2013年6月21日初版公開
日本では、2013年4月以降、ウェブサイトの改ざんが多発している。改ざんの一部は、ウェブサイトを閲覧中にインターネットからマルウェアを意図せずダウンロードしてしまう、いわゆるドライブバイダウンロードを引き起こす。また、少なくとも20件ほどは、政治的なメッセージを表示させるためのハクティビズムに基づく改ざんであったと考えられる。ドライブバイダウンロードの場合、難読化JavaScriptが使用されているため、インシデントに気づくことが難しい。防止するためには、FTP/SSHアカウントの適切な管理及びFTP/SSHログの確認、コンテンツ管理やサーバー管理のためのアクセスを必要最小限にとどめ、OSやソフトウェアを最新にし、改ざんが行われていないかどうか確認するためのコンテンツファイルのバックアップ及びハッシュ値リストの作成、などの措置が望ましい。
JPCERTコーディネーションセンター(JPCERT/CC)は、2013年4月~6月7日の間に約1000件の改ざん報告を受けている。改ざんされたウェブサイトには、攻撃サイトへ誘導するiframeや難読化JavaScriptが埋め込まれているため、ユーザーが改ざんされたウェブサイトを閲覧した場合、コンピュータがマルウェアに感染する恐れがある。iframeは、ウェブサイト内に別のウェブサイトを表示するためのものであるため、攻撃者は悪意のあるウェブサイトのサイズを小さくし、隠すことが可能となる。誘導先の攻撃サイトには、エクスプロイトキットが置かれ、被害者のコンピュータにAdobe Acrobat/Reader、Adobe Flash、Oracle Javaなどがインストールされてしまう可能性がある。JPCERT/CCが把握している限りでは、攻撃者は既知の脆弱性を悪用しているため、OSやソフトウェアを最新にしておくことで、マルウェアへの感染リスクを最小化することができる。JPCERT/CCは、攻撃で使用されたマルウェアの中には、FTP/SSHクライアントやウェブブラウザに保存されているアカウント情報 を摂取する機能を持っているものもあることから、アカウント情報が摂取された可能性を指摘している。 (脚注:1)
実際、警察庁では、いくつかのインシデントにおいてFTP経由にて改ざんされた例を確認している。攻撃者が事前にFTPログを入手できた場合、1回のアクセスだけでログインに成功しているケースも見られる。そのため、警察庁は、事前にFTPアカウントが摂取されたものとみている。 (脚注:2) また、検索エンジンにおいて、挿入されていたJavaSpriptの一部をキーワードとして検索すると、日本語のサイトだけでも数千件が検索結果として出てきたことから、多数のサイトが改ざんされたままの状態になっている可能性も考えられるという。 (脚注:3)
独立行政法人情報処理推進機構(IPA)は、サンプル数が少ないものの、改ざんの原因について興味深い分析を提示している。IPAは、4月1日~5月31日の間に10件の改ざん報告を受けており、Apache Struts2、Joomla!及びWordPressなどの脆弱性を悪用した改ざんだった旨分析している。過去1年単位でみた場合、Parallels Plesk Panelを使ったサーバーにBIND、 MySQL、phpAdminなどのマルウェアをインストールするケースが多かったという。 (脚注:4)
IPA、JPCERT/CC及び警察庁は攻撃者と思われる人物を名指ししていないが、Trend Micro Inc.は2013年5月に発生したウェブサイト改ざんの一部が日本を標的とした海外のハクティビストグループによって行われたと分析している。Trend Microのフォワードルッキングスレットリサーチ(FTR)は、5月30日時点で少なくとも20の国内ウェブサイトが改ざん被害を受けている旨確認している。被害を受けたウェブサイトは、個人のウェブサイトからオンライショッピングサイトと、様々であり、無差別に改ざんが行われたものとFTRはみている。改ざんされたウェブサイトには、ハクティビストグループの政治的なメッセージや動画が示されており、マルウェア感染を目的としたものではない。今回のハクティビズムの中心的人物は、中国で人気のインスタントメッセンジャのQQを使って、改ざんしたウェブサイトの好評やさらなる攻撃拡大を煽っていた。また、同人物は、SQLインジェクションなどのハッキング手法を広める活動にも以前従事していたという。 (脚注:5)
参考情報:
日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。