最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« 「無料」オンラインゲームで高額請求~小学生の被害多発、国や都が注意喚起(2009/12/18) | メイン | ■年末年始のセキュリティ対策、IPAなどが注意呼びかけ(2009/12/25) »

2009/12/24

■JR東日本も改ざん~「アニたまどっとコム」に続き新手の正規サイト改ざん(2009/12/24)

 ラジオ関西の「アニたまどっとコム」に閲覧者をウイルスに感染させるためのJavaScriptが埋め込まれた問題で、同様の改ざん被害を受けている国内サイトが他にもいくつかあることが編集部の調査で分かった。23日にはJR東日本のホームページが同種の改ざん被害を受け、HPを一時停止した。

■ JR東日本のホームページでウイルス感染のおそれ

 JR東日本は23日、不正アクセスを受けホームページ(HP)の一部が改ざんされたとして、同日未明より夕方までの約17時間、HPを一時停止した。
 同社によると、21日に利用者からの指摘でキーワード検索の改ざんが判明。その後、被害の拡大が分かり調査と修復のためHPを一時停止した。調査の結果、HP内のキーワード検索が8日21時40分~21日23時55分までの間、大人の休日倶楽部内の東京講座ページが18日11時~22日21時までの間、改ざん状態にあったという。
 同社の発表では、原因はGumblarによるものとしているが、編集部ではラジオ関西の「アニたまどっとコム」と同種の新手の改ざんであることを確認している。この改ざんは、埋め込まれる文字列やインストールされるウイルス(トロイの木馬)などはGumblarと別物だが、閲覧者に脆弱性攻撃を仕掛けてウイルスに感染させようとする点は同じ。Adobe Readerなどをアップデートせずに古いバージョンのまま使用しいる状態で、改ざんされていた期間にキーワード検索を行ったり該当ページを閲覧した場合には、パソコンにウイルスがインストールされた可能性がある。
・(お詫び)ホームページの再開について(JR東日本)
http://www.jreast.co.jp/apology/20091223_restart.html

【サイトに埋め込まれるのは難読化されたJavaScript】

 今回の改ざんでは、攻撃サイトのJavaScriptをロードさせるために、ページの先頭や末尾、JavaScriptファイル(.js)などに難読化されたJavaScriptを挿入する。これまでに見つかっているのは、「アニたまどっとコム」やJR東日本にも埋め込まれていた「<script>/*GNU GPL*/ try{window.onload」で始まるタイプと、「<script>/*CODE1*/ try{window.onload」で始まるタイプの2種類。いずれも、その後のURL部分が難読化されている点。接続先がロシアのドメイン(.ru)の8080ポートである点。「google.com」などの著名なドメイン名をサブドメイン名やパス名に複数並べたかなり長いURLである点などの特徴を持つ。
 このJavaScriptが埋め込まれた改ざんページは、現時点ではJS:Illredir-A(Avast、GData)、Trojan-Clicker.JS.Iframe.cz(カスペルスキー)、Script.iFrame.AL(マカフィー)、JS/TrojanDownloader.Agent.NRL(NOD32)などの検出名で、比較的安定して検出される。

【既知の脆弱性攻撃】

 使われているロシアのドメイン名は多数あるが、それらは全てオランダとフランスのIPアドレスを持つ5つのサーバーのいずれかに接続するように構成されている。これら攻撃サイトでは、現時点ではマイクロソフトのMDAC(Microsoft Data Access Components)、Snapshot Viewer、Microsoft Video Control、Adobe Reader、JRE(Java Runtime Environment:Java実行環境)の脆弱性攻撃を仕掛け、ウイルス本体をインストールしようとする。
 メインのJavaScriptは、現時点では、Avast、G DATAがHTML:RedirBA-inf、マカフィーのゲートウェイエディションがHeuristic.BehavesLike.HTML.Suspicious.Hなどで検出するほか、Adobe Reader攻撃用のPDFファイルやJRE攻撃用のJARファイル、最終的に投下される実行ファイル(EXEファイル)なども各社がポツポツ検出しているのだが、コードが頻繁に変わるせいか、改ざんページに比べると検出の安定度が低い。
 ちなみに、攻撃成立時に実行されるウイルス本体は、「Bredolab」や「HDrop」で検出されたり、汎用名で検出されたり、検出できなかったりと、こちらも微妙だ。困ったことに、このウイルスは他の不正なプログラムをダウンロード・実行するのが主な役目で、実行時にシステムに何がインストールされたかがわからない。情報を盗み取るスパイウェアやパスワードスティーラ―、外部からパソコンを操るためのボット、偽ウイルス対策ソフトなど、これまでに様々な脅威をインストールして来た系列のウイルスだ。

【感染被害にあわないための予防策】

 今回の攻撃では、Gumblar同様、システムやプラグインの脆弱性を突いて、ウイルス本体を自動実行しようとする。ターゲットとなるソフトウェアの脆弱性が解消されていれば、攻撃されてもウイルスに感染することはないのである。Gumblarの時にもお伝えしたが、以下を必ず実行していただきたい。

・Microsoft Update(Windows Update)を実行し、システムを最新の状態にする
・Adobe Readerを最新版に更新する(12/24現在の最新版は9.2.0)
・Flash Playerを最新版に更新する(12/24現在の最新版は10.0.42.34)
・JREを最新版に更新する(12/24現在の最新版はJRE 6 Update 17(1.6.0_17))

 現在の攻撃には、Flash Playerの攻撃コードは含まれていないが、悪用されることの多いプラグインなので必ず行っていただきたい。今回の攻撃では、GumblarにはなかったJREが攻撃対処に加わっている点に特に注意していただきたい。JREは、購入時に標準でインストールされていることが多いので、自分でインストールした覚えがなくても、改めてチェックしていただきたい。

(2009/12/24 ネットセキュリティニュース)

投稿情報: 09:52 |

|