国内のWebサイトを次々に改ざんされ、閲覧者にウイルスを感染させようとする悪質なJavaScriptが埋め込まれる問題が続いている。
現在も改ざんが続いているのは、いわゆる「ガンブラー」の中でも昨年12月から攻撃が始まった、ロシアドメインの8080ポートに接続するタイプ(以下8080と記す)。今月に入ってからは、8日、22日、28日頃から、埋め込むコードを変更した再改ざん行われており、そのたびに修復されたたはずのサイトが再汚染されるという事態も発生している。
年末から年始にかけてサイト閉鎖に追い込まれたムックハウスの「CyberX」は、サイトのリニューアルを目前に控えた復旧後の22日に再改ざん。サイトのリニューアル後も、改ざんされた旧ページの残骸が見つかるなど、ごたごたが続いた。14日に復旧したはずの札幌市公園緑化協会のホームページも、22日の再改ざん攻撃で陥落。29日現在も閉鎖状態が続いている。
【サイト運営者の方へ】
一連の攻撃では、ウイルスに感染したパソコンからWebサイトの更新に使用するFTPの接続情報が盗み出され、これを使って管理していたサイトの改ざんを行っている。いくらサイトを修復しても、サイトのパスワードを変更しない限り再び改ざんされ、不正なコードを埋め込まれてしまう。不幸にして改ざん被害を受けてしまった方は、必ずウイルスに感染していないパソコンを使用して、サイトの更新に使用するFTPのパスワードを変更していただきたい。
【一般ユーザーの方へ】
一般ユーザーの方は、該当期間に訪問したサイトがないかどうかをリストで確かめ、心あたりがある場合には、各社が提供するオンラインスキャンを使って、感染チェックを行っていただきたい。閲覧したかどうか不明な場合には、ブラウザの「履歴」の検索機能使い、リストの「場所」欄にあるカッコ内のURL(先頭の「www.」がない場合もある)を検索してみるとよい。また、改ざんサイトでウイルスに感染しないよう、以下の6項目を必ず実施しておいていただきたい。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3)Adobe ReaderのAcrobat JavaScriptを無効に設定する
(4)JRE(Java Runtime Environment)を最新版に更新する
(5)Flash Playerを最新版に更新する
(6)QuickTimeを最新版に更新する
(2010/01/29 ネットセキュリティニュース)