国内のWebサイトが次々に改ざんされ、ウイルス感染を狙った悪質なJavaScriptが埋め込まれた問題で、新たにホビコンの公式サイトも同じ手口で改ざんされていたことが、編集部の調べで分かった。また、薬事日報社の報告により、一連の改ざんの手口も明らかとなった。
■ホビコン公式サイトも改ざん
5月に東京ビッグサイトで開催を予定している総合ホビー展示即売会「ホビコン」の公式サイト(事務局:東京都港区)も改ざんされ、22日に一時閉鎖。23日に安全が確認されたページから順次再開するとともに、21~22日にアクセスしたユーザーに対しウイルスチェックを行うよう呼び掛けている。
編集部の調べでは、ラトビアの攻撃サイトに仕掛けたコードを実行するJavaScriptが、21日の時点で埋め込まれており、同サイトもまた一連のサイト改ざんと同じ被害を受けたもようだ。
既報の薬事日報のサイト改ざん記事では、攻撃サイトから取得した攻撃コードをVirusTotalにかけた結果を示し、攻撃サイトのコードが頻繁に更新されているためウイルス対策ソフトの対応が追い付かない状況をお知らせした。この時に取得していた攻撃コードは、ちょうどホビコン公式サイトが改ざんされていた時期と一致する。
攻撃サイトで最初に実行される「jquery.js」は、21日時点では2/40(40のアンチウイルスエンジンのうち2エンジンが検知)、22日は4/40。最終的に実行される実行ファイル(EXE)は、21日時点では6/40、22日には11/39という結果だった。古いバージョンのAdobe ReaderやFlash Playerを使用している場合には、脆弱性を突いてこの実行ファイルが自動的に実行され、通信を監視してパスワードなどの機密情報を盗み取るトロイの木馬が仕掛けられた可能性がある。
(2009/04/24 ネットセキュリティニュース)
■ホビコン公式WEBサイトをご覧になっている皆様へ(HOBBY COMPLEX公式サイト)
http://hobbycomplex.com/
【参考:編集部が取得した実行ファイルの現在の検出状況】
・21日取得分(VirusTotal)
http://www.virustotal.com/jp/analisis/352014db0b6ed1ae521e613cdb442da8
・14日取得分(VirusTotal)
http://www.virustotal.com/jp/analisis/34fe23b3ebcb7c525ae23a4468adc9a4