相変わらず猛威をふるっている国内のWebサイト改ざんだが、改ざんサイトに埋め込まれるコードが21日夜から変化したことが、編集部の調査で分かった。誘導先の攻撃サイトのドメインも一新されており、対策ソフトの検出を逃れるために仕切り直したようだ。
新たな展開を見せているのは、昨年12月から続いている「/*GNU GPL*/ try{window.onload」などで始まるJavaScriptを埋め込むタイプ。一般には「ガンブラー」と総称されるが、セキュリティ通信では「8080」と呼んでいる攻撃だ。
この攻撃では、閲覧者のパソコンをウイルスに感染させるために、ロシアのドメインの8080ポート(.ru:8080)に接続させる難読化したコードを改ざんサイトに埋め込む。誘導先のURLには「google.com」などの著名なドメイン名を大量に織り込み、本物のドメイン名をカムフラージュ。難読化は文字列にランダムに文字を挿入するやり方で、当初はURL部分だけだったが、後にあらゆる文字列にまで発展し、今月8日頃からは「/*LGPL*/ try{window.onload」で始まるコードに変化していた。
■埋め込みコードは「/*LGPL*/」から「/*Exception*/」に
今回の変更は、21日夜、「try{window.onload」で始まり「/*handle exception*/」で終わる、難読化なしのバージョンの出現で始まった。URLが全てむき出しの新型コードは、数時間後には「/*Exception*/ document.write」で始まる難読化されたバージョンに変わり、難読化なし版が埋め込まれたページも、明け方までに順次「/*Exception*/」の難読化版に書き換えられた。おそらくは、何かの手違いで埋め込みコードの変更に失敗し、難読化なし版が一時流れたのだろう。
「/*LGPL*/ try{window.onload…」から「/*Exception*/ document.write…」への変更は、対策ソフトの検出回避に大きな効果があったようで、変更直後の改ざんページは、どのウイルス対策ソフトも検出できない状態。ただし、誘導先の攻撃自体には大きな変化はなく、攻撃サイトからロードするスクリプト等は、これまで通りに検出状況だ。
■誘導先のドメインは一新
埋め込みコードの変更と前後して、埋め込まれる誘導先のドメインも一新された。「/*LGPL*/」までの改ざんで使われたドメインには、もはや接続できなくなっており、現在は「/*Exception*/」で埋め込まれる新たなURLのドメインのみが有効な状態だ。
攻撃サイトの構成などはこれまで通り。フランスやオランダなどの5基のサーバーを1セットで使い、個々のドメインには全て同じセットが登録。攻撃サイトは実質5基だが、少しずつ入れ替えが行われているため、IPアドレスは安定していない。
■被害を受けたらパスワードの変更を
埋め込みコードとドメインを一新し、さらなる拡散を図るサイト改ざん攻撃だが、新たなコードを埋め込まれたサイトの中には、修復済みだったはずのサイトもいくつか含まれている。改ざんされた原因が分からないまま、改ざん個所を修正しただけで済ませてしまったのだろう。
ガンブラーと呼ばれている一連のサイト改ざん(Gumblar.x、8080)は、ウイルスに感染したサイト管理者のパソコンからサイト更新用のFTPアカウントを盗み出し、それを使って行っている。SQLインジェクションのようにWebサイトの穴を探して入り込んでくるのではなく、正面玄関から堂々と入って来てしまうのだ。
改ざん個所に「/*GNU GPL*/」「/*CODE1*/」「/*LGPL*/」「/*Exception*/」とう文字列が含まれていたら、一連の攻撃によるもの。改ざん個所の修正だけで終わらせずに、必ずウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更。改ざんの連鎖がこれ以上広がらないよう、閲覧者にも注意を呼び掛けていただきたい。
(2010/01/22 ネットセキュリティニュース)