国内のWebサイトが次々に改ざんされ、ウイルス感染を狙った悪質なJavaScriptが埋め込まれた問題で、新たに3つのサイトが被害状況を公表した。最新版のAdobe ReaderやFlashPlayerを使用していないブラウザで改ざんされたサイトを閲覧すると、パスワードなどを盗み取るウイルスに感染する可能性がある。
■国交省中部地方整備局・岐阜国道事務所
国土交通省中部地方整備局(名古屋市中区)は4月27日、岐阜国道事務所の道路状況ライブカメラなどのWebサイト(http://www.gifukoku.go.jp/)が改ざん被害にあっていたと発表した。
発表によると、改ざんは同8日と14日の2回にわたって行われ、改ざんページが公開されていた8日午後9時ごろからシステムを停止した23日午後6時ごろまでの期間に同サイトにアクセスした場合には、ウイルス感染の可能性がある。改ざんされた岐阜国道事務所のサーバーは5月1日現在停止しており、再開に向けて調査を行っている。
発表内容からは、一連のサイト改ざんとの関係は見えてこないが、当該サイトの改ざんページにラトビアの攻撃サイトに誘導するJavaScriptが埋め込まれていたことを編集部で確認している。
・道路状況ライブカメラのウェブサイト改ざんについて(国土交通省中部地方整備局)
http://www.cbr.mlit.go.jp/kisya/2009/0419.html
■全日本民医連
全日本民主医療機関連合会(東京都文京区)は4月24日、同連合会のホームページが改ざんされ、同14日午前10時半から午後0時半の間にアクセスした場合には、ウイルス感染の可能性があるとして注意を呼びかけた。ウイルスに感染した場合には、コマンドプロンプトが開かない、ブラウザの動きが著しく不安定になる、CPUの負荷が何もしていないのに50%近くに上がるといった症状が出るという。
発表によると、サイトの更新作業を行っていた業者のパソコンがウィルスに感染。FTP通信の設定情報が盗み取られ、これを使って外部から同サイトに不正アクセス。html、php、jsといったWeb関連ファイルをダウンロードし、悪意あるスクリプトを挿入してアップロードしたらしい。編集部では改ざん状況を確認していないが、感染状況や改ざんの手口は、一連のサイト改ざんと一致する。
■NHT紀尾井町グループ
自毛植毛のNHT紀尾井町グループは4月22日、改ざんによって同11日から停止していたホームページを再開するとともに、障害内容を発表した。
発表によると、サーバーに第三者が不正にログインしファイルを改ざん。閲覧するとウィルスに感染する不正プログラム、通称「ZlKon.lv」が埋め込まれた。不正プログラムは「JS_AGENT.AOIP」という名前のウイルスを散布するという。
「ZlKon.lv」は、一連のサイト改ざんで埋め込まれた、ラトビアの攻撃サイト「94.247.2.195」(現在はアクセス不能)のドメイン名。「JS_AGENT.AOIP」は、攻撃サイトから最初にロードされるJavaScriptファイル「jquery.j」のトレンドマイクロの検出名であり、同院もまた同じ攻撃を受けていたことがうかがえる。
トレンドマイクロのウイルス情報によると、5月1日時点の「JS_AGENT.AOIP」の感染数は3万6351件。うち1万9551件が米国で、1万3024件は日本という状況だ。ちなみに「jquery.j」は4月20日ごろに少し内容が変更されており、更新版はトレンドマイクロは「JS_AGENT.AVR」という名前で検出する。
・ホームページ再開に関するお詫びとお知らせ(NHT紀尾井町クリニック)
http://www.nhtjapan.com/news/owabi.html
・ホームページ再開に関するお詫びとお知らせ(NHT紀尾井町クリニック新大阪)
http://www.nht-osaka.com/news/owabi.html
・JS_AGENT.AOIP - 感染状況(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS%5FAGENT%2EAOIP&VSect=S&Period=1m
(2009/05/01 ネットセキュリティニュース)