JavaScript ベースの DDOS 攻撃の観点から見たセーフ ブラウジング

Google セキュリティ ブログによると、3 月初旬に新しいタイプの DDOS 攻撃手法が登場しました。この攻撃では、通常の Web ページのコンテンツを傍受し、悪意のある JavaScript コードを挿入して対象の Web サイトを攻撃します。

この新しいタイプの攻撃では、攻撃者はいくつかの一般的な Baidu サービス (Baidu Statistics、Baidu Alliance など) の JavaScript コードを乗っ取り、悪意のあるコードを通常のコードに埋め込み、この悪意のあるコードを使用して対象の Web サイトに DDOS 攻撃を開始します。

Google のセーフ ブラウジング システムは、仮想マシンでウェブサイトをスキャンして悪意のあるコンテンツがないか調べ、毎日何百万ものウェブページを分析します。 Googleのエンジニアは3月1日から4月15日までのデータを分析し、セーフブラウジングがBaiduドメインのコンテンツハイジャックを初めて検出したのは3月3日で、最後に検出したのは4月7日だったことを発見した。攻撃の実行は複数の段階に分かれており、第1段階はテストで、3月3日から3月6日まで実施された。テスト対象IPは114.113.156.119:56789（北京電信）であり、リクエスト数は人為的に制限されていた。3月4日から6日まで、リクエスト制限は解除された。第 2 フェーズは 3 月 10 日から 13 日まででした。最初のターゲット IP は 203.90.242.126 (香港) でした。リクエストは当初 HTTP 経由で行われ、その後 HTTPS にアップグレードされました。3 月 14 日、ターゲット Web サイトは HTTP と HTTPS の両方経由で攻撃されました。攻撃は 3 月 17 日に停止しました。 JS コンテンツの置き換えは 3 月 20 日に完全に停止しましたが、HTTP インジェクションは継続されました。 JS コンテンツの置換により元のコンテンツの機能が破壊されますが、HTTP インジェクションでは破壊されません。 3月26日、Baiduのプレーンテキストスクリプトが傍受され、悪意のあるJSコードに置き換えられ、標的のウェブサイトを攻撃しました。攻撃は4月7日に停止しました。 Googleは、Baiduの8つのドメイン名が乗っ取られ、さまざまなサイズのJSコードが挿入されたと発表した。 Google は、Baidu が JavaScript コードに対して HTTPS 暗号化を完全に有効にすれば、このような攻撃を防御できると考えています。

元のタイトル: JavaScript ベースの DDOS 攻撃の観点から見たセーフ ブラウジング

キーワード: JavaScript