年明け早々、SQLインジェクション攻撃により正規サイトにSCRIPTタグが埋め込まれる被害が2件発覚した。エキサイトブログでは、トップページのお知らせ欄が不正に改ざんされた。茨城県霞ヶ浦環境科学センターのサイトでは、「市民団体データベース」などが外部から改ざんされ、閲覧者にウイルス感染のおそれがあるとして、サイトを閲覧停止する事態になっている。
■エキサイトブログのお知らせ欄、不正アクセス受け改ざん
エキサイト(東京都渋谷区)が運営する「エキサイトブログ」は5日、トップページに掲載している「お知らせ」欄が不正に改ざんされていたと発表した。発表によると、3日夕方に改ざんが明らかになり、翌4日午後8時30分に当該箇所を修復して通常通り利用できる状態になったという。
4日午前1時頃より、エキサイトブログの公式掲示板には、ユーザーから「トップページにアクセスするとウイルス対策ソフトからの警告が表示される」という旨の書込みが相次いでいた。当編集部の調査では、トップページのサイドメニューの「お知らせ」欄の各タイトルに、韓国のサーバーに設置したスクリプトを実行させようとするSCRIPTタグが埋め込まれていた。韓国のサーバーは、本通信で昨年12月22日にお伝えした東京都や日本体育協会の改ざんで使われたものと同一だが、今回の改ざんが発覚した時点では、スクリプトファイルは置かれておらず、実際に攻撃が行われていたかどうかは不明。
エキサイトブログの発表では、今回の事態でユーザーにウイルス感染の影響はないとしているが、埋め込まれていたSCRIPTタグが有効に機能していたかどうか、また攻撃スクリプトが存在したかどうかは明らかにされていないため、心当たりがある場合はウイルス対策ソフトによる感染の確認と駆除を行うことをおすすめする。
・エキサイトブログ「お知らせ」改ざん問題についてのご報告(エキサイトブログ)
http://staff.exblog.jp/7792459/
■茨城県霞ヶ浦環境科学センター、不正アクセス受け改ざん~閲覧者にウイルス感染のおそれ
茨城県と茨城県霞ヶ浦環境科学センター(茨城県土浦市)は6日、同センターのサイトの一部が外部から不正に改ざんされたと発表した。発表によると、5日午前8時45分、同センターが運営を委託している事業者からの連絡で改ざんが判明し、9時45分から改ざんされた箇所の閲覧を停止、同日午後6時45分からはサイト全体の閲覧を停止した。
「市民団体データベース」「論文データベース」「図書検索」「水質マップ」「自然観察帳」などのページに、外部に設置されたスクリプトを実行させようとするSCRIPTタグが埋め込まれており、改ざんされたページで検索機能を使用した閲覧者は攻撃を受ける。既知の脆弱性攻撃のため、修正パッチを適用している場合は問題ないが、修正パッチを適用していない場合は悪質なプログラムがダウンロード/実行される。
埋め込まれたスクリプトのURLのドメインは中国のもので、中国からの攻撃とみられる。ただし、当編集部の調査時点では、誘導される攻撃サイトには日本国内のサーバーが使われていた。
同センターによると、感染の可能性があるウイルスは「TSPY_ONLING.HI」と「TROJ_AGENT.AGTU」(トレンドマイクロ名)で、昨年12月13日から今月5日の9時45分の期間に当該ページにアクセスした場合は、ウイルス対策ソフトによる感染の確認と駆除を行うよう呼びかけている。
・霞ケ浦環境科学センターホームページへの不正アクセスによるデータの改ざんについて(霞ヶ浦環境科学センター)
http://www.kasumigaura.pref.ibaraki.jp/
・霞ヶ浦環境科学センターホームページへの不正アクセスによるデータの改ざんについて(茨城県)
http://www.pref.ibaraki.jp/news/2009_01/kasumi_c.html
(2009/01/07 ネットセキュリティニュース)