17日に改ざん被害を受けた薬事日報社(本社:東京都千代田区)は22日、不正アクセスの調査結果を公表。翌23日には、同サイトにアクセスしてウイルスに感染した場合の症状などについての詳細を発表した。
内外のブログや掲示板などで、これまでに断片的に報告されていたものを総括する内容で、国内大手の被害サイト自らが、まとまった形で状況を説明するのはこれが初めて。
■明らかになった手口~ウイルスがPWを盗み、連携サーバーが自動侵入・改ざん
同社の調査によると、サイトを管理していた社内のパソコン1台がウイルスに感染し、ウイルスがFTP通信を監視して設定情報を外部のサーバーに送信。その情報をもとに外部サーバーが同社サイトにアクセスし、サイト内のhtml、php、jsなどのWeb関連ファイルの一部をダウンロード。不正なスクリプトを挿入した後、同社サイトにアップロードしていたと推測。これら工程は、自動で行われていたという。
サイト改ざんには、SQLインジェクションに代表されるWebサーバの脆弱性を突いてデータベースにSCRIPTタグを埋め込む手口。侵入して直接書き換える手口。ウイルスがパソコン内にあるhtmlファイルなどを改ざんし、アップロードされるのを待つ手口などがあったが、ウイルスがFTPのパスワードなどを盗み取り、それと連携するサーバーが自動で侵入・改ざんを行うという手口は目新しい。
■ウイルス感染が生む新たなサイト改ざん
17日午前6時から午後7時半の間に同社サイトを閲覧し、ウイルスに感染してしまった場合には、sqlsodbc.chm(Windowsコンポーネントのヘルプファイルのひとつ)が改変され、コマンドプロンプト(cmd.exe)とレジストリエディタ(regedit.exe)が起動不能に。Internet Explorerの動きは著しく不安定になるという。そしておそらくは、感染パソコンのFTP通信を監視して設定情報を盗み取り、設定情報を取得したWebサーバを改ざんするのではないかと同社は見ている。
ウイルスに感染してしまうと、今度は感染者の管理サイトが改ざんされるおそれがあり、改ざんと感染の連鎖が無限に広がって行く可能性があるのだ。
SQLインジェクションでは、数千、数万という大量のサイトが一気に改ざんされる一方、埋め込みに失敗する例も多く、良くも悪くも派手だった。今回のサイト改ざんは、確実に有効なスクリプトを埋め込みながら少しずつ数を増やしており、手口の違いが反映されたものと思われる。
同社では、ウイルス感染が否定できない社内のパソコンについては、OSのクリーンインストール(初期状態に戻す入れ直し)を実施。Webサーバも変更し、運営体制の見直しも行ったとしている。一部のセキュリティベンダーやセキュリティ関係の掲示板などでも、同様のアドバイスが示されており、感染したり管理サイトが改ざんされた場合には、使用しているパソコンのクリーン化とサイトの安全確認、FTPのパスワード変更を促している。
今回のサイト改ざんでも、いくつかのサイトが復旧直後に再び改ざんされるという事態を招いている。情報が少なかったこともあるが、十分な原因究明と適切な措置をとっていれば、そのような事にはならなかったのではないだろうか。
セキュリティベンダーの情報提供すら少ない中、同社が有用な対策を明示してくれた意義は大きい。
(2009/04/24 ネットセキュリティニュース)
■薬事日報ウェブサイト運用の再開について(薬事日報)
http://www.yakuji.co.jp/?p=7
■本件コンピュータウイルスに感染した場合の症状と対策について(薬事日報)
http://www.yakuji.co.jp/?p=16