トレンドマイクロは、同社セキュリティブログにおいて、JPGファイルを隠蔽に利用するWebサーバ専用バックドア「BKDR_ZZPEG」の被害が日本国内でも発生していると報告している。
7月に下旬から同社のリージョナルトレンドラボにへの問い合わせが顕著になっていたという「BKDR_ZZPEG」は、PHPを使用しているWebサーバーを遠隔操作するバックドア型の不正プログラムで、JPEG画像ファイルを自身の隠蔽のために利用することが特徴的だという。
JPEGファイル単体では、活動の危険はないがExifヘッダ内に不正スクリプトを保持しており、PHP実行環境に組み込まれた不正モジュールから実行し、改ざんされたWebサーバにPOSTメソッドでコマンドを送信することで遠隔操作をする。同社ブログでは、「BKDR_ZZPEG」をメモ帳で開いた図やJPGファイルのプロパティなども掲載している。
「BKDR_ZZPEG」である JPG画像ファイルをメモ帳で開いた場合の表示(同社ブログより) |
「BKDR_ZZPEG」である JPG画像ファイルのプロパティ表示(同社ブログより) |
同社は、現状のところ「BKDR_ZZPEG」はクライアント側で検出されても直接の脅威はないこと、Web閲覧者に拡散するような仕組みはないものの、データベースからの情報窃取などを狙っている可能性があるとして、対策を勧めている。