今年3月から続いている正規サイトの改ざんが6月末から再び増加している。このことは7日付けの「ネットセキュリティニュース」で報告したが、トレンドマイクロも17日、正規サイト改ざんと不正プログラム感染に関する警告を行った。トレンドマイクロによると17日時点で、全世界で最大21万ページ、国内で9460ページが改ざんされている可能性があるという。
今回の攻撃手法は従来どおりデータベースにscriptタグを埋め込み、正規サイトにアクセスしたユーザーを別のサイトに誘導。誘導先のiframeタグで別サイトを開き、難読化されたJavaScriptを実行する。不正JavaScriptによってダウンロードされる不正プログラムの一例は、詐欺的セキュリティソフトのひとつ「XP SecurityCenter」で、ユーザーのコンピュータがウイルスに感染しているという偽のメッセージを表示してセキュリティソフトを押し売りする。
7日付け「ネットセキュリティニュース」では、今回の攻撃の誘導先に、ボットネット化されたユーザーのPCが使われており、Fast-Flux(ファストフラックス)という、ドメイン名に対応するホストを次々に変えていく手法が使われていると報告した。
トレンドマイクロによると、トロイの木馬「TROJ_ASPROX」に感染してボットネット化されたユーザーのPCがSQLインジェクション攻撃にも使われていることが判明した。また、不正なJavaScriptが仕掛けられているドメイン数は250ほど確認されているという。
ユーザーは、正規サイトの改ざんが大量に起こっていることを念頭におき、セキュリティソフトを常に最新の状態に更新しておく、ウイルスに感染したのでセキュリティソフトを購入するように促す画面が表示されても、安易に購入しないなどの注意が必要だ。
(2008/07/22 ネットセキュリティニュース)
■SQLインジェクションによる正規Webサイト改ざんとWebサイト経由の不正プログラム感染を警告(トレンドマイクロ)
http://jp.trendmicro.com/jp/threat/security_news/virusnews/article/20080717131610.html
■ASP技術を採用しているウェブサイトにて改ざん被害が広がる(トレンドマイクロセキュリティブログ)
http://blog.trendmicro.co.jp/archives/1434
■改ざん被害拡大の一因は、不当な営業活動を広げる偽セキュリティソフトウェア(トレンドマイクロセキュリティブログ)
http://blog.trendmicro.co.jp/archives/1446