目次
サイト改ざんは4千件以上
JPCERT/CCによると、2013年(平成25年)4月以降に見つかったサイト改ざんは4000件以上に及びます。うち2割は、サイト管理者に通知後も改善されていないとのことです。
専門家は「管理者は被害者であると同時に、ウイルスをまき散らす加害者にもなる。改ざんを知ったらまず公表を」と呼びかけています。
通知を受けても、運営会社とウェブデザイン会社、サーバー事業者の連携がうまくいかなかったり、担当者の知識不足から正しい対策がとられず繰り返し改ざんされるケースがあるといいます。
専門家は「管理者は被害者であると同時に、ウイルスをまき散らす加害者にもなる。改ざんを知ったらまず公表を」と呼びかけています。
通知を受けても、運営会社とウェブデザイン会社、サーバー事業者の連携がうまくいかなかったり、担当者の知識不足から正しい対策がとられず繰り返し改ざんされるケースがあるといいます。
讀賣新聞(2013年12月6日)より
事例
| 時期 | サイト | 状況 |
|---|---|---|
| 2007年6 | イタリア | 数百の正規サイトにマルウェアが仕掛けられる。 |
| 2007年6月 | 日本 | 複数の自治体サイトにマルウェアが仕掛けられる。 |
| 2007年7月 | 魔法のiらんど | トロイの木馬がダウンロードされる。 |
| 2007年8月 | 国連のエイズ問題啓発サイト | トロイの木馬がダウンロードされ、ユーザーのマシンがボットネットに組み込まれる。 |
| 2008年3月 | セキュリティソフト・ベンダのトレンドマイクロ | 「ウイルス情報ページ」の一部が改竄され、トロイの木馬が組み込まれる。 |
| 2008年10月 | ゴルフダイジェスト・オンライン | メールマガジンへ不正サイトへ誘導するURLを紛れ込ませる。 |
| 2008年11月 | JR北海道 | Flashの脆弱性を突き、別のウイルス・プログラムをダウンロードする。 |
問題点:正規サイトなので遮断が難しい
マルウェアが悪質サイトに置かれている場合は、悪質サイトとの通信を遮断すれば十分でした。ところが、今回のケースでは正規サイトにマルウェアが埋め込まれているため、正規サイトへのアクセスを中断しない限り、攻撃を避けることができません。
また、マルウェアのファイル名がランダムであることも対策を難しくしています。ファイル名が決まっていれば、罠の有無を簡単に判定できますが、ランダムな場合だと、Webページのソースコードを丹念に調べていかなければなりません。
トレンドマイクロによると、これらのマルウェアは、QuickTimeやGOM Player、Internet Explorerなどの脆弱性を悪用するといいます。
これらの脆弱性が修正されていないパソコンでは、最悪の場合、悪意のある第三者に乗っ取られ、ボットネットに組み込まれてしまいます。
2007年(平成19年)9月5日、千葉大学医学部附属病院では、電子カルテ・サーバーに接続している院内PCが次々とウイルするに感染するという事故が起きました。感染したPCの数は1,200台に及び、診療や処方箋オーダーなどの病院業務に支障が出ました。
原因は、看護師が資料作成のために正規の中国サイトにアクセスしたことだった。このサイトには対策ソフトにはパターン・ファイルを用意されていないウイルスが仕掛けられており、中国製の対策ソフトを使うなどして事態を収拾したということです。
皮肉なことに、2008年(平成20年)3月12日、トレンドマイクロ自身の公式ページ「ウイルス情報ページ」の一部が改竄され、トロイの木馬 JS_DLOADER.TZE が仕掛けられました。
2008年(平成20年)10月に発生したゴルフダイジェスト・オンラインのケースはユニークで、メールマガジンに不正なサイトへ誘導するURLが埋め込まれるというタイプのものでした。
セキュリティベンダーのラックによると、攻撃の発信元は中国と見られ、3月4日以降、国内外の1,000以上のサイト、13,000ページ以上が改竄されていると見られています。これらはSQLインジェクションによる攻撃とのことです。
また、F-Secure によると、世界中で51万件の改竄があったということです。
2008年(平成20年)4月の時点では、"1.js" というファイルを正規サイトに不正に仕込み、AIM, RealPlayer, iTunesなどの脆弱性を突いたエクスプロイトを使って、正規サイトを訪れたユーザーのシステムにマルウェアを感染させています。Google で検索すると、正規のサイト、とくにブログで "1.js" へのハイパーリンクを検出します。注意が必要です。
セキュリティ企業の米Websenseは、2008年(平成20年)上半期の悪質サイト動向に関する報告書をまとめました。この中で、米国の人気上位100サイトのうち、60%が悪質なコンテンツをホスティングしているか、ユーザーを悪質サイトへリダイレクトする隠しコードが仕込まれていたと発表しています。
また、「悪質サイト」と分類したサイトのうち75%は、正規サイトが外部からの攻撃によって改竄されたものだった。この割合は、2007年(平成19年)下半期に比べて50%増加したという。
狙われた人気サイトは、SNSや検索サイトなどが多く、ユーザーが作成したスクリプトに脆弱性がありました。
2014年(平成26年)1月、KADOKAWAの公式サイトが改ざんされ、オンラインバンキングなどの情報を盗み出すトロイの木馬「Infostealer.Torpplar」が仕込まれました。
Infostealer.Torpplarは日本のユーザーから情報を盗み出すために作られたマルウェアで、オンラインバンキングサイトやオンラインショッピングサイト、クレジットカードサイトなどを含む日本語のWebサイトがウィンドウに表示されているかどうかを監視し、情報を盗み出して平文で送信するものです。
また、マルウェアのファイル名がランダムであることも対策を難しくしています。ファイル名が決まっていれば、罠の有無を簡単に判定できますが、ランダムな場合だと、Webページのソースコードを丹念に調べていかなければなりません。
トレンドマイクロによると、これらのマルウェアは、QuickTimeやGOM Player、Internet Explorerなどの脆弱性を悪用するといいます。
これらの脆弱性が修正されていないパソコンでは、最悪の場合、悪意のある第三者に乗っ取られ、ボットネットに組み込まれてしまいます。
2007年(平成19年)9月5日、千葉大学医学部附属病院では、電子カルテ・サーバーに接続している院内PCが次々とウイルするに感染するという事故が起きました。感染したPCの数は1,200台に及び、診療や処方箋オーダーなどの病院業務に支障が出ました。
原因は、看護師が資料作成のために正規の中国サイトにアクセスしたことだった。このサイトには対策ソフトにはパターン・ファイルを用意されていないウイルスが仕掛けられており、中国製の対策ソフトを使うなどして事態を収拾したということです。
皮肉なことに、2008年(平成20年)3月12日、トレンドマイクロ自身の公式ページ「ウイルス情報ページ」の一部が改竄され、トロイの木馬 JS_DLOADER.TZE が仕掛けられました。
2008年(平成20年)10月に発生したゴルフダイジェスト・オンラインのケースはユニークで、メールマガジンに不正なサイトへ誘導するURLが埋め込まれるというタイプのものでした。
セキュリティベンダーのラックによると、攻撃の発信元は中国と見られ、3月4日以降、国内外の1,000以上のサイト、13,000ページ以上が改竄されていると見られています。これらはSQLインジェクションによる攻撃とのことです。
また、F-Secure によると、世界中で51万件の改竄があったということです。
2008年(平成20年)4月の時点では、"1.js" というファイルを正規サイトに不正に仕込み、AIM, RealPlayer, iTunesなどの脆弱性を突いたエクスプロイトを使って、正規サイトを訪れたユーザーのシステムにマルウェアを感染させています。Google で検索すると、正規のサイト、とくにブログで "1.js" へのハイパーリンクを検出します。注意が必要です。
セキュリティ企業の米Websenseは、2008年(平成20年)上半期の悪質サイト動向に関する報告書をまとめました。この中で、米国の人気上位100サイトのうち、60%が悪質なコンテンツをホスティングしているか、ユーザーを悪質サイトへリダイレクトする隠しコードが仕込まれていたと発表しています。
また、「悪質サイト」と分類したサイトのうち75%は、正規サイトが外部からの攻撃によって改竄されたものだった。この割合は、2007年(平成19年)下半期に比べて50%増加したという。
狙われた人気サイトは、SNSや検索サイトなどが多く、ユーザーが作成したスクリプトに脆弱性がありました。
2014年(平成26年)1月、KADOKAWAの公式サイトが改ざんされ、オンラインバンキングなどの情報を盗み出すトロイの木馬「Infostealer.Torpplar」が仕込まれました。
Infostealer.Torpplarは日本のユーザーから情報を盗み出すために作られたマルウェアで、オンラインバンキングサイトやオンラインショッピングサイト、クレジットカードサイトなどを含む日本語のWebサイトがウィンドウに表示されているかどうかを監視し、情報を盗み出して平文で送信するものです。
問題点:自分のPCを乗っ取られる
ラックの国別監視情報によると、2008年(平成20年)12月14日から韓国のボットネットを使った攻撃が急激に増えており、19日付近からは日本国内のPCからの攻撃も増えています。これは、改竄を受けたWebサイトを閲覧した日本のPCがマルウェアに感染し、ボットネットワークに組み込まれたためと推測されています。
いくつかのマルウェアは、感染したPCをボットネットに組み込み、悪意のある第三者から自由にそのPCを遠隔操作できるようにします。CPUやネットワークに負担をかけないように密かに操作されるので、PC利用者は気づかずに、他のサイトを攻撃したり、スパムメールを送ることになります。
詳しいことは「あなたのPCが乗っ取られる~ボットネット」
いくつかのマルウェアは、感染したPCをボットネットに組み込み、悪意のある第三者から自由にそのPCを遠隔操作できるようにします。CPUやネットワークに負担をかけないように密かに操作されるので、PC利用者は気づかずに、他のサイトを攻撃したり、スパムメールを送ることになります。
詳しいことは「あなたのPCが乗っ取られる~ボットネット」
問題点:メールマガジンでも感染
2009年(平成21年)7月、トレンドマイクロは、企業からの正規のメールマガジンによってウイルス感染してしまった事例を発表しました。
このメールマガジンによって不正に誘導されるサーバが中国にあり、目的はオンラインゲームのIDとパスワードを盗み出すことだったということです。
原因として、企業のメールマガジン担当者のパソコンがウイルスに感染していたためと考えられます。
このメールマガジンによって不正に誘導されるサーバが中国にあり、目的はオンラインゲームのIDとパスワードを盗み出すことだったということです。
原因として、企業のメールマガジン担当者のパソコンがウイルスに感染していたためと考えられます。
問題点:広告で不正サイトに誘導
2014年(平成26年)12月から2015年(平成27年)1月にかけ、Google AdWordsのアカウントが乗っ取られ、その広告の掲載サイトが表示されると自動的に不正サイトにリダイレクトされる事件が発生しました。リダイレクト先のWebサイトは、「Forbes」「Good Housekeeping」などの大手雑誌に見せかけたでっち上げの記事でダイエット商品などを宣伝する内容だったそうです。
セキュリティ企業のSucuriは「GoogleのAdSenseとAdWordsの両方に極めて深刻なセキュリティ上の欠陥があることが示された」と報じています。
Googleが対策に乗り出した2015年(平成27年)1月11日から苦情は出なくなったようですが、Googleは依然として無許可のリダイレクトといった潜在的に有害な副作用を発生させるコードの使用を広告主に許可しています。
セキュリティ企業のSucuriは「GoogleのAdSenseとAdWordsの両方に極めて深刻なセキュリティ上の欠陥があることが示された」と報じています。
Googleが対策に乗り出した2015年(平成27年)1月11日から苦情は出なくなったようですが、Googleは依然として無許可のリダイレクトといった潜在的に有害な副作用を発生させるコードの使用を広告主に許可しています。
Google配信のAdSenseで悪用発生、不正サイトに誘導される(ITmedia,2015年1月16日)
対策:ユーザー側
ユーザー側の対策としては、いまのところ以下のような対症療法しかありません。
- OSやアプリケーションのパッチを当てる。
- 最新のアンチウイルスソフトを導入する。
- 怪しいリンクを踏まない。
- HTMLメールを開かない。(送受信はテキストメールに限る)
対策:サービス提供側
サービス提供者側は、自サイトにマルウェアが埋め込まれないように常に注意していなければなりません。とくに不特定多数からの投稿を許可しているブログや掲示板は注意が必要です。
公開しているすべてのファイルが正規のものかどうか、随時、マルウェアチェックを行うべきです。オリジナル・ファイルとハッシュ値を比較するだけでも、相当の効果があるでしょう。
また、コンテンツ配布などで利用している外部サービスが、セキュリティ対策が十分なものであるか検証が必要です。
2014年(平成26年)に発覚した「JUGEM」「ロリポプログ」「デイズブログ」などが改ざんされた事案では、外部サービスを使って配信していた公式JavaScriptファイルが改ざんされたというものでした。
セキュリティベンダーのラックは、2008年(平成20年)8月20日に発表したCSLレポート「ビジネス化がさらに加速するサイバー攻撃」の中で、中国を発信元としたWeb改竄攻撃がビジネス化していると報告しています。攻撃者は、攻撃コード生成ツールを有料で購入し、一般ユーザーの個人情報やクレジットカード情報などを奪って、ブラックマーケットで売りさばいているとみられています。
これらの攻撃に共通する傾向として、Google検索機能を利用して脆弱性が存在するWebページを探索し、SQLインジェクション攻撃を試みるという手順を自動化しているといいます。
サービス提供側としては、公開しているコンテンツ、とくにWeb2.0を指向した動的ページやスクリプトに脆弱性がないことに常に目を光らせている必要があります。
また、メールマガジンや販促用USBメモリなど、Web以外の手段で情報提供している内容についてもチェックする必要があります。
とくにメールマガジンについては、送信前にウイルスチェックすることはもちろん、HTMLメールは用いない方が無難でしょう。
公開しているすべてのファイルが正規のものかどうか、随時、マルウェアチェックを行うべきです。オリジナル・ファイルとハッシュ値を比較するだけでも、相当の効果があるでしょう。
また、コンテンツ配布などで利用している外部サービスが、セキュリティ対策が十分なものであるか検証が必要です。
2014年(平成26年)に発覚した「JUGEM」「ロリポプログ」「デイズブログ」などが改ざんされた事案では、外部サービスを使って配信していた公式JavaScriptファイルが改ざんされたというものでした。
セキュリティベンダーのラックは、2008年(平成20年)8月20日に発表したCSLレポート「ビジネス化がさらに加速するサイバー攻撃」の中で、中国を発信元としたWeb改竄攻撃がビジネス化していると報告しています。攻撃者は、攻撃コード生成ツールを有料で購入し、一般ユーザーの個人情報やクレジットカード情報などを奪って、ブラックマーケットで売りさばいているとみられています。
これらの攻撃に共通する傾向として、Google検索機能を利用して脆弱性が存在するWebページを探索し、SQLインジェクション攻撃を試みるという手順を自動化しているといいます。
サービス提供側としては、公開しているコンテンツ、とくにWeb2.0を指向した動的ページやスクリプトに脆弱性がないことに常に目を光らせている必要があります。
また、メールマガジンや販促用USBメモリなど、Web以外の手段で情報提供している内容についてもチェックする必要があります。
とくにメールマガジンについては、送信前にウイルスチェックすることはもちろん、HTMLメールは用いない方が無難でしょう。
サイト改ざんの主な手口
ウェブサイト等の脆弱性を突かれる
SQLインジェクション、クロスサイト・スクリプティング(XSS)、クロスサイト・リクエストフォージェリ(CSRF)、サーバーOSやCMSなどの脆弱性(ゼロデイ攻撃)があります。
管理者アカウントを乗っ取られる
管理者のパソコンが、標的型攻撃やソーシャル・エンジニアリングによって乗っ取られるケースで、正規の手順でサイトが改ざんされてしまいます。
SQLインジェクション、クロスサイト・スクリプティング(XSS)、クロスサイト・リクエストフォージェリ(CSRF)、サーバーOSやCMSなどの脆弱性(ゼロデイ攻撃)があります。
管理者アカウントを乗っ取られる
管理者のパソコンが、標的型攻撃やソーシャル・エンジニアリングによって乗っ取られるケースで、正規の手順でサイトが改ざんされてしまいます。
Gumblar(GENO) ウイルス被害の急拡大
2009年(平成21年)5月から、Gumblar(GENO)ウイルスが急速に広がっています。このウイルスは複数の攻撃手法が組み合わされたもので、個人情報収集が目的とされています。
Webサイトを管理するPCがGumblarに感染すると、FTPパスワードを盗まれ、Webサイトを改竄されてしまいます。改竄されたWebサイトには感染用JavaScriptが組み込まれ、そのサイトにアクセスしたユーザーに感染が広まるという仕組みになっています。
GumblarはAdobe ReaderやFlash Playerの脆弱性を利用したものなので、これらを最新版にすることが必要です。
2010年(平成22年)7月、国内のあるISPでFTPパスワードを強制的に変更する措置をとったところ、悪用されるサイトの1~2割を占めていた国内サイトが3%にまで減少したといいます。
2010年(平成22年)1月18日、電子情報技術産業協会(JEITA)のサイトがGumblarに感染していることが明らかになりました。
JEITAは日本の家電、コンピューター、携帯電話の標準化などを行う業界団体ですが、1月21日の時点では、FTPのログインIDとパスワードの流出経路は分かっていないということです。
G Data Softwareが2010年(平成22年)9月に発表した「日本におけるガンブラー攻撃とその対策」によると、改ざん報告をインターネットで公式に発表したサイト数は、2009年(平成21年)12月から2010年(平成22年)8月まで、9ヶ月間で合計209件もあったといいます。
G Data Softwareは対策ポイントとして次の7つをあげています。
Webサイトを管理するPCがGumblarに感染すると、FTPパスワードを盗まれ、Webサイトを改竄されてしまいます。改竄されたWebサイトには感染用JavaScriptが組み込まれ、そのサイトにアクセスしたユーザーに感染が広まるという仕組みになっています。
GumblarはAdobe ReaderやFlash Playerの脆弱性を利用したものなので、これらを最新版にすることが必要です。
2010年(平成22年)7月、国内のあるISPでFTPパスワードを強制的に変更する措置をとったところ、悪用されるサイトの1~2割を占めていた国内サイトが3%にまで減少したといいます。
2010年(平成22年)1月18日、電子情報技術産業協会(JEITA)のサイトがGumblarに感染していることが明らかになりました。
JEITAは日本の家電、コンピューター、携帯電話の標準化などを行う業界団体ですが、1月21日の時点では、FTPのログインIDとパスワードの流出経路は分かっていないということです。
G Data Softwareが2010年(平成22年)9月に発表した「日本におけるガンブラー攻撃とその対策」によると、改ざん報告をインターネットで公式に発表したサイト数は、2009年(平成21年)12月から2010年(平成22年)8月まで、9ヶ月間で合計209件もあったといいます。
G Data Softwareは対策ポイントとして次の7つをあげています。
- 管理用パソコンの見直しとサイトコンテンツの確認
- FTPのパスワードの変更
- サイトを更新するIPアドレスの制限
- ソフトウェアやプラグインの脆弱性の解消
- サポートが終了しているOSやプログラムの不使用
- ウイルス対策ソフトの適切な使用(こまめなアップデートと定期的なフルスキャン)
- ファイアウォールの適切な使用
参考サイト
- ウェブサイト改ざんの脅威と対策:IPA,2014年8月
- ウェブサイトの改ざんの手口を解説:ASCII,2021年1月5日
- 「外部サービス」が原因、公式サイトの改ざん被害相次ぐ:@IT,2014年6月3日
- ウェブサイトを閲覧しただけでウイルスに感染させられる“ドライブ・バイ・ダウンロード”攻撃に注意しましょう! :IPA,2010年12月6日
- "ガンブラー" の手口を知り、対策を行いましょう :IPA
- 被害が多発する「Gumblarウイルス」への対策を実施しよう:InternetWatch
- Webサイトの改竄攻撃が拡大、世界で数十万ページが被害:ITmedia
- いつも見ていたウェブサイトなのにウイルス検知?:IPA
- 正規サイトに仕掛けられた「わな」
(この項おわり)
最新のセキュリティソフトを導入していないと、SSL 通信で暗号化された正規サイトといえども、安心してアクセスすることができなくなりつつあります。
ウェブサイトを閲覧しただけで、利用者のパソコンにウイルスを感染させられてしまう攻撃のことを「ドライブ・バイ・ダウンロード」(Drive-by Download)と呼びます。
セキュリティ企業のラックは、2008年(平成20年)12月15日から再びWebサイトの改竄行為が急増しているという警告を発信しました。今回は、靖国神社、ミキハウス、坂井地区介護保険広域連合など、次々とシステムダウンに追い込まれました。
ラックの国別監視情報によると、14日から韓国のボットネットを使って一連の攻撃が始まり、19日付近から改竄を受けたWebサイトを閲覧しボット感染した日本国内のPCからの攻撃が増加していると推測しています。
2013年(平成25年)以降では、サイトのHTMLファイルだけで無く、JavaScriptやPHP、CSS、Flashなどあらゆるファイルが改ざんの対象となっています。その原因として、利用している脆弱な外部サービスが攻撃されているという背景があります。