サイト改ざん(1)「告知せず」で感染拡大の恐れ~負の連鎖を断ち切るために
閲覧者のパソコンにウイルスを感染させるための不正なコードを埋め込む、サイト改ざんの連鎖が止まらない。
12月から始まった新手の改ざん攻撃は、閲覧者の多い大手企業のホームページ(HP)や、一般ユーザーがHPやブログに組み込んで使うパーツにまで及ぶ大騒動に発展。「改ざん」「ウイルス」「Gumblar(ガンブラー)」といった言葉が、年明けの新聞やテレビを賑わせるまでに至っている。
しかし、HPに告知を掲載して閲覧者に注意を呼び掛けるサイトはごく一部に過ぎず、ウイルス感染の危険を知らせることなく、こっそり改修して知らん顔というところが多数を占めるのが現状だ。改ざん被害を受けたサイトの運営者や管理者が口をつぐむのは、感染者をひとりでも多く出したい攻撃者にとっては好都合な状況であり、負の連鎖にますます拍車がかかっているようだ。
一連のサイト改ざんでは、ウイルスに感染したパソコンからWebサイトの更新に使うFTPアカウントを盗み取り、それを使って感染者が管理していたWebサイトを改ざん。ウイルスに感染させるための不正なコードを埋め込み、さらなる感染を広げようとする。
改ざんされたページをブラウザで開いても、見た目では改ざんされているのかどうかは分からない。ウイルスは、閲覧者の見えないところでブラウザ周りのいろいろなソフトウェアの欠陥を攻撃し、気付かれないようにこっそりと閲覧者のパソコンに侵入しようとする。閲覧者のパソコンにインストールされたウイルス対策ソフトが検知してくれなければ、閲覧者は危険が迫っていたことも、感染したかどうかも分からないのだ。
Webサイトの管理者や運営者には、この点を十分認識していただきたい。改ざんされたサイトを閲覧し、不幸にもウイルスに感染してしまった人たちは、あなた方が知らせなければ、今も感染に気付かないままでいる可能性が高いのだ。Webサイトの管理者や運営者の方たちは、できるだけ迅速に改ざんされていた期間と場所を告知し、この負の連鎖を断ち切れるよう尽力いただきたい。
ユーザーも自身が閲覧したサイトで問題が発生していないかどうか注意を払うとともに、以下の予防策を必ず実施していただきたい。以下を漏れなく実施していれば、たとえ改ざんされたWebサイトを閲覧しても、現時点ではウイルスに感染することはない。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定する
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
IPAが公開している「MyJVNバージョンチェッカ」を利用すると、2、4、5、6のインストール状況と最新版かどうかのチェックを簡単に行うことができる。
・MyJVNバージョンチェッカ
http://jvndb.jvn.jp/apis/myjvn/#VCCHECK
Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
サイトを運営されている方は、さらに次のことも実施していただきたい。
(1)管理サイトのページ(.html .php)やスクリプトファイル(.js)に意味不明な文字列が埋め込まれていないか確認する
(2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する
改ざんチェックは、サイトの全ファイルを対象に行っていただきたい。ページファイルは修正したが、スクリプトファイルがそのままというケースを見かけるが、この場合、当該ファイルをロードしている全ページが改ざんされているのと同じなので、忘れずにチェックしていただきたい。
(2010/01/08 ネットセキュリティニュース)
■Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起(JPCERT/CC)
http://www.jpcert.or.jp/at/2010/at100001.txt