文部科学省は27日、幹細胞を用いた再生医療の実用化を目指す「再生医療の実現化プロジェクト」のWebサイトが改ざんされたと発表した。
同省の発表によると、26日に内閣官房情報セキュリティセンターからの連絡を受け、サイトの管理・運営を委託している先端医療振興財団にサーバーの停止を指示。27日0時53分頃にサイトの運用を停止した。
同省は被害状況などの詳細については調査中としているが、編集部の調べではトップページに不正なJavaScriptが埋め込まれていたことが分かっており、遅くとも24日以降に同サイトを閲覧した場合には、ウイルス感染のおそれがある。
埋め込まれていたJavaScriptは、実行されるとページ内に微細なIFRAMEを開き、ロシアでホストされている攻撃サイトdelzzerro.cn(当該サイトは現在も稼働中なのでアクセスしないように)に接続。Adobe ReaderやFlash Playerの脆弱性攻撃を仕掛け、不正なプログラム「installb.exe」を自動的にダウンロード/実行しようとする。
攻撃が成功し当該プログラムが実行されると、パスワードを盗み取るためのキーロガーや偽のセキュリティソフト、外部から侵入するためのバックドアなどが、次々と閲覧者のパソコンに仕掛けられてしまう。一連の攻撃コードやウイルス本体は頻繁に更新されているようで、検出できないウイルス対策ソフトも多い。 「zlkon.lv」、「gumblar.cn」、「martuz.cn」と、攻撃サイトを次々に変えながら続いた国内の正規サイト改ざんでは、国土交通省や社会保険庁といった政府機関のWebサイトも被害を受けた。あの悪夢が再びよみがえらないよう、ブラウザやプラグインが最新の状態になっているかどうかを今一度チェックしておきたい。29日にはマイクロソフトがInternet Explorerのアップデートを予定、30日から8月1日にかけてはアドビシステムズがFlash PlayerとAdobe Readerのアップデートを予定しているので、これらは公開され次第、速やかに適用していただきたい。
また、サイト管理者の方には、管理サイトに不正なJavaScriptが埋め込まれていないかどうか点検するととともに、サイトやログの継続的な監視をお願したい。Gumblar同様、今回の改ざんもウイルスに感染したパソコンからFTPのアカウントを盗み出している可能性があるので、不審なログインの形跡にも注意していただきたい。
ちなみに編集部が確認した今回の改ざんでは、IFRAMEタグの文字列を分割したものを「+」で連結し、document.write()でページに反映するJavaScriptが、BODYタグの直後に挿入されていた。誘導先は今回の「delzzerro.cn」のほかに、同じサーバーで「updatedate.cn」も稼働中だ。
(2009/07/28 ネットセキュリティニュース)
■再生医療の実現化プロジェクトのWeb改ざんについて(文部科学省)
http://www.mext.go.jp/b_menu/houdou/21/07/1282440.htm