東京都は21日、東京芸術劇場のホームページリンク先である「東京芸術劇場チケットサービス」サイトが、昨年12月17日から今年1月17日まで、改ざん被害にあったことを公表した。この間の同サイトへのアクセス数は2万3181件。当該サイトを閲覧した場合、ウイルス感染のおそれがある。
東京都によると、ウイルスは「Gumblar」亜種で、1月4日に劇場職員がサイトにアクセスして異常を発見。サイト運営会社のホリプロに連絡して復旧したが、9日にユーザーからの苦情で再度の感染を知った。これを改善して復旧させたが、19日になってまたユーザーから通報があり、調べたところ前回の改善箇所以外から感染ファイルが見つかったという。
直近のこの事例から、一連のサイト改ざん被害の対応について考えてみたい。
まず、公表の意義について。毎日のようにどこかの企業や団体が改ざん被害を公表しているが、こうした公表は感染二次被害を食い止めるための基本だ。3回目の改ざん被害で、しかも通報されてそれと気づいてから、やっと改ざん被害を公表するというのは後手に回っている。
次に、感染ウイルスについて。編集部では、サイト改ざん攻撃には大きく分けて昨年猛威をふるった「Gumblar」系と、年末からの新顔「8080」系の2系統があると考えている。後者は、改ざん箇所に埋め込まれたJavaScriptに「GNU GPL」という文字列が使われていたことから、「GNU GPL」と呼ばれることもある。また、注意したいのは、後者の「8080」系を「Gumblar」亜種とする報道例が多いことだ。当該事例でも「Gumblar」亜種とされているが、ウイルスの系統(種類)によって感染リスクも変わってくるので、この精査は重要だ。
「8080」系は新顔の現在進行形なので、ウイルス対策ソフトでも検知できない場合がある。そのウイルス対策ソフトが最新のでも感染してしまうおそれがあり、感染後にスキャンしてもウイルスを検出できない可能性があるからだ。サイト運営側は、これをふまえた上で、入念なウイルス除去と除去確認を行う必要がある。
なお、改ざん被害はまだ終わりが見える気配がない。インターネット利用の基本として、Microsoft Updateの実行と各種アプリケーションを常に最新版に更新したい。
本稿の後に、「東京芸術劇場チケットサービス」も含め、改ざんを告知・謝罪し、ユーザーに対応を呼びかけているサイトをまとめておくので、感染対策に役立てていただきたい。
(2010/01/22 ネットセキュリティニュース)