医薬品の情報誌などを発行している薬事日報社(本社:東京都千代田区)は20日、同社のウェブサイトが不正アクセスを受けて改ざんされたと発表した。このため17日からサイト運用を停止していたが、22日現在、安全確認を終えたものから順次再開するとしている。
今月に入り、多数のサイトが不正アクセスを受けてスクリプトタグを埋め込まれる被害が相次いでおり、同サイトも同様の被害を受けたもようだ。
発表によると、サイトが改ざんされた状態で公開されていたのは、17日午前6時から午後7時30分の間で、その時間帯に同サイトを閲覧していた場合、PCがウイルスに感染したおそれがある。
改ざんされたサイトには不正なスクリプトタグが埋め込まれており、サイトを閲覧すると攻撃サイト(ラトビアのIPアドレス「94.247.2.195」)に誘導される。
セキュリティベンダーのScanSafeによると、ラトビアのサイトのスクリプトは、「Adbe Reader」と「FlashPlayer」と「MDAC」(Windowsのデータベースを使用するためのコアコンポーネント集)の脆弱性を突いて、「iexplorer.exe」というプログラムとバッチファイルをPCに送り込み、インストールしようとする。
送り込まれたEXEファイルはリネーム/コピーされ、サウンドドライバとしてシステムに登録される。そのため、音が鳴るアプリケーションを立ち上げると、インストールされたプログラムがロードされてしまう。プログラムがロードされると、ブラウザの通信を監視してアカウントや機密情報を盗み取ることができるようになる。また、Googleの検索結果を改ざんし、アフィリエイトのリンクを置き換えるので、不正なアフィリエイトのクリックをさせられるおそれもある。
編集部では、攻撃サイトからPDF、SWF、EXEファイルを取得。これらをVirusTotalにかけたところ、21日午前中の時点で、PDFファイルの検知率は1/39(39のアンチウイルスエンジンのうち、1エンジンしか検知できない)、SWFファイルの検知率は4/40、EXEファイルでは6/40、「jquery.js」では2/40という結果だった。攻撃サイトのファイルが更新されているため、ウイルス対策ソフトの対応が追い付かない状況だ。
下記の「関連記事」と重複するが、現在、ユーザーがとれる対策としては、(1)Adobe ReaderとFlash Playerを最新版にする、(2)ウイルス対策ソフトの定義ファイルを更新する、(3)Javascriptを無効にする、(4)IPアドレス「94.247.2.0」から「94.247.3.255」までをブロックする、という4つがあげられる。
今回の不正アクセスによるサイト改ざんの手口については、「関連記事」の「多数サイトが改ざん(2)」を参考にしてもらいたい。
(2009/04/22 ネットセキュリティニュース)
■薬事日報ウェブサイト停止に関するお詫びとお知らせ(薬事日報)
http://www.yakuji.co.jp/
■・Malware Manipulating Google SERPs[英文](ScanSafe STAT Blog)
http://blog.scansafe.com/journal/2009/4/14/malware-manipulating-google-serps.html