先週7日に、DirectShowの未修正の脆弱性を悪用しようとする攻撃が行われていることをお伝えした。Webサイトを改ざんし、閲覧者を攻撃コードが仕掛けられたサーバーに誘導してウイルスに感染させようとしているのだが、国内でも改ざんされたサイトが複数見つかっている。 これまでに、レンタルWIKIサービス「WIKIWIKI.jp」の公式サイトと、ドメイン登録代行業者「VALUE DOMAIN」のログインページ、XREAの無料アクセス解析サービス「AccessAnalyzer」のサイトが改ざんされたことが分かっている。
・WIKIWIKI.jpの公式サイト
WIKIWIKI.jpでは9日、公式サイトが改ざんされたことを明らかにした。告知文によると、6月24日から同26日にかけて、WIKIの機能の一部を提供している外部サーバに不正なアクセスがあり、スクリプトが改ざんされ、同サービスとは無関係の外部サイトへ誘導されてしまう可能性があった。改ざんは6月24日と26日の2回行われた。7月6日、改ざんが行われていた外部サーバへのアクセスを確認し、スクリプトを全て削除したという。
・VALUE DOMAINのログインページ
VALUE DOMAINのログインページも改ざんされた。本通信の7日の記事で触れているのがこのページの改ざんだ。ログインページの不正なスクリプトは7日のうちに削除されているが、これまでに改ざんの告知はない。
・XREAのAccessAnalyzer
13日午前の段階でまだ改ざんされたままなのが、XREAのAccessAnalyzerのサイト。アクセス解析ページが8日以前に改ざんされたとみられ、10日の時点ではトップページ以下、すべてのページが改ざんされているのを編集部で確認している。
同サイトは2基のサーバーを使用しており、そのうち1基のみが改ざんされている。VALUE DOMAINも、XREAも、デジロック(本社:大阪市中央区)が提供しているサービス。また、WIKIWIKI.jpも、改ざんされた時点では「s103.xrea.com」で運営されていた。(
【仕掛けられている攻撃方法とその対策】
これら3件の改ざんは、閲覧者を香港の攻撃サーバーに誘導するよう仕組まれている。編集部ではこの攻撃サーバーが6日夜の時点で活動していたことを確認しているが、現在は停止中だ。このサーバーには、Adobe ReaderとFlash Playerのそれぞれ修正済みの脆弱性と、DirectShowの脆弱性を悪用しようとする攻撃コードが仕掛けられていた。
改ざんされたサイトを閲覧してウイルスに感染するおそれがあるのは、Adobe ReaderやFlash Playerが最新版になっていなかったり、DirectShowの脆弱性の回避策を適用しておらず、OSがXPでInternet Explorer 6/7を利用しているパソコン。対策として、関連記事を参考に、すみやかにDirectShowの脆弱性の回避策を適用し、Adobe ReaderとFlash Playerを最新版にするようおすすめする。
(2009/07/13 ネットセキュリティニュース)
■改竄に関するお知らせとお詫び(WIKIWIKI.jp)
http://wikiwiki.jp/?Notice%2F2009-07-09