最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆フィッシング詐欺を防ぐブラウザの検知機能~対策協議会が調査結果を発表(2010/04/27) | メイン | ◆止まらぬサイト改ざん:訪問の心あたりはありませんか~新規告知サイト12件(2010/04/28) »

2010/04/28

◆サイト改ざんに新展開:8080系改ざんサイトが怪しい薬局キャンペーンを支援(2010/04/28)

 ウイルスに感染したパソコンからWebサイト更新用のFTPアカウントを盗み取り、感染者の管理サイトを次々に汚染していくサイト改ざん。中でも、主にロシアドメイン(.ru)の8080ポートに誘導する難読化されたスクリプトを埋め込むタイプは、昨年末から国内で猛威をふるい続け、大手企業から個人サイトに至るまで多数の被害を出している。そんな8080系のサイト改ざんが、今週、新たな展開を見せている。

■改ざんサイトに置かれた怪しい薬局サイトの誘導ページ
 これまで8080系が行う攻撃は、サイトを改ざんし、脆弱性攻撃を仕掛ける攻撃サイトへと誘導するスクリプトを埋め込み、閲覧者をウイルスに感染させようとするタイプだった。ついでに偽セキュリティソフトもインストールしたが、主体はもっぱら、このような悪質なプログラムのインストールだった。
 今週新たに観測されるようになったのは、怪しいオンラインドラッグストアへと誘導するタイプ。それも、既存ページに埋め込むのではなく、そのためのHTMLファイルが新規にアップロードされる。これまでに見つかっているのは、いずれも「gilt23.html」というように任意の英単語に2桁の数字を加えたファイル名になっており、同名のJPEGファイル(.jpg)も一緒に置かれているのが特徴だ。
 HTMLファイルの中身は、「location = ’http://easydrugsbuy.com:8080/’」という難読化されていないスクリプトが書かれており、このファイルをJavaScriptが有効なブラウザで開くと、「Canadian Pharmacy」と名乗るED薬などの販売サイトを自動的に開く。

■薬局サイトは8080の攻撃サーバーで運営
 改ざんサイトから誘導されるこの薬局サイトは、5基のサーバーで構成された8080系の攻撃サーバーを使って運営されている。脆弱性攻撃を仕掛けてウイルスに感染させようとした、あの攻撃サーバーが使われているのだ。今のところ先のホスト名でのアクセスは、薬局のキャンペーンに専念しているようで、ウイルス感染のおそれはないが、いつ攻撃に転じてもおかしくない相手なので、気軽にアクセスしないよう注意していただきたい。
 つい先日ばら撒かれた、アイスランドの火山噴火に便乗した迷惑メールの誘導先も、同じデザインのこの薬局サイトになっており、サイトの画面は下記のG DATAのリリースで確認することができる。
・アイスランド火山噴火被害関連スパムが急増(G DATA)
http://gdata.co.jp/press/archives/2010/04/post_80.htm

■改ざんサイトの誘導ページは迷惑メールのリンク先
 この薬局サイトは、見覚えのある方も多いのではないだろうか。編集部に届く迷惑メールの中でも圧倒的な数を占めてるのが、この薬局サイト行きのメール。今回、改ざんサイトに置かれた誘導ページは、26日から舞い込むようになった「Dear *****, Catch 77% discounts *****」(*****はあて先のユーザー名と任意の文字列)という件名の迷惑メールのリンク先に使われていた。
 編集部が2日間で受信した、このタイプのメールは数十通あるが、リンク先は全て一般のWebサイトになっており、驚くことにひとつの重複もない。大量に確保した一般サイトのURLを使うことによって、迷惑メールフィルターをすり抜けようという魂胆なのだろう。リンク先のサイトの2割近くが日本国内のサイトというのも特筆すべき点で、8080系の汚染がいかに国内にまん延しているかがうかがえる。
 迷惑メールのリンク先となった国内のサイトは、いずれも稼働しており、迷惑メールから改ざんサイトを経由して、無事(?)薬局サイトへとたどり着けるようになっていた。改ざんサイトの大半は、トップページなども改ざんされており、ウイルス感染と薬局キャンペーンという悪夢のようなコラボ状態。さらなる展開を想像すると、頭が痛くなるばかりだ。

■サイト管理者の方へ
 悪用されていたサイトの一部には、コンテンツが何もないところにHTMLとJPEGのセットだけが置かれているケースや、これらファイルの存在に気付かないまま、Webページだけを修復したとみられるサイトも存在した。サイトを運営されている方(過去に作成して放置している方や、これから作成するために用意している方なども含む)は、サイトの改ざんやサイト管理に使用しているパソコンのウイルス感染が判明した場合には、各ページの修復とともに、不審なファイルの設置状況も必ずチェックするようにしていただきたい。現時点では、不審なファイルは前述のような特徴を持ち、サイトのトップページと同じフォルダに置かれている。
 ちなみに8080系の攻撃では、インデックスページに使われることの多い「index」や「main」「default」などをファイル名に含むHTMLとPHPファイル、および全てのJavaScriptファイル(.js)が、改ざんのターゲットとなっている。これらのファイルを中心に、ファイルの先頭や末尾に意味不明の文字列が並んだスクリプトが挿入されていないかどうかを重点的にチェックするとよい。ウイルスに感染していないパソコンを使って、サイトのパスワードを変更しておくこともお忘れなく。

(2010/04/28 ネットセキュリティニュース)

投稿情報: 08:31 |

|