トレンドマイクロ(東京本社:東京都渋谷区)は12日、同社が提供している「ウイルス情報ページ」の一部が改ざんされたと発表した。当該ページは、同日11時30分にいったん閉鎖され、対処した後、13日8時30分より再開している。
同社によると、改ざんされたのは9日21時ごろから。サイトを閉鎖した12日11時30分の間に改ざんされたページを閲覧した場合には、ウイルスに感染したおそれがあり、同社は使用しているウイルス対策ソフトもしくは、同社のオンラインスキャンを使い、パソコン内のウイルス検索を行うよう呼びかけている。
改ざんされたのは、ウイルス情報ページのウイルス名の下に「その他の検出名」(英文ページでは「Also known as」)が表示されるページで、そこに列挙されたウイルス名に、中国に設置されたサーバから「fuckjp.js(トレンドマイクロ名:JS_AGENT.OEZ)」を読み込むSCRIPTタグが埋め込まれていた(※注)。ウェブアプリケーションの脆弱性を突くSQLインジェクションによって、自動的に埋め込まれるように細工されたものとみられる。
「JS_AGENT.OEZ」を実行すると、IFRAMEタグを使って別のページ「q.htm(トレンドマイクロ名:JS_DLOADER.TZE)」を見えないように開く。「JS_DLOADER.TZE」は、他の悪質なプログラムをダウンロードして実行するダウンローダーと呼ばれるもので、閲覧した時点で、どのようなプログラムがダウンロード・実行されたのかは分からない。
正規サイトの改ざんによるウイルス攻撃は、昨年から急増。大規模な攻撃も幾度か報告されており、セキュリティサービスのラック(本社:東京都港区)は12日、日本をターゲットとしたSQLインジェクション攻撃が急増しているとして注意を呼びかけた。攻撃は11日夜から継続的に多数観測されており、トレンドマイクロと同じ改ざん行為が行われているという。同社は、一般利用者の対策として、使用しているOSやアプリケーションを常に最新の状態にし脆弱性を解消しておくことと、普段からアクセスしているサイトに悪意のあるリンクが埋め込まれていても問題のないよう、JavaScriptを無効にすることを挙げている。
※注)編集部が調査した範囲では、埋め込まれたSCRIPTタグの「<」「>」が特殊記号を表す「<」「>」に置き換えられているため、SCRIPTタグとしては機能せず、ブラウザ上に文字列として表示されるようになっていた。改ざんページがこのような状態であれば、閲覧しただけでスクリプトが自動的に実行され、ウイルスに感染するような被害は起きない。
(2008/03/13 ネットセキュリティニュース)
■弊社ウイルス情報ページの改ざんについて(トレンドマイクロ)
http://jp.trendmicro.com/jp/about/notice/0312/index.html
■【注意喚起】日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、同行為により改ざんされたページへのアクセスによるマルウェア感染について(ラック)
http://www.lac.co.jp/news/press20080312.html
【ウイルス情報(英文)】
・JS_AGENT.OEZ(TrendMicro)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=JS_AGENT.OEZ
・JS_DLOADER.TZE(TrendMicro)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=JS_DLOADER.TZE