目次
サイト改ざんは4千件以上
JPCERT/CC によると、2013 年(平成 25 年)4 月以降に見つかったサイト改ざんは 4000 件以上に及びます。うち 2 割は、サイト管理者に通知後も改善されていないとのことです。
専門家は「管理者は被害者であると同時に、ウイルスをまき散らす加害者にもなる。改ざんを知ったらまず公表を」と呼びかけています。
通知を受けても、運営会社とウェブデザイン会社、サーバー事業者の連携がうまくいかなかったり、担当者の知識不足から正しい対策がとられず繰り返し改ざんされるケースがあるといいます。
専門家は「管理者は被害者であると同時に、ウイルスをまき散らす加害者にもなる。改ざんを知ったらまず公表を」と呼びかけています。
通知を受けても、運営会社とウェブデザイン会社、サーバー事業者の連携がうまくいかなかったり、担当者の知識不足から正しい対策がとられず繰り返し改ざんされるケースがあるといいます。
讀賣新聞(2013 年 12 月 6 日)より
事例
| 時期 | サイト | 状況 |
|---|---|---|
| 2007年6 | イタリア | 数百の正規サイトにマルウェアが仕掛けられる。 |
| 2007年6月 | 日本 | 複数の自治体サイトにマルウェアが仕掛けられる。 |
| 2007年7月 | 魔法のiらんど | トロイの木馬がダウンロードされる。 |
| 2007年8月 | 国連のエイズ問題啓発サイト | トロイの木馬がダウンロードされ、ユーザーのマシンがボットネットに組み込まれる。 |
| 2008年3月 | セキュリティソフト・ベンダのトレンドマイクロ | 「ウイルス情報ページ」の一部が改竄され、トロイの木馬が組み込まれる。 |
| 2008年10月 | ゴルフダイジェスト・オンライン | メールマガジンへ不正サイトへ誘導するURLを紛れ込ませる。 |
| 2008年11月 | JR北海道 | Flashの脆弱性を突き、別のウイルス・プログラムをダウンロードする。 |
問題点:正規サイトなので遮断が難しい
マルウェアが悪質サイトに置かれている場合は、悪質サイトとの通信を遮断すれば十分でした。ところが、今回のケースでは正規サイトにマルウェアが埋め込まれているため、正規サイトへのアクセスを中断しない限り、攻撃を避けることができません。
また、マルウェアのファイル名がランダムであることも対策を難しくしています。ファイル名が決まっていれば、罠の有無を簡単に判定できますが、ランダムな場合だと、Web ページのソースコードを丹念に調べていかなければなりません。
トレンドマイクロによると、これらのマルウェアは、QuickTime や GOM Player、Internet Explorer などの脆弱性を悪用するといいます。
これらの脆弱性が修正されていないパソコンでは、最悪の場合、悪意のある第三者に乗っ取られ、ボットネットに組み込まれてしまいます。
2007 年(平成 19 年)9 月 5 日、千葉大学医学部附属病院では、電子カルテ・サーバーに接続している院内 PC が次々とウイルするに感染するという事故が起きました。感染した PC の数は 1,200 台に及び、診療や処方箋オーダーなどの病院業務に支障が出ました。
原因は、看護師が資料作成のために正規の中国サイトにアクセスしたことだった。このサイトには対策ソフトにはパターン・ファイルを用意されていないウイルスが仕掛けられており、中国製の対策ソフトを使うなどして事態を収拾したということです。
皮肉なことに、2008 年(平成 20 年)3 月 12 日、トレンドマイクロ自身の公式ページ「ウイルス情報ページ」の一部が改竄され、トロイの木馬 JS_DLOADER.TZE が仕掛けられました。
2008 年(平成 20 年)10 月に発生したゴルフダイジェスト・オンラインのケースはユニークで、メールマガジンに不正なサイトへ誘導する URL が埋め込まれるというタイプのものでした。
セキュリティベンダーのラックによると、攻撃の発信元は中国と見られ、3 月 4 日以降、国内外の 1,000 以上のサイト、13,000 ページ以上が改竄されていると見られています。これらは SQL インジェクションによる攻撃とのことです。
また、F-Secure によると、世界中で 51 万件の改竄があったということです。
2008 年(平成 20 年)4 月の時点では、"1.js" というファイルを正規サイトに不正に仕込み、AIM, RealPlayer, iTunes などの脆弱性を突いたエクスプロイトを使って、正規サイトを訪れたユーザーのシステムにマルウェアを感染させています。Google で検索すると、正規のサイト、とくにブログで "1.js" へのハイパーリンクを検出します。注意が必要です。
セキュリティ企業の米Websense は、2008 年(平成 20 年)上半期の悪質サイト動向に関する報告書をまとめました。この中で、米国の人気上位 100 サイトのうち、60%が悪質なコンテンツをホスティングしているか、ユーザーを悪質サイトへリダイレクトする隠しコードが仕込まれていたと発表しています。
また、「悪質サイト」と分類したサイトのうち 75%は、正規サイトが外部からの攻撃によって改竄されたものだった。この割合は、2007 年(平成 19 年)下半期に比べて 50%増加したという。
狙われた人気サイトは、SNS や検索サイトなどが多く、ユーザーが作成したスクリプトに脆弱性がありました。
2014 年(平成 26 年)1 月、KADOKAWA の公式サイトが改ざんされ、オンラインバンキングなどの情報を盗み出すトロイの木馬「Infostealer.Torpplar」が仕込まれました。
Infostealer.Torpplar は日本のユーザーから情報を盗み出すために作られたマルウェアで、オンラインバンキングサイトやオンラインショッピングサイト、クレジットカードサイトなどを含む日本語の Web サイトがウィンドウに表示されているかどうかを監視し、情報を盗み出して平文で送信するものです。
また、マルウェアのファイル名がランダムであることも対策を難しくしています。ファイル名が決まっていれば、罠の有無を簡単に判定できますが、ランダムな場合だと、Web ページのソースコードを丹念に調べていかなければなりません。
トレンドマイクロによると、これらのマルウェアは、QuickTime や GOM Player、Internet Explorer などの脆弱性を悪用するといいます。
これらの脆弱性が修正されていないパソコンでは、最悪の場合、悪意のある第三者に乗っ取られ、ボットネットに組み込まれてしまいます。
2007 年(平成 19 年)9 月 5 日、千葉大学医学部附属病院では、電子カルテ・サーバーに接続している院内 PC が次々とウイルするに感染するという事故が起きました。感染した PC の数は 1,200 台に及び、診療や処方箋オーダーなどの病院業務に支障が出ました。
原因は、看護師が資料作成のために正規の中国サイトにアクセスしたことだった。このサイトには対策ソフトにはパターン・ファイルを用意されていないウイルスが仕掛けられており、中国製の対策ソフトを使うなどして事態を収拾したということです。
皮肉なことに、2008 年(平成 20 年)3 月 12 日、トレンドマイクロ自身の公式ページ「ウイルス情報ページ」の一部が改竄され、トロイの木馬 JS_DLOADER.TZE が仕掛けられました。
2008 年(平成 20 年)10 月に発生したゴルフダイジェスト・オンラインのケースはユニークで、メールマガジンに不正なサイトへ誘導する URL が埋め込まれるというタイプのものでした。
セキュリティベンダーのラックによると、攻撃の発信元は中国と見られ、3 月 4 日以降、国内外の 1,000 以上のサイト、13,000 ページ以上が改竄されていると見られています。これらは SQL インジェクションによる攻撃とのことです。
また、F-Secure によると、世界中で 51 万件の改竄があったということです。
2008 年(平成 20 年)4 月の時点では、"1.js" というファイルを正規サイトに不正に仕込み、AIM, RealPlayer, iTunes などの脆弱性を突いたエクスプロイトを使って、正規サイトを訪れたユーザーのシステムにマルウェアを感染させています。Google で検索すると、正規のサイト、とくにブログで "1.js" へのハイパーリンクを検出します。注意が必要です。
セキュリティ企業の米Websense は、2008 年(平成 20 年)上半期の悪質サイト動向に関する報告書をまとめました。この中で、米国の人気上位 100 サイトのうち、60%が悪質なコンテンツをホスティングしているか、ユーザーを悪質サイトへリダイレクトする隠しコードが仕込まれていたと発表しています。
また、「悪質サイト」と分類したサイトのうち 75%は、正規サイトが外部からの攻撃によって改竄されたものだった。この割合は、2007 年(平成 19 年)下半期に比べて 50%増加したという。
狙われた人気サイトは、SNS や検索サイトなどが多く、ユーザーが作成したスクリプトに脆弱性がありました。
2014 年(平成 26 年)1 月、KADOKAWA の公式サイトが改ざんされ、オンラインバンキングなどの情報を盗み出すトロイの木馬「Infostealer.Torpplar」が仕込まれました。
Infostealer.Torpplar は日本のユーザーから情報を盗み出すために作られたマルウェアで、オンラインバンキングサイトやオンラインショッピングサイト、クレジットカードサイトなどを含む日本語の Web サイトがウィンドウに表示されているかどうかを監視し、情報を盗み出して平文で送信するものです。
問題点:自分のPCを乗っ取られる
ラックの国別監視情報によると、2008 年(平成 20 年)12 月 14 日から韓国のボットネットを使った攻撃が急激に増えており、19 日付近からは日本国内の PC からの攻撃も増えています。これは、改竄を受けた Web サイトを閲覧した日本の PC がマルウェアに感染し、ボットネットワークに組み込まれたためと推測されています。
いくつかのマルウェアは、感染した PC をボットネットに組み込み、悪意のある第三者から自由にその PC を遠隔操作できるようにします。CPU やネットワークに負担をかけないように密かに操作されるので、PC 利用者は気づかずに、他のサイトを攻撃したり、スパムメールを送ることになります。
詳しいことは「あなたの PC が乗っ取られる~ボットネット」
いくつかのマルウェアは、感染した PC をボットネットに組み込み、悪意のある第三者から自由にその PC を遠隔操作できるようにします。CPU やネットワークに負担をかけないように密かに操作されるので、PC 利用者は気づかずに、他のサイトを攻撃したり、スパムメールを送ることになります。
詳しいことは「あなたの PC が乗っ取られる~ボットネット」
問題点:メールマガジンでも感染
2009 年(平成 21 年)7 月、トレンドマイクロは、企業からの正規のメールマガジンによってウイルス感染してしまった事例を発表しました。
このメールマガジンによって不正に誘導されるサーバが中国にあり、目的はオンラインゲームの ID とパスワードを盗み出すことだったということです。
原因として、企業のメールマガジン担当者のパソコンがウイルスに感染していたためと考えられます。
このメールマガジンによって不正に誘導されるサーバが中国にあり、目的はオンラインゲームの ID とパスワードを盗み出すことだったということです。
原因として、企業のメールマガジン担当者のパソコンがウイルスに感染していたためと考えられます。
問題点:広告で不正サイトに誘導
2014 年(平成 26 年)12 月から 2015 年(平成 27 年)1 月にかけ、Google AdWords のアカウントが乗っ取られ、その広告の掲載サイトが表示されると自動的に不正サイトにリダイレクトされる事件が発生しました。リダイレクト先の Web サイトは、「Forbes」「Good Housekeeping」などの大手雑誌に見せかけたでっち上げの記事でダイエット商品などを宣伝する内容だったそうです。
セキュリティ企業の Sucuri は「Google の AdSense と AdWords の両方に極めて深刻なセキュリティ上の欠陥があることが示された」と報じています。
Google が対策に乗り出した 2015 年(平成 27 年)1 月 11 日から苦情は出なくなったようですが、Google は依然として無許可のリダイレクトといった潜在的に有害な副作用を発生させるコードの使用を広告主に許可しています。
セキュリティ企業の Sucuri は「Google の AdSense と AdWords の両方に極めて深刻なセキュリティ上の欠陥があることが示された」と報じています。
Google が対策に乗り出した 2015 年(平成 27 年)1 月 11 日から苦情は出なくなったようですが、Google は依然として無許可のリダイレクトといった潜在的に有害な副作用を発生させるコードの使用を広告主に許可しています。
Google配信の AdSense で悪用発生、不正サイトに誘導される(ITmedia,2015 年 1 月 16 日)
対策:ユーザー側
ユーザー側の対策としては、いまのところ以下のような対症療法しかありません。
- OS やアプリケーションのパッチを当てる。
- 最新のアンチウイルスソフトを導入する。
- 怪しいリンクを踏まない。
- HTML メールを開かない。(送受信はテキストメールに限る)
対策:サービス提供側
サービス提供者側は、自サイトにマルウェアが埋め込まれないように常に注意していなければなりません。とくに不特定多数からの投稿を許可しているブログや掲示板は注意が必要です。
公開しているすべてのファイルが正規のものかどうか、随時、マルウェアチェックを行うべきです。オリジナル・ファイルとハッシュ値を比較するだけでも、相当の効果があるでしょう。
また、コンテンツ配布などで利用している外部サービスが、セキュリティ対策が十分なものであるか検証が必要です。
2014 年(平成 26 年)に発覚した「JUGEM」「ロリポプログ」「デイズブログ」などが改ざんされた事案では、外部サービスを使って配信していた公式 JavaScript ファイルが改ざんされたというものでした。
セキュリティベンダーのラックは、2008 年(平成 20 年)8 月 20 日に発表した CSL レポート「ビジネス化がさらに加速するサイバー攻撃」の中で、中国を発信元とした Web 改竄攻撃がビジネス化していると報告しています。攻撃者は、攻撃コード生成ツールを有料で購入し、一般ユーザーの個人情報やクレジットカード情報などを奪って、ブラックマーケットで売りさばいているとみられています。
これらの攻撃に共通する傾向として、Google 検索機能を利用して脆弱性が存在する Web ページを探索し、SQL インジェクション攻撃を試みるという手順を自動化しているといいます。
サービス提供側としては、公開しているコンテンツ、とくに Web2.0 を指向した動的ページやスクリプトに脆弱性がないことに常に目を光らせている必要があります。
また、メールマガジンや販促用USB メモリなど、Web 以外の手段で情報提供している内容についてもチェックする必要があります。
とくにメールマガジンについては、送信前にウイルスチェックすることはもちろん、HTML メールは用いない方が無難でしょう。
公開しているすべてのファイルが正規のものかどうか、随時、マルウェアチェックを行うべきです。オリジナル・ファイルとハッシュ値を比較するだけでも、相当の効果があるでしょう。
また、コンテンツ配布などで利用している外部サービスが、セキュリティ対策が十分なものであるか検証が必要です。
2014 年(平成 26 年)に発覚した「JUGEM」「ロリポプログ」「デイズブログ」などが改ざんされた事案では、外部サービスを使って配信していた公式 JavaScript ファイルが改ざんされたというものでした。
セキュリティベンダーのラックは、2008 年(平成 20 年)8 月 20 日に発表した CSL レポート「ビジネス化がさらに加速するサイバー攻撃」の中で、中国を発信元とした Web 改竄攻撃がビジネス化していると報告しています。攻撃者は、攻撃コード生成ツールを有料で購入し、一般ユーザーの個人情報やクレジットカード情報などを奪って、ブラックマーケットで売りさばいているとみられています。
これらの攻撃に共通する傾向として、Google 検索機能を利用して脆弱性が存在する Web ページを探索し、SQL インジェクション攻撃を試みるという手順を自動化しているといいます。
サービス提供側としては、公開しているコンテンツ、とくに Web2.0 を指向した動的ページやスクリプトに脆弱性がないことに常に目を光らせている必要があります。
また、メールマガジンや販促用USB メモリなど、Web 以外の手段で情報提供している内容についてもチェックする必要があります。
とくにメールマガジンについては、送信前にウイルスチェックすることはもちろん、HTML メールは用いない方が無難でしょう。
サイト改ざんの主な手口
ウェブサイト等の脆弱性を突かれる
SQL インジェクション、クロスサイト・スクリプティング(XSS)、クロスサイト・リクエストフォージェリ(CSRF)、サーバー OS や CMS などの脆弱性(ゼロデイ攻撃)があります。
管理者アカウントを乗っ取られる
管理者のパソコンが、標的型攻撃やソーシャル・エンジニアリングによって乗っ取られるケースで、正規の手順でサイトが改ざんされてしまいます。
SQL インジェクション、クロスサイト・スクリプティング(XSS)、クロスサイト・リクエストフォージェリ(CSRF)、サーバー OS や CMS などの脆弱性(ゼロデイ攻撃)があります。
管理者アカウントを乗っ取られる
管理者のパソコンが、標的型攻撃やソーシャル・エンジニアリングによって乗っ取られるケースで、正規の手順でサイトが改ざんされてしまいます。
Gumblar(GENO) ウイルス被害の急拡大
2009 年(平成 21 年)5 月から、Gumblar(GENO)ウイルスが急速に広がっています。このウイルスは複数の攻撃手法が組み合わされたもので、個人情報収集が目的とされています。
Web サイトを管理する PC が Gumblar に感染すると、FTP パスワードを盗まれ、Web サイトを改竄されてしまいます。改竄された Web サイトには感染用JavaScript が組み込まれ、そのサイトにアクセスしたユーザーに感染が広まるという仕組みになっています。
Gumblar は Adobe Reader や Flash Player の脆弱性を利用したものなので、これらを最新版にすることが必要です。
2010 年(平成 22 年)7 月、国内のある ISP で FTP パスワードを強制的に変更する措置をとったところ、悪用されるサイトの 1~2 割を占めていた国内サイトが 3%にまで減少したといいます。
2010 年(平成 22 年)1 月 18 日、電子情報技術産業協会(JEITA)のサイトが Gumblar に感染していることが明らかになりました。
JEITA は日本の家電、コンピューター、携帯電話の標準化などを行う業界団体ですが、1 月 21 日の時点では、FTP のログイン ID とパスワードの流出経路は分かっていないということです。
G Data Software が 2010 年(平成 22 年)9 月に発表した「日本におけるガンブラー攻撃とその対策」によると、改ざん報告をインターネットで公式に発表したサイト数は、2009 年(平成 21 年)12 月から 2010 年(平成 22 年)8 月まで、9 ヶ月間で合計209 件もあったといいます。
G Data Software は対策ポイントとして次の 7 つをあげています。
Web サイトを管理する PC が Gumblar に感染すると、FTP パスワードを盗まれ、Web サイトを改竄されてしまいます。改竄された Web サイトには感染用JavaScript が組み込まれ、そのサイトにアクセスしたユーザーに感染が広まるという仕組みになっています。
Gumblar は Adobe Reader や Flash Player の脆弱性を利用したものなので、これらを最新版にすることが必要です。
2010 年(平成 22 年)7 月、国内のある ISP で FTP パスワードを強制的に変更する措置をとったところ、悪用されるサイトの 1~2 割を占めていた国内サイトが 3%にまで減少したといいます。
2010 年(平成 22 年)1 月 18 日、電子情報技術産業協会(JEITA)のサイトが Gumblar に感染していることが明らかになりました。
JEITA は日本の家電、コンピューター、携帯電話の標準化などを行う業界団体ですが、1 月 21 日の時点では、FTP のログイン ID とパスワードの流出経路は分かっていないということです。
G Data Software が 2010 年(平成 22 年)9 月に発表した「日本におけるガンブラー攻撃とその対策」によると、改ざん報告をインターネットで公式に発表したサイト数は、2009 年(平成 21 年)12 月から 2010 年(平成 22 年)8 月まで、9 ヶ月間で合計209 件もあったといいます。
G Data Software は対策ポイントとして次の 7 つをあげています。
- 管理用パソコンの見直しとサイトコンテンツの確認
- FTP のパスワードの変更
- サイトを更新する IP アドレスの制限
- ソフトウェアやプラグインの脆弱性の解消
- サポートが終了している OS やプログラムの不使用
- ウイルス対策ソフトの適切な使用(こまめなアップデートと定期的なフルスキャン)
- ファイアウォールの適切な使用
参考サイト
- ウェブサイト改ざんの脅威と対策:IPA,2014 年 8 月
- ウェブサイトの改ざんの手口を解説:ASCII,2021 年 1 月 5 日
- 「外部サービス」が原因、公式サイトの改ざん被害相次ぐ:@IT,2014 年 6 月 3 日
- ウェブサイトを閲覧しただけでウイルスに感染させられる“ドライブ・バイ・ダウンロード”攻撃に注意しましょう! :IPA,2010 年 12 月 6 日
- "ガンブラー" の手口を知り、対策を行いましょう :IPA
- 被害が多発する「Gumblar ウイルス」への対策を実施しよう:InternetWatch
- Web サイトの改竄攻撃が拡大、世界で数十万ページが被害:ITmedia
- いつも見ていたウェブサイトなのにウイルス検知?:IPA
- 正規サイトに仕掛けられた「わな」
(この項おわり)
最新のセキュリティソフトを導入していないと、SSL 通信で暗号化された正規サイトといえども、安心してアクセスすることができなくなりつつあります。
ウェブサイトを閲覧しただけで、利用者のパソコンにウイルスを感染させられてしまう攻撃のことを「ドライブ・バイ・ダウンロード」(Drive-by Download)と呼びます。
セキュリティ企業のラックは、2008 年(平成 20 年)12 月 15 日から再び Web サイトの改竄行為が急増しているという警告を発信しました。今回は、靖国神社、ミキハウス、坂井地区介護保険広域連合など、次々とシステムダウンに追い込まれました。
ラックの国別監視情報によると、14 日から韓国のボットネットを使って一連の攻撃が始まり、19 日付近から改竄を受けた Web サイトを閲覧しボット感染した日本国内の PC からの攻撃が増加していると推測しています。
2013 年(平成 25 年)以降では、サイトの HTML ファイルだけで無く、JavaScript や PHP、CSS、Flash などあらゆるファイルが改ざんの対象となっています。その原因として、利用している脆弱な外部サービスが攻撃されているという背景があります。