改ざん被害により11月28日からホームページの運用を停止し、調査を行っていたJR北海道(本社:札幌市中央区)は5日、調査の途中経過を明らかにした。同社によると、改ざんされたページを閲覧していた場合、パソコンがウイルスに感染したおそれがある。また、同社が保存していた個人情報は流出していなかったという。
同社によると、11月27日、同社のホームページを閲覧すると他サイトへ誘導される事象が確認され、翌28日、ホームページの全サービスを停止して調査を実施。その結果、11月12日に不正アクセスがあり、「イベントチケット情報」「列車運行情報」「特急列車空席案内」のページが改ざんされていたことが判明した。同社では、11月12日から11月27日午後7時30分までの間にこれらのページを閲覧した場合、ウイルス「JS_AGENT.IMK」に感染したおそれがあるとして、対策ソフトやオンラインスキャン等での確認と駆除を呼び掛けている。
改ざんはSQLインジェクションによるもので、同じ時期に同じ手口で福井県や徳島県のホームページが改ざんされている。「JS_AGENT.IMK」は、パソコン内にインストールされているFlash Playerのバージョンを判別して、バージョン別のSWFファイルを読み込む。その結果、Flash Playerの脆弱性が突かれて、攻撃者が用意しておいた別のウイルスがダウンロード・実行される。ダウンローダーと呼ばれるタイプのウイルスが実行された場合は、別のウイルスが次々とダウンロード・実行されてしまう。「JS_AGENT.IMK」自体がパソコン内で悪さをするわけではなく、問題となるのは「JS_AGENT.IMK」によってパソコン内に入り込んだウイルスだ。
SQLインジェクション攻撃を受けた場合、データベースに保存されていた情報の流出が危惧されるが、JR北海道によると、今回の不正アクセスによる個人情報流出の事実は確認されなかった。
(2008/12/08 インターネットセキュリティニュース)
■ホームページの一時停止について(JR北海道)
http://www.jrhokkaido.co.jp/
■現在の調査結果について(12月5日現在)(JR北海道)
http://www.jrhokkaido.co.jp/info081205-1.html
■ウイルス感染への対応方法について(JR北海道)
http://www.jrhokkaido.co.jp/info081205-2.html
■JS_AGENT.IMK(トレンドマイクロ)
http://www.trendmicro.co.jp/Vinfo/virusencyclo/default5.asp?VName=JS_AGENT.IMK