが,そのページの情報(URLなど)とともに特定サイトへ送信される。同社スタッフが試しに米PayPalのサイトへアクセスしたところ,ログイン名とパスワードなどがキーロガーによって送信されるのを確認できたという(写真3)。
PayPalのログイン・ページではSSLを使って送受信されるデータを暗号化しているが,キーロガーは入力されたキー情報を直接記録している。このため,暗号化される前の情報が盗まれることになる。
今回紹介しているサイトには,今回のセキュリティ・ホールとは異なるセキュリティ・ホールを悪用するプログラムも置かれているという。IEに限らず,Firefoxのセキュリティ・ホールを突くプログラムも仕込まれている。このため同サイトを特定できたとしても,決してアクセスしないよう注意を呼びかけている。