正規サイトにも用心を

イギリスのセキュリティ企業英ウェブセンスが発表した2007 年下半期のセキュリティ動向報告書によると、正規サイトがハッキングされ攻撃に利用されるケースが増加し、悪用目的で開設されたサイトの数を初めて上回りました。
最新のセキュリティソフトを導入していないと、SSL 通信で暗号化された正規サイトといえども、安心してアクセスすることができなくなりつつあります。

セキュリティ企業のラックは、2008 年 12 月 15 日から再び Web サイトの改竄行為が急増しているという警告を発信しました。今回は、靖国神社、ミキハウス、坂井地区介護保険広域連合など、次々とシステムダウンに追い込まれました。
ラックの国別監視情報によると、14 日から韓国のボットネットを使って一連の攻撃が始まり、19 日付近から改竄を受けた Web サイトを閲覧しボット感染した日本国内の PC からの攻撃が増加していると推測しています。

JPCERT/CC、Web サイト改ざんおよび Gumblar ウイルス感染拡大に関して注意喚起より

事例

時期	サイト	状況
2007 年 6 月	イタリア	数百の正規サイトにマルウェアが仕掛けられる。
2007 年 6 月	日本	複数の自治体サイトにマルウェアが仕掛けられる。
2007 年 7 月	魔法の i らんど	トロイの木馬がダウンロードされる。
2007 年 8 月	国連のエイズ問題啓発サイト	トロイの木馬がダウンロードされ、ユーザーのマシンがボットネットに組み込まれる。
2008 年 3 月	セキュリティソフト・ベンダのトレンドマイクロ	「ウイルス情報ページ」の一部が改竄され、トロイの木馬が組み込まれる。
2008 年 10 月	ゴルフダイジェスト・オンライン	メールマガジンへ不正サイトへ誘導する URL を紛れ込ませる。
2008 年 11 月	JR 北海道	Flash の脆弱性を突き、別のウイルス・プログラムをダウンロードする。

問題点：正規サイトなので遮断が難しい

マルウェアが悪質サイトに置かれている場合は、悪質サイトとの通信を遮断すれば十分でした。ところが、今回のケースでは正規サイトにマルウェアが埋め込まれているため、正規サイトへのアクセスを中断しない限り、攻撃を避けることができません。
また、マルウェアのファイル名がランダムであることも対策を難しくしています。ファイル名が決まっていれば、罠の有無を簡単に判定できますが、ランダムな場合だと、Web ページのソースコードを丹念に調べていかなければなりません。

トレンドマイクロによると、これらのマルウェアは、QuickTime や GOM Player、Internet Explorer などの脆弱性を悪用するといいます。
これらの脆弱性が修正されていないパソコンでは、最悪の場合、悪意のある第三者に乗っ取られ、ボットネットに組み込まれてしまいます。

2007 年 9 月 5 日、千葉大学医学部附属病院では、電子カルテ・サーバーに接続している院内 PC が次々とウイルするに感染するという事故が起きました。感染した PC の数は 1,200 台に及び、診療や処方箋オーダーなどの病院業務に支障が出ました。
原因は、看護師が資料作成のために正規の中国サイトにアクセスしたことだった。このサイトには対策ソフトにはパターン・ファイルを用意されていないウイルスが仕掛けられており、中国製の対策ソフトを使うなどして事態を収拾したということです。

皮肉なことに、2008 年 3 月 12 日、トレンドマイクロ自身の公式ページ「ウイルス情報ページ」の一部が改竄され、トロイの木馬 JS_DLOADER.TZE が仕掛けられました。

2008 年 10 月に発生したゴルフダイジェスト・オンラインのケースはユニークで、メールマガジンに不正なサイトへ誘導する URL が埋め込まれるというタイプのものでした。

セキュリティベンダーのラックによると、攻撃の発信元は中国と見られ、3 月 4 日以降、国内外の 1,000 以上のサイト、13,000 ページ以上が改竄されていると見られています。これらは SQL インジェクションによる攻撃とのことです。
また、F-Secure によると、世界中で 51 万件の改竄があったということです。
2008 年 4 月の時点では、"1.js" というファイルを正規サイトに不正に仕込み、AIM, RealPlayer, iTunes などの脆弱性を突いたエクスプロイトを使って、正規サイトを訪れたユーザーのシステムにマルウェアを感染させています。Google で検索すると、正規のサイト、とくにブログで "1.js" へのハイパーリンクを検出します。注意が必要です。

セキュリティ企業の米Websense は、2008 年上半期の悪質サイト動向に関する報告書をまとめました（WEB 2.0 AND "LEGIT" WEB SITES ARE LATEST PLAYGROUND FOR INFORMATION-STEALING COMPUTER CRIMINALS）。この中で、米国の人気上位 100 サイトのうち、60％が悪質なコンテンツをホスティングしているか、ユーザーを悪質サイトへリダイレクトする隠しコードが仕込まれていたと発表しています。
また、「悪質サイト」と分類したサイトのうち 75％は、正規サイトが外部からの攻撃によって改竄されたものだった。この割合は、2007 年下半期に比べて 50％増加したという。
狙われた人気サイトは、SNS や検索サイトなどが多く、ユーザーが作成したスクリプトに脆弱性がありました。

問題点：自分のPCを乗っ取られる

ラックの[国別監視情報:title=http://www.lac.co.jp/news/press20081222.html]によると、2008 年 12 月 14 日から韓国のボットネットを使った攻撃が急激に増えており、19 日付近からは日本国内の PC からの攻撃も増えています。これは、改竄を受けた Web サイトを閲覧した日本の PC がマルウェアに感染し、ボットネットワークに組み込まれたためと推測されています。

いくつかのマルウェアは、感染した PC をボットネットに組み込み、悪意のある第三者から自由にその PC を遠隔操作できるようにします。CPU やネットワークに負担をかけないように密かに操作されるので、PC 利用者は気づかずに、他のサイトを攻撃したり、スパムメールを送ることになります。
詳しいことは「あなたの PC が乗っ取られる～ボットネット」

問題点：メールマガジンでも感染

2009 年 7 月、トレンドマイクロは、企業からの正規のメールマガジンによってウイルス感染してしまった事例を発表しました。
このメールマガジンによって不正に誘導されるサーバが中国にあり、目的はオンラインゲームの ID とパスワードを盗み出すことだったということです。
原因として、企業のメールマガジン担当者のパソコンがウイルスに感染していたためと考えられます。

対策：ユーザー側
ユーザー側の対策としては、いまのところ以下のような対症療法しかありません。 OS やアプリケーションのパッチを当てる。最新のアンチウイルスソフトを導入する。怪しいリンクを踏まない。 HTML メールを開かない。（送受信はテキストメールに限る）

対策：サービス提供側

サービス提供者側は、自サイトにマルウェアが埋め込まれないように常に注意していなければなりません。とくに不特定多数からの投稿を許可しているブログや掲示板は注意が必要です。
公開しているすべてのファイルが正規のものかどうか、随時、マルウェアチェックを行うべきです。オリジナル・ファイルとハッシュ値を比較するだけでも、相当の効果があるでしょう。

セキュリティベンダーのラックは、2008 年 8 月 20 日に発表した CSL レポート「ビジネス化がさらに加速するサイバー攻撃」の中で、中国を発信元とした Web 改竄攻撃がビジネス化していると報告しています。攻撃者は、攻撃コード生成ツールを有料で購入し、一般ユーザーの個人情報やクレジットカード情報などを奪って、ブラックマーケットで売りさばいているとみられています。
これらの攻撃に共通する傾向として、Google 検索機能を利用して脆弱性が存在する Web ページを探索し、SQL インジェクション攻撃を試みるという手順を自動化しているといいます。
サービス提供側としては、公開しているコンテンツ、とくに Web2.0 を指向した動的ページやスクリプトに脆弱性がないことに常に目を光らせている必要があります。

また、メールマガジンや販促用USB メモリなど、Web 以外の手段で情報提供している内容についてもチェックする必要があります。
とくにメールマガジンについては、送信前にウイルスチェックすることはもちろん、HTML メールは用いない方が無難でしょう。

Gumblar(GENO) ウイルスの蔓延

2009 年 5 月から、Gumblar（GENO）ウイルスが急速に広がっています。

Web サイトを管理する PC が Gumblar に感染すると、FTP パスワードを盗まれ、Web サイトを改竄されてしまいます。改竄された Web サイトには感染用JavaScript が組み込まれ、そのサイトにアクセスしたユーザーに感染が広まるという仕組みになっています。
Gumblar は Adobe Reader や Flash Player の脆弱性を利用したものなので、これらを最新版にすることが必要です。
2010 年 7 月、国内のある ISP で FTP パスワードを強制的に変更する措置をとったところ、悪用されるサイトの 1～2 割を占めていた国内サイトが 3％にまで減少したといいます。

2010 年 1 月 18 日、電子情報技術産業協会（JEITA）のサイトが Gumblar に感染していることが明らかになりました。
JEITA は日本の家電、コンピューター、携帯電話の標準化などを行う業界団体ですが、1 月 21 日の時点では、FTP のログイン ID とパスワードの流出経路は分かっていないということです。