正規サイトにも用心を

(1/1)
イギリスのセキュリティ企業英ウェブセンスが発表した2007 年下半期のセキュリティ動向報告書によると、正規サイトがハッキングされ攻撃に利用されるケースが増加し、悪用目的で開設されたサイトの数を初めて上回りました。
最新のセキュリティソフトを導入していないと、SSL通信*で暗号化された正規サイトといえども、安心してアクセスすることはできません。

事例
時期サイト状況
2007 年 6 月イタリア数百の正規サイトにマルウェアが仕掛けられる。
2007 年 6 月日本複数の自治体サイトにマルウェアが仕掛けられる。
2007 年 7 月魔法の i らんどトロイの木馬がダウンロードされる。
2007 年 8 月国連のエイズ問題啓発サイトトロイの木馬がダウンロードされ、ユーザーのマシンがボットネットに組み込まれる。
2008 年 3 月セキュリティソフト・ベンダのトレンドマイクロ「ウイルス情報ページ」の一部が改竄され、トロイの木馬が組み込まれる。

問題
マルウェアが悪質サイトに置かれている場合は、悪質サイトとの通信を遮断すれば十分でした。ところが、今回のケースでは正規サイトにマルウェアが埋め込まれているため、正規サイトへのアクセスを中断しない限り、攻撃を避けることができません。
また、マルウェアのファイル名がランダムであることも対策を難しくしています。ファイル名が決まっていれば、罠の有無を簡単に判定できますが、ランダムな場合だと、Web ページのソースコードを丹念に調べていかなければなりません。
space
トレンドマイクロによると、これらのマルウェアは、QuickTime や GOM Player、Internet Explorer などの脆弱性を悪用するといいます。
これらの脆弱性が修正されていないパソコンでは、最悪の場合、悪意のある第三者に乗っ取られ、ボットネットに組み込まれてしまいます。
space
2007 年 9 月 5 日、千葉大学医学部附属病院では、電子カルテ・サーバーに接続している院内 PC が次々とウイルするに感染するという事故が起きました。感染した PC の数は 1200 台に及び、診療や処方箋オーダーなどの病院業務に支障が出ました。
原因は、看護師が資料作成のために正規の中国サイトにアクセスしたことだった。このサイトには対策ソフトにはパターン・ファイルを用意されていないウイルスが仕掛けられており、中国製の対策ソフトを使うなどして事態を収拾したということです。
space
皮肉なことに、2008 年 3 月 12 日、トレンドマイクロ自身の公式ページ「ウイルス情報ページ」の一部が改竄され、トロイの木馬 JS_DLOADER.TZE が仕掛けられました。
space
セキュリティベンダーのラックによると、攻撃の発信元は中国と見られ、3 月 4 日以降、国内外の 1,000 以上のサイト、13,000 ページ以上が改竄されていると見られています。これらは SQL インジェクションによる攻撃とのことです。
また、F-Secure によると、世界中で 51 万件の改竄があったということです。
2008 年 4 月の時点では、"1.js" というファイルを正規サイトに不正に仕込み、AIM, RealPlayer, iTunes などの脆弱性を突いたエクスプロイトを使って、正規サイトを訪れたユーザーのシステムにマルウェアを感染させています。Google で検索すると、正規のサイト、とくにブログで "1.js" へのハイパーリンクを検出します。注意が必要です。
space
セキュリティ企業の米Websense は、2008 年上半期の悪質サイト動向に関する報告書をまとめました(WEB 2.0 AND "LEGIT" WEB SITES ARE LATEST PLAYGROUND FOR INFORMATION-STEALING COMPUTER CRIMINALS)。この中で、米国の人気上位 100 サイトのうち、60%が悪質なコンテンツをホスティングしているか、ユーザーを悪質サイトへリダイレクトする隠しコードが仕込まれていたと発表しています。
また、「悪質サイト」と分類したサイトのうち 75%は、正規サイトが外部からの攻撃によって改ざんされたものだった。この割合は、2007 年下半期に比べて 50%増加したという。
狙われた人気サイトは、SNS や検索サイトなどが多く、ユーザーが作成したスクリプトに脆弱性がありました。

対策:ユーザー側
ユーザー側の対策としては、いまのところ対症療法しかありません。
  • OS やアプリケーションのパッチを当てる。
  • 最新のアンチウイルスソフトを導入する。
  • 怪しいリンクを踏まない。

対策:サービス提供側
サービス提供者側は、自サイトにマルウェアが埋め込まれないように常に注意していなければなりません。とくに不特定多数からの投稿を許可しているブログや掲示板は注意が必要です。
公開しているすべてのファイルが正規のものかどうか、随時、マルウェアチェックを行うべきです。オリジナル・ファイルとハッシュ値を比較するだけでも、相当の効果があるでしょう。
space
セキュリティベンダーのラックは、2008 年 8 月 20 日に発表した CSL レポート「ビジネス化がさらに加速するサイバー攻撃」の中で、中国を発信元とした Web 改ざん攻撃がビジネス化していると報告しています。攻撃者は、攻撃コード生成ツールを有料で購入し、一般ユーザーの個人情報やクレジットカード情報などを奪って、ブラックマーケットで売りさばいているとみられています。
これらの攻撃に共通する傾向として、Google 検索機能を利用して脆弱性が存在する Web ページを探索し、SQL インジェクション攻撃を試みるという手順を自動化しているといいます。
サービス提供側としては、公開しているコンテンツ、とくに Web2.0 を指向した動的ページやスクリプトに脆弱性がないことに常に目を光らせている必要があります。

参考サイト
(この項おわり)
space 前へ space 目次 space 次へ space space 関連ページ
Valid XHTML 1.0 Transitional
2008年08月24日更新
写真と記事 (C)2008 studio pahoo
(※)本ページはリンクフリーですが、複製・転載時にはご一報ください
header
ホーム  > Web技術  > プライバシーを守る  > 事例研究