http://www.asyura2.com/09/it11/msg/815.html
| Tweet |
(回答先: HP改ざん多発、狙われる企業=閲覧者知らぬ間にウイルス感染 投稿者 代理投稿1 日時 2013 年 8 月 11 日 00:05:11)
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20130621-OYT8T00905.htm
トヨタ自動車などのウェブサイトが改ざんされ、閲覧者のパソコンが攻撃に遭う事件が多発している。閲覧する一般ユーザー側での対策が今すぐ必要だ。
トヨタのウェブサイト改ざん。5月下旬から国内サイトが大量に改ざん被害
企業・自治体などのウェブサイトが改ざんされる事件が、5月下旬から大量に発生している。例えばトヨタでは、ニュースなどのページが6月5日18時26分から14日21時47分まで改ざんされていた。「http://www2.toyota.co.jp/jp/news/******」のページが、閲覧者にはわからないように変更されており、閲覧者のパソコンの状態によってはウイルス感染してしまう状態になっていた。
このほかにも、5月下旬から6月上旬にかけて、以下のような事件が報道されている。
●科学技術振興機構(JST)
5/25から6/3まで、研究開発戦略センターの「デイリーウォッチャー」などのページが改ざん被害。閲覧者がウイルス感染する恐れあり(JSTによるお詫び)
●情報ネットワーク法学会
5/29から5/30まで、すぺてのページが改ざんされ、不正なスクリプトが埋め込まれていた
●神奈川県保険医協会「いい医療.com」
5/26から5/27にかけて「いい医療.com」の一部のページが改ざん被害。現在もサイトを閉鎖中
●伊勢神宮への直行バス「パールシャトル」
三重交通の関連会社・観光販売システムズが運営する「パールシャトル」のウェブサイトが改ざん被害。5/26から5/30にかけて(改ざんのお詫び)
●仙台市農作物有害鳥獣対策協議会
6/1から6/3にかけて、仙台市農作物有害鳥獣対策協議会のサイトが改ざん被害
●湘南鎌倉総合病院
湘南鎌倉総合病院のウェブサイトが6/11にサイト改ざん被害
ここで取り上げたのは報道された一部であり、ほかにも改ざんされているサイトが大量にある。
JPCERTコーディネーションセンターによれば、4月以降で約1000件の報告があるとのこと(Web サイト改ざんに関する注意喚起)。セキュリティー大手・トレンドマイクロの観測によれば、6/3の時点で、改ざんされた40のドメインに約6万ものアクセスがあった。また、セキュリティー関連ブログとして有名な「piyolog」のpiyokango氏のまとめでは、5月以降に発表されているだけで103サイトで被害が出ている(5月から多発しているHP改ざんインシデントをまとめてみた。:piyolog)。
このように5月から6月にかけて、国内のサイトが集中的に改ざん被害に遭っている。現在でも改ざんされた状態のままになっているサイトがあると思われる。
閲覧しただけでウイルス感染することもある
これらの改ざんされたサイトを閲覧した場合、ページを開いただけでウイルス感染(不正プログラムの被害)を受ける可能性がある。
改ざんは、閲覧者にはわからない形でウェブサイトの一部に不正なスクリプト(実行するための命令)を埋め込んでいる。閲覧者が古いバージョンのソフトウエア(Java、Adobe Reader/Acrobat、Adobe Flash Playerなど)を使っていると、脆弱(ぜいじゃく)性と呼ばれるプログラムの弱点を突かれ、ウイルスなどに感染してしまう。
トレンドマイクロによる今回の改ざんの推定手口
改ざんされたウェブサイトのページには、難読化されたJavaScriptが挿入されていた
上の図は、セキュリティー大手・トレンドマイクロがまとめた改ざん・感染の手口だ(国内Webサイト改ざん事例続報:攻撃手法の詳細と得られる対策の教訓)。まず犯人は、何らかの手口(後述)で企業や自治体などの正規サイトを改ざんする。ページの一部に難読化されたJavaScriptを挿入し、これによってiframe(アイフレーム:別のウェブページを表示する仕組み)を作って外部のサイト=犯人が用意した不正プログラムをダウンロードさせるサイトへ飛ばす仕組みとなっていた。
この不正プログラムは、閲覧者が使っているソフトウエアのバージョンをチェックする。Java、Adobe Reader/Acrobat、Adobe Flash Playerなど、サイト表示でよく使われるソフトのバージョンを確かめ、脆弱性のある古いバージョンがあった場合、不正な実行プログラムをダウンロードさせる流れだ。
トレンドマイクロの分析によれば、最終的にダウンロードされる実行プログラムは無意味なファイルであり、攻撃の最終的な目的は判明していないとのこと(国内Webサイト改ざん事例続報:攻撃手法の詳細と得られる対策の教訓)。
しかしながら2009年から2010年に起きた同様のガンブラー攻撃では偽セキュリティー対策ソフトでの詐欺被害、最近のサイト改ざんではオンラインバンキングでの金銭被害が出ている。このサイト改ざんは言わば「種まき」の状態であり、これからユーザー側の被害が出ると思われるので警戒が必要だ。
サイトが改ざんされる原因・手口については、二つのパターンがあると推測できる。
1:FTPのパスワード盗み出しによる改ざん
以前のガンブラー攻撃に似たパターン。ウェブサイトの管理を行っているパソコンがウイルスに感染し、ウェブサイトの管理に使われるFTPのID・パスワードを盗み取られる。またFTPのパスワードを総当たりや辞書攻撃で狙うパターンもある。犯人がFTPを使って、ウェブサイトを勝手に書き換える方法だ。
2:サーバー側の脆弱性が狙われるパターン
サーバー側で動いているプログラムの脆弱性を狙うパターン。今年前半はWordPressなどのCMS(コンテンツマネジメントシステム)の脆弱性を突くものが多かった。
トレンドマイクロの観測によれば、5月下旬から6月上旬にかけての改ざんでは、前者のFTPのパスワード盗み出しによるものが多いようだ(国内Webサイト改ざん事例続報:攻撃手法の詳細と得られる対策の教訓)。
ユーザーはソフト最新化とウイルス対策ソフトを
ユーザーの対策としては、以下のことを今すぐ実行したい。閲覧するだけでウイルス感染したり、不正プログラムの被害に遭う可能性があるので、すべてのパソコンで対策を取るべきだ。
●ウイルス対策ソフトを導入し、最新のパターンファイルを
WindowsだけでなくMacでもウイルス対策ソフトを導入すること。また有料ソフトでは、必ず契約して最新のパターンファイルにすることが必須だ。
●各種ソフトを常に最新版にする
脆弱性の残っているソフトを使っていると、閲覧しただけで被害に遭う。特にJava、Adobe Reader/Acrobat、Adobe Flash Playerは常に最新版にすること。詳しい方法はIPAによる呼びかけ「ウェブサイトが改ざんされないように対策を!〜サーバーやパソコンのみならず、システム全体での対策が必要です〜」を参照のこと。
特に気をつけたいのが、普段は使わずに、必要な時だけ起動するパソコンだ。毎日使っているものなら自動更新を設定していれば比較的安全だが、たまに起動するパソコンだとソフトウエア更新が遅くなったり、そもそも自動更新に設定しないものが多い。自宅のパソコンであまり使っていないものでも、定期的に起動して各種ソフトを最新版にして使うことを心がけたい。(ITジャーナリスト・三上洋)
(2013年6月21日 読売新聞)
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。
