最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆マイクロソフト、5月度の月例セキュリティパッチを公開(2009/05/13) | メイン | ◆[P2P情報流出]:大分信用金庫から融資情報、郡山市立中から生徒や保護者情報(2009/05/15) »

2009/05/13

◆国内の正規サイト改ざん:攻撃サイトを変え再襲来(2009/05/13)

  国内のWebサイトが次々に改ざんされ、閲覧者にウイルスを感染させようとする悪質なJavaScriptが埋め込まれる問題が続いている。
 ラトビアに設置された攻撃サイトが4月末に閉鎖され、ひと安心と思ったのも束の間、今度は「gumblar.cn」というドメインにサイトを移して、攻撃を再開したようだ。中国のドメイン名だが、サイトはロシアでホストされている。

 攻撃の手口はこれまでと同様、ウイルス感染パソコンから盗み取ったとみられるFTPのユーザー名やパスワードを使い、Webサイトのhtml、php、jsを改ざん。攻撃サイトのスクリプトを実行させ、Adobe ReaderやFlash Playerの脆弱性を突いて悪質なプログラムをインストールしようとする。その中には、FTPの情報を盗み取るコンポーネントも含まれているといい、改ざんサイトでのウイルス感染が次のサイト改ざんを生み出すという悪循環が、際限なく続いている状況だ。特に今回はゴールデンウィーク中だったため、改ざんされた状態が長期間続いており、感染者の増大が懸念される。

■BIG-server.com

 ゼロ(札幌市厚別区)が運営するレンタルサーバーのBIG-server.comは8日、「maido3.com」のホームページに不正なスクリプトが埋め込まれていたと発表した。発表によると、7日に顧客からの指摘があり調査したところ、4日午後3時30分ごろにHTMLファイルが書き換えられていたことが判明。同社では「maido3.com」のサーバーを移転し、11日にサービスを再開した。4日から8日までの期間に「maido3.com」のホームページにアクセスした場合は、ウイルスに感染したおそれがあるとして、ウィルススキャナによる感染確認などを行うよう注意を呼び掛けている。
 編集部では同サイトの改ざん状況は確認していないが、改ざんの手口や感染状況から一連のサイト改ざんと思われる。
・maido3.com ホームページについてご報告いたします(BIG-server.com)
http://www.maido3.cc/server/release/2009/200905082023.html

■ウェルネス

 医療情報の提供やマーケッティングを行っているウェルネス(東京都文京区)は8日、同社公式サイトで1日に不正アクセスが発生し、ファイルの一部が改ざんされたと発表した。同社は全サービスを停止して復旧作業を行い、安全が確認されたとしてサービスを再開した。編集部では、トップページに「gumblar.cn」に誘導するスクリプトが埋め込まれていたことを確認している。
 同社は、1日午前2時57分から6日午後13時4分までの期間に同社のホームページを閲覧した場合は、ウイルス感染のおそれがあるとして、ウイルススキャナによる感染確認などを行うよう呼び掛けている。
・オフィシャルサイト改竄についてのお詫び(ウェルネス)
http://www.wellness.co.jp/about/topics.php?y=2009#a20090508095649

■ホースマンクラブ

 インターネットポイントサービスを行っている、へそクリック(横浜市西区)は7日、ホームページ上に掲載していた広告主で競馬情報の提供を行っているホースマンクラブのサイトが改ざんされ、不正なスクリプトが埋め込まれていたと発表。広告の掲載を中止した。
 編集部の調査では、ホースマンクラブのトップページや、全てのページが参照しているJavaScriptファイルも改ざんされ、「gumblar.cn」に誘導するスクリプトが埋め込まれていた。修正された11日午後0時半頃までの期間に閲覧した場合にはウイルスに感染したおそれがあるが、ホースマンクラブからは修正後も事態についての告知はない。
・【重要】掲載広告における遷移先ページのウイルス感染について(へそクリック)
http://www.heso-click.com/info/index.asp?info_code=264

 攻撃サイトが変わり、最初にロードされるJavaScriptファイルまでが頻繁に更新されている。ウイルス対策ソフトの対応が間に合わないようで、更新直後の検出率は極めて低いという状態だ。ウイルスに感染しないためには、まずは、Adobe ReaderとFlash Playerを最新版にアップデートして脆弱性の修正を行うことが肝要。詳しくは、関連記事の「正規サイト改ざん(3) ウイルスに感染しないための対策」を参照してもらいたい。
 なお、通信そのものをブロックする場合のドメインは「gumblar.cn」。現時点で使われているIPアドレスは「94.229.65.172」のみだが、念のため「94.229.65.160」から「94.229.65.191」を遮断しておく(アドレス範囲のCIDR表記は「94.229.65.160/27」)。

(2009/05/13 ネットセキュリティニュース)

投稿情報: 22:02 |

|