長期休暇をはさんだこともあって、新たな改ざん報告が多数上がっている。以下に、年末から年始にかけて改ざん被害を受け、閲覧者に注意を呼び掛けいてたサイトの改ざん状況をまとめておく。
これらは改ざんされたサイトのごく一部にすぎず、この他に告知せず何もなかったことにしようとしているサイト、閉鎖して改修中のサイト、改ざんされていることに気付いていないサイト、新たに改ざんされたばかりのサイトなどが大量にある。
また、サイバーエージェントの「ノートン警察 捜査協力ブログパーツ」、検索エンジンMooterの「Mooter検索窓」、FX為替情報検索「fxwill.com」のブログパーツについては、不特定多数のサイトに設置されている可能性があり、どこでウイルスに感染してもおかしくない状況。前掲記事「サイト改ざん(1) 負の連鎖を断ち切るために」でご紹介したソフトウェアのアップデートを必ず行うとともに、アップデート漏れの見つかった方は、最新の状態のウイルス対策ソフトでスキャンをかけるようおすすめする。
なお、マスコミ報道では一様に「ガンブラー」として採り上げているが、その大半は、「セキュリティ通信」がこれまでに取り上げてきた「Gumblar」やその直系と思われる「Gumblar.x」のことではない。昨年末に「新手のサイト改ざん」として注意を呼び掛けたタイプのことで、当事者発表では「Gumblar亜種」としている。
一覧の「種別」欄では、編集部が把握できたものに関してはそれを、分からなかったものに関しては当事者発表を以下の表記で記載している。
<Gumblar>
「gumblar.cn」や「martuz.cn」といった特定の攻撃サイトに誘導する、難読化されたJavaScriptを埋め込むタイプ。昨年の4月~5月にかけて行われた過去の攻撃で、現在このタイプは無い。当事者発表で「Gumblar亜種」としているのは、この元祖Gumblarのことではなく、次のいずれか、または類似する他の改ざん攻撃と思われる。
<Gumblar.x>
昨年10月に攻撃が始まった、難読化されていないscriptタグを埋め込むタイプ。Gumblarの時の改ざんサイトが再改ざんされるケースが多数観測されたり、最終的にインストールされるトロイの木馬が類似していたりと共通点が多く、Gumblarの後継と見られている。特定の攻撃サイトは置かず、誘導先の攻撃サイトにも大量の一般Webサイトを悪用しているのが特徴。
</*GNU GPL*/>
昨年12月から攻撃が始まり現在猛威をふるっているタイプ。改ざん個所には「/*GNU GPL*/」や「/*CODE1*/」「/*LGPL*/」で始まる難読化されたJavaScriptが埋め込まれ、ロシアのドメインの8080ポート(.ru:8080)に接続し攻撃コードをロードする。誘導先のURLは「google.com」などの著名なドメイン名をサブドメイン名やパス名に複数並べた長いURLが使われているのも特徴で、攻撃サイトはフランスやドイツ、オランダなど欧州方面の5基のサーバに分散。Gumblar、Gumblar.xとは異なるタイプのトロイの木馬がインストールされる。
この攻撃には特定の名前が付いておらず、「GNU GPL」「8080」「.ru:8080」などと呼ばれてている。一覧では全て「/*GNU GPL*/」となっているが、これは編集部が確認したもの全てが実際に「/*GNU GPL*/」で始まるタイプだったからだ。サイバーエージェントのブログパーツに関しては、改ざんされた「www.team-norton.jp/tag/bp/suzunari.js」を確認できていないため、実際の改ざん状況は不明。このタイプの検出名である「JS:Illredir-B」で検出されたという報告からの推定である。
■三栄コーポレーション(2010年1月8日発表)
種別:/*GNU GPL*/
期間:2010年1月6日14時30分~1月7日15時
場所:「モッフル」ホームページ(www.moffle.jp)
告知:「モッフル」ホームページの改ざんとウイルス被害に関する報告とお詫び[PDF]
http://www.sanyeicorp.com/mofflevrsrpt.pdf
■サイバーエージェント(2010年1月7日発表)
種別:「/*GNU GPL*/」系
期間:2009年12月26日~2010年1月6日
場所:「ノートン警察 捜査協力ブログパーツ」設置サイト
告知:ブログパーツ改ざんに関する報告とお詫び
http://www.cyberagent.co.jp/news/press/2010/0107_3.html
■ハウス食品(2010年1月7日発表)
種別:Gumblar.x
期間:2009年12月15日1時~2010年1月5日15時
場所:「採用ホームページ」内「新卒採用情報ページ」(www.housefoods-saiyo.net/saiyo/)
告知:ハウス食品「採用ホームページ」に関するお詫びとお知らせ
http://housefoods.jp/company/info/info2278.html
■東京財団(2010年1月7日発表)
種別:/*GNU GPL*/
期間:2010年1月5日19時30分頃~1月6日正午頃
場所:東京財団日本語ホームページ(www.tkfd.or.jp)
告知:当財団ウェブサイトに関するお詫び(東京財団)
http://www.tkfd.or.jp/news/detail.php?id=17
■データリンクス(2010年1月7日発表)
種別:/*GNU GPL*/
期間:2009年12月28日11時~2009年12月29日18時
場所:「キャリア@net」サイト(www.haken.datalinks.co.jp)
告知:ホームページに関する報告とお詫び
http://www.haken.datalinks.co.jp/news/index.html?id=11
■京王電鉄(2010年1月6日発表)
種別:/*GNU GPL*/
期間:2009年12月16日23時50分~2010年1月4日23時35分
場所:キャンペーンサイト「京王×高尾山」(www.keio-ensoku.com)
告知:【お詫び】ホームページへの不正アクセスの発生について
http://www.keio.co.jp/news/update/announce/nr100106v01/index.html
■ビロング(2010年1月6日発表)
種別:/*GNU GPL*/
期間:2010年1月4日17時~1月5日9時30分
場所:イラスト販売サイト「Illustshow」(illustshow.com)
告知:弊社ホームページの不正改ざんに関するお詫び
http://illustshow.com/info_20100106.php
■恵那バッテリー電装(2010年1月6日発表)
種別:/*GNU GPL*/
期間:2009年12月26日12時40分頃~2010年1月4日11時頃
場所:恵那バッテリー(www.enabattery.co.jp)、バッテリー110番(www.battery110.jp)、セーフティドライブ(www.safety-drive.jp)
告知:当社サイトのウイルス感染についてお詫びとご報告
http://www.enabattery.co.jp/201001/post-43.html
■ナショナル クリエイターズ カンファレンス(2010年1月6日発表)
種別:Gumblar.x(当事者発表)
期間:2009年12月21日0時頃~2009年12月25日23時
場所:クリエイター情報検索サイト「ncc」(www.n-c-c.org)
告知:nccサイトに関する報告とお詫び
http://www.n-c-c.org/modules/info/index.php?id=19
■大学図書館問題研究会(2010年1月6日発表)
種別:/*GNU GPL*/
期間:2010年1月3日0時30分頃~1月6日11時頃
場所:大図研HP(www.daitoken.com/)
告知:大図研HP改竄被害について
http://www.daitoken.com/hp_trouble.html
■モロゾフ(2010年1月5日発表)
種別:/*GNU GPL*/
期間:2010年1月4日19時30分~1月5日11時54分
場所:モロゾフホームページ(www.morozoff.co.jp)
告知:ホームページに関する報告とお詫び
http://www.morozoff.co.jp/_cms_/news_item/detail/item00085.html
■民主党 東京都総支部連合会(2010年1月5日発表)
種別:/*GNU GPL*/
期間:2009年12月25日12時20分頃~2010年1月4日
場所:民主党東京都総支部連合会(www.tokyo.dpj.or.jp)
告知:当Webサイト改ざんについてのお詫び
http://www.tokyo.dpj.or.jp/news/20100105.html
■ローソン(2009年12月30日発表)
種別:Gumblar亜種(当事者発表)
期間:2009年12月28日11時21分~2009年12月30日0時20分
場所:ローソン採用ポータルサイト(www.lawson-recruit.jp)
告知:本サイトの改ざんに関する報告とお詫び(2009/12/30)
http://www.lawson-recruit.jp/student/apology/
告知:ローソンホームページ「採用」サイト改ざんについて(2010/01/06)
http://www.lawson.co.jp/company/news/detail/detail_1748.html
■検索エンジンMooter(2009年12月30日発表)
種別:/*GNU GPL*/
期間:2009年12月25日1時~12月28日18時30分
場所:Mooterホームページ(*.mooter.co.jp)、および「Mooter検索窓」の設置サイト
告知:弊社ホームページの改ざんについてのお詫びとお知らせ(削除済み)
http://www.mooter.co.jp/
■デジタルマガジン(2009年12月29日発表)
種別:/*GNU GPL*/
期間:2009年12月27日2時頃~12月28日15時頃
場所:デジタルマガジン(digimaga.net)
告知:【お知らせ】デジタルマガジン、ページ不正改ざんについてのお詫び
http://digimaga.net/2009/12/about-infection-to-the-gumblar-virus.html
■ディズニー(2009年12月29日発表)
種別:Gumblar.x
期間2009年12月22日16時~12月25日18時
場所:ショッピングサイト お正月特集ページ(www.disney.co.jp/shopping/special/0912_newyear.html)
告知:お正月特集ページに関するお詫び
http://www.disney.co.jp/shopping/pop/091229_info.html
■信越放送(2009年12月28日発表)
種別:/*GNU GPL*/
期間:2009年12月26日12時36分~12月28日4時
場所:SBC信越放送のホームページ(www.sbc21.co.jp)
告知:弊社ホームページの改ざんについてのお詫び
http://www.sbc21.co.jp/notice/notice091227.html
■FX為替情報検索「fxwill.com」(2009年12月28日発表)
種別:/*GNU GPL*/
期間:2009年12月25日23時50分頃~12月27日1時頃
場所:ホームページ(fxwill.com)、ブログパーツ(tool.fxwill.com)、リアルタイムチャート(chart.fxwill.com)、アマゾン検索(aws.fxwill.com)、およびブログパーツ設置サイト
告知:fxwill.comのウェブサイト、及び配布ブログパーツに関する報告とお詫び
http://fxwill.com/report.php
■野村ビルマネジメント(2009年12月25日発表)
種別:/*GNU GPL*/
期間:2009年12月22日21時21分~12月24日21時4分
場所:ホームページ(www.nomura-bm.co.jp)
告知:弊社ホームページ改ざんについて[PDF]
http://www.nomura-bm.co.jp/data/pdf/NEWS091225.pdf
■京成トラベルサービス(2009年12月25日発表)
種別:Gumbler亜種(当事者発表)
期間:2009年12月11日9時40分~12月18日18時頃
場所:外貨両替のご案内ページ(www.keiseitravel.co.jp/gaika_ryogae.htm)
告知:当社サイト改竄に関して
http://www.keiseitravel.co.jp/info_091225.htm
■本田技研工業(2009年12月23日発表)
種別:/*GNU GPL*/
期間:2009年12月18日11時30~12月21日16時
場所:「ストリーム」サイト(www.honda.co.jp/STREAM/)
告知:Hondaホームページ 「ストリーム」サイトに関する報告とお詫び
http://www.honda.co.jp/oshirase/
■JR東日本(2009年12月23日発表)
種別:/*GNU GPL*/
期間:2009年12月8日21時40分~12月21日23時55分(キーワード検索)
2009年12月18日11時~12月22日21時(大人の休日倶楽部内の東京講座ページ)
場所:ホームページ(www.jreast.co.jp)内の上記ページ
告知:(お詫び)ホームページの再開について
http://www.jreast.co.jp/apology/20091223_restart.html
■ラジオ関西(2009年12月16日発表)
種別:/*GNU GPL*/
期間:2009年12月15日17時頃~12月16日12時頃
場所:アニたまどっとコム(anitama.com)
告知:【お詫び】弊社ホームページ不正改ざんについて
http://anitama.com/saishininfo/info/index.html
告知:弊社「アニたまどっとコム」ホームページ改ざんについてのお詫び
http://jocr.jp/company/info.html#anitama
(2010/01/08 ネットセキュリティニュース)