2013年3月20日水曜日

約300サイトがすでに改ざん 広がるウイルス感染の手口

インターネットで公開されているサービスはどれだけいい加減はよくわかる例です。

約300サイトがすでに改ざん 広がるウイルス感染の手口
日本経済新聞 2013/3/20 6:30

 セキュリティー各社などは2013年3月15日以降、国内のWebサイトが改ざんされ、ウイルス(悪質なプログラム)に感染させるわなが仕掛けられているとして注意を呼びかけている。改ざんされたWebサイトに、古いJavaやAdobe Reader、Flash Playerなどがインストールされているパソコンでアクセスすると、ウイルスに感染する恐れがある。

 国内のWebサイトを狙った攻撃が相次いでいる。ターゲットになっているのは、Webサーバーソフト「Apache(アパッチ)」を使用しているWebサイトである。攻撃者は何らかの方法でWebサイトに侵入し、攻撃者が用意した悪質なApacheモジュール(ウイルス)である「Darkleech Apache Module」を仕込んでいるもようだ。

 トレンドマイクロの情報によれば、このDarkleech Apache Moduleは、Webサイトにアクセスしたユーザーに送信するWebページのデータを改変する。別の悪質サイトにリダイレクトするようなコードを挿入するという。

 つまり、Webサイトに置かれた静的なファイル(HTMLファイルなど)を改ざんするのではなく、送信されるデータのみを改ざんする。このため、Webサイト管理者は被害に気が付きにくいと考えられる。

 なお、Darkleech Apache Module自体には、感染を広げたり、Webサイトに侵入したりする機能はないとされる。

■国内40サイト以上が感染の入り口に

 リダイレクト先の悪質サイトには、「Black Hole Exploit Kit(BHEK)」と呼ばれる攻撃ツールが仕掛けられている。

 BHEKには、ソフトウエアの脆弱性を悪用して、任意のウイルスを感染させる機能がある。具体的には、JavaやAdobe Reader、Flash Playerといった有名なソフトウエアの脆弱性を悪用して、Webサイトにアクセスしたパソコンにウイルスを感染させる。

 以上をまとめると、Darkleech Apache Moduleが仕込まれたWebサイトにアクセスすると、BHEKが仕掛けられたWebサイトにリダイレクトされ、Javaなどの脆弱性を悪用されてウイルスに感染させられる。感染したウイルスは、別のウイルスを次々とダウンロードし、パソコンは事実上乗っ取られてしまう。

 3月15日以降、多数の国内サイトにDarkleech Apache Moduleが仕込まれているようだ。そのほとんどは、企業や組織が運営する正規のWebサイトだ。環境省が公開するWebサイト「CO2みえ~るツール」もその一つ。同省では、CO2みえ~るツールが攻撃を受けたことを3月17日に発表している。

 セキュリティー情報サイト「0day.jp」では、3月15日時点で285件の国内サイトが改ざんされたことを報告している。また、IIJのセキュリティーチームも、3月15日時点で少なくとも40件の国内サイトが、BHEKへの入り口になっていることを確認したとしている。

 現時点では、Darkleech Apache Moduleがどのように仕掛けられているのかは不明。Webサイトの管理者、特にApacheを利用しているWebサイトの管理者は、自分が管理するWebサイトのセキュリティーを再点検するとともに、怪しいモジュールが存在しないかどうか確かめた方がよい。

 ユーザーの対策は、利用しているソフトウエアの脆弱性を解消すること。JavaやAdobe Reader、Flash Player、Windows、Internet Explorerなどを最新版にしていれば、BHEKのWebサイトにリダイレクトされた場合でも、ウイルスに感染する危険性を最小限に抑えられる。これらのソフトのアップデート方法は、環境省の発表資料などに記載されている。

0 件のコメント:

コメントを投稿