最終更新日：2001年 9月 5日

変更履歴

悪意ある Javaスクリプト実行による被害情報

- 特定のホームページを見た後、PCが立ち上がらなくなる -

情報処理振興事業協会
セキュリティセンター

2001年 8月20日

　2001年 8月18日より、悪意のある Javaスクリプトの埋め込み等による改ざんを受けたと思われる特定のホームページを見たユーザのPCが、立ち上がらなくなるという症状の被害届出、問い合わせが複数寄せられています。

　これは、ウイルスによるものではなく、悪意のある Javaスクリプトの実行による障害と推測され、今回、届出頂いている事例においては、修正パッチを当てる (ブラウザのセキュリティホールを塞ぐ)ことにより被害を未然に防ぐことが可能と考えられます。
また、修正パッチの適用が不可能である場合には、今回の被害に限っては、セキュリティ設定を強化する(Javaスクリプトからアプレットを起動できないように構成する)ことにより、問題を回避することも可能です。

　今後も類似の Javaスクリプト等により、同様の被害も発生することが予測されますので、予防措置を促すために緊急対策情報を掲載致します。

　なお、本情報については追加情報を入手次第、随時更新します。

本件に関しては、マイクロソフトから以下の情報が提供されています。

「ActiveX コントロールの不正な実行によって PC が被害を受ける」問題に関する注意事項
http://www.microsoft.com/japan/technet/security/javavm.asp

●対象

Microsoft Windows 95/98/ME/NT/2000 上の Internet Explorer 4.x/5.x

●症状（被害届より抜粋）

• Windows において、アプリケーションの起動、設定変更、システムの終了が出来なくなる。
• 強制終了後に再起動すると、起動時に下記メッセージが表示される。
  「 If you have any trouble please email:findlu@21cn.com. note:not for japanese&dog&pig 」　
• その後は、「全てのファイルが開けない」、「デスクトップのアイコンが消える」、「Windwosが終了出来ない」、など症状により全くPCを利用出来なくなる。

●状況説明

特定の web ページにアクセスした際に、ブラウザの設定により「悪意のプログラム」を実行してしまったと推測される。
その特定の web ページは、一見しただけでは判らないようにページが巧妙に書き換えられており、ブラウザのセキュリティ設定が緩いと、閲覧中に自動的に悪意を持つ Javaスクリプトが実行され、PCのレジストリファイルを複数箇所書き換える。
レジストリファイルが書き換えられた事により、再度 Windows を立ち上げた際にも同様に症状が繰り返しとなり、正常に起動・終了しなくなる。

●対策情報

今回発見された悪意のある Javaスクリプトで被害を受けないためには、 修正パッチを当てるかセキュリティ設定を強化することで対処できます。

◇ 修正パッチを当てる (ブラウザのセキュリティホールを塞ぐ)

DOSプロンプトまたはコマンドプロンプトで jview コマンドを実行し、 Java VM のビルド番号をチェックし、下図のように 3802 以上であれば修正は必要ありません。

そうでなければ、以下の情報を参考にして修正パッチを適用してください。

　　　「VM のファイルの読み取り」の脆弱性に対する対策 (MS00-081)
　　　http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-081

　　　注）ベンダーが記述している「使用上の注意」をよく読み、 自己の責任において使用してください。

◇ セキュリティ設定を強化する(Javaスクリプトからアプレットを起動できないように構成する)

ブラウザのセキュリティ設定を以下のようにする。
　　スクリプト - Java アプレットのスクリプト - 無効にする

また、最近のパーソナルファイアウォールでは、特定の悪意をもったプログラムを自動検出し、 防御する機能が備わっているものもあります。

今回の被害は、ActiveX コンポーネントのインスタンスを生成できる 特殊なアプレットのセキュリティ機能のバグによるものと思われます。 Java スクリプトからこのアプレットを使用して、本来リモートからは 生成できない ActiveXコンポーネントを生成し、スクリプトで このコンポーネントを操作し、レジストリの改ざんを行います。

●修復情報

修復に関する情報を一部のワクチンベンダーが公開しているので、参照してください。
注）ベンダーが記述している「使用上の注意」をよく読み、 自己の責任において使用してください。

• トレンドマイクロ (JS_FLUG.A)
  http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3097

• シマンテック (Trojan.Offensive)
  http://www.symantec.com/region/jp/sarcj/data/t/trojan.offensive.html

• 日本ネットワークアソシエイツ
  http://www.nai.com/japan/virusinfo/010820malware.asp

●一般的対策情報

一般的に WEB アクセスで注意しなければならない点については、
個人ユーザのWebサーフィン、メール利用などに係わる危険性への対策
を参考にしてください。

●更新履歴

　　　2001年 9月 5日  前文の情報リンクのタイトル修正
　　　2001年 8月22日  前文に情報リンク追加。修復情報の追加
　　　2001年 8月21日  脆弱性情報修正（MS00-081）
　　　2001年 8月21日  表現を一部見直し
　　　2001年 8月21日  構成を見直し
　　　2001年 8月20日  「修復情報」を追記
　　　2001年 8月20日  掲載

●問い合わせ先：
　　　　ＩＰＡ(情報処理振興事業協会)セキュリティセンター
　　　　e-mail: isec-info@ipa.go.jp

---

Copyright © 2001 Information-technology Promotion Agency, Japan. All rights reserved.