国内のWebサイトが次々に改ざんされ、閲覧者のパソコンをウイルスに感染させようとする悪質なJavaScriptが埋め込まれている問題で、改ざんされたサイトがまた複数みつかった。改ざんを告知しているサイトの情報によると、パソコンがウイルスに感染した場合に出る症状は、これまでの事例と特に変わりはない。
ウイルス感染によりFTP用のIDとパスワードが盗まれる可能性が非常に高いことから、それ以外の情報も盗まれるのではないのかと不安に思う人が多いと思われるが、この点についてはどのセキュリティベンダーからも報告がないため、現状では何とも言えない。また、感染して攻撃サイトに飛ばされた時点で、攻撃サイトがどんなファイルを用意していたかによっても被害の状況は異なってくる。
なお米ScanSafeは、「gumblar.cn」がばらまいた悪質なファイルは、ボットネットからの命令を待つためのバックドアをインストールするようだとしている。
これまでにもお伝えしてきたが、感染を防ぐためには、まずパソコンにインストールされているAdobe ReaderとFlashPlayerを最新版にしよう。更新の方法は関連記事の「PDF閲覧ソフトAdobe Readerの修正版公開、深刻な脆弱性2件を修正」と「正規サイト改ざん(3)ウイルスに感染しないための対策」に記載されている。JavaScript(Javaではない)を無効にするのも有効な回避策だ。
また、可能ならファイアウォールやルーターで攻撃サイトのIPアドレスを遮断しよう。攻撃サイトは、前回お伝えした時点では「gumblar.cn」というドメインに置かれていたが、現在はイギリスでホストされている「martuz.cn」に移動している。現時点で使用されているIPアドレスは「95.129.145.58」だが、ドメインの割り当てすべてを遮断したい場合は「95.129.144.0」から「95.129.145.255」、CIDR表記だと「95.129.144.0/23」となる。
「gumblar.cn」が閉鎖したのは15日とみられる。また、「martuz.cn」の埋め込みについて編集部が確認できたうち、最も日付の若いタイムスタンプは「2009/05/15 22:18:23」だった。
■商標登録ホットライン
商標登録専門サイト「商標登録ホットライン」を運営する大槻国際特許事務所(大阪市東淀川区)は15日、同サイトが改ざんされていたことを明らかにした。
同サイトの告知によると、感染時期は特定できていないが、GW前後と推定されるという。当編集部では、11日の時点で、一連の改ざん事例と同様の改ざんがなされていたことを確認している。同サイトは14日午後6時頃からアクセスを制限し、サイト内のファイルすべてを正常なものに書き換えて、15日午前4時頃に再開した。
告知では、改ざんの原因や埋め込まれたJavaScriptの動作は特定できていないものの、類似例からみてGW前後から対策を行うまでの間に同サイトを閲覧した場合はウイルス感染のおそれがあるとして、3社のオンラインスキャンを紹介し、感染の確認と駆除をしてほしいとしている。
・サイト不正改竄についてのお詫び(商標登録ホットライン)
http://106hotline.com/news.html
■アイマジック
ゲームソフト制作のアイマジック(本社:神奈川県)は14日、同社サイトの一部が改ざんされていたことを明らかにした。
同社によると、13日午前7時10分から同日午後9時10分までの間に同社のサイトを閲覧していた場合、ウイルスに感染したおそれがある。サイトの修正は完了している。同社は、感染のおそれがあるのは、OSがWindows XP/2000などXP以前で、Acrobat Reader、Adobe Readerのバージョンが古い場合としている。また、スパイプログラムを不活性化してほしいとして、その方法を紹介している。
同社は、情報公開時点では各社セキュリティソフトではウイルスの検出ができない状態だが、検出パターンに反映されたら検査を行ってほしいとしている。
・弊社Webサイト改ざんについてのお詫びとお知らせ(アイマジック)http://www.imagic.co.jp/info090514.html
■BIG-server.com、再び改ざん
ゼロ(札幌市厚別区)が運営するレンタルサーバーのBIG-server.comは14日、「maido3.com」ホームページ内の「【ぷろじぇくと ぞうさん】~E-Bananaサーバ 構築日記~」のトップページが改ざんされていたことを明らかにした。
「maido3.com」のホームページは、4日から8日までの期間も改ざんされており、11日に再開したところだった。同社では、今回の改ざんは13日午後6時30分に行われたとみており、同時刻から14日午後0時15分までの間に同ページにアクセスした場合、ウイルスに感染したおそれがあるとしている。
同社は14日の時点では、感染が見つかった場合の対応方法としてパソコンのリカバリやクリーンインストールの他に、ウィルススキャンによる駆除が有効になっているとの情報があるとし、オンラインスキャンの実施を呼びかけている。
・maido3.com ホームページについてご報告いたします(BIG-server.com)
http://www.maido3.cc/server/release/2009/200905082023.html#03
■ミュージック・オン・ティーヴィ
衛星放送の音楽専門チャンネルを運営するミュージック・オン・ティーヴィ(本社:東京都港区)は14日、同社サイト「MUSIC ON! TV」の一部が改ざんされ、不正なスクリプトが埋め込まれていたことを明らかにした。
不正スクリプトの除去と再発防止策は完了しているという。当編集部では改ざんの状況を確認できなかったが、おそらく一連の改ざんと同じ改ざんが行われたものと思われる。同社によると、8日から13日の間に同社サイトにアクセスした場合、ウイルスに感染するなど、使用端末が何らかの影響を受けている可能性がある。
同社では3社のオンラインスキャンを紹介し、影響が発生していないかどうか確認してほしいとしている。
・【重要なお知らせ】弊社webサイトへの不正な改ざんの発生に関するお詫びとご説明(ミュージック・オン・ティーヴィー)
http://www.m-on.jp/information/detail178.html
■ライブハウス あさがやドラム
ライブハウス あさがやドラム(東京都杉並区)のホームページが改ざんされていたことが分かった。
同サイトトップページの告知によると、同サイトおよび、同じサーバーを使用する「cafe-melody.net」のほぼすべてのhtmlファイルが、12日午前9時台に書き換えられた形跡があった。このため、これらのサイトを12日午前9時以降に閲覧した場合、ウイルスに感染したおそれがあるという。
改ざんは14日深夜にメールで指摘され、調査の上、15日正午にトップページを一時封鎖して告知を掲載したが、個々のページの削除が済んでいないため、直接アクセスしないよう注意してほしいという。当編集部では、同サイトについて一連の改ざん事例と同様の改ざんがなされていたことを確認している。改ざん日は不明。
■小林製薬
小林製薬(本社:大阪市中央区)は12日、同社サイトの一部が改ざんされていたことを明らかにした。
同社によると、改ざんされたのは「暮らしのヒントお知らせ隊」「ハナノア ブランドサイト」「イージーファイバー ブランドサイト」の一部で、これらのサイトは現在閉鎖されている。改ざんされたのは9日午前5時27分で、同時刻から11日午後9時27分までの間にこれらのサイトを閲覧した場合、ウイルスに感染したおそれがある。MacとWindows Vistaは今回のウイルスには感染しないという。
同社は、ウイルスの確認と駆除のための方法として、2社のオンラインスキャンを紹介している。
・弊社サイトの改ざんに関するお詫びとご説明(小林製薬)
http://www.kobayashi.co.jp/info/090512.html
(2009/05/18 ネットセキュリティニュース)
■ Google SERPs Redirections Turn to Bots[英文](ScanSafe STAT Blog)
http://blog.scansafe.com/journal/2009/5/8/google-serps-redirections-turn-to-bots.html