■VISAのフィッシングサイトがフィッシングの警告サイトに
3月には、Fast-Flax攻撃に使われているボットネットのドメインのうちの数個が、単なる無効化ではなく、米APWG(Anti-Phishing Working Group)が展開するフィッシングの教育プログラムサイトへ誘導される仕掛けになっているのに遭遇した。閉鎖したフィッシングサイトをアクセスできなくしてしまうのではなく、アクセスしたユーザーを警告サイトへと誘導し、訪問しようとしたページがフィッシングサイトだったことを警告。注意点などを案内するプログラムだ。
このプログラムは、フィッシング対策協議会が国内での展開を表明していたが、同協議会が23日付で注意を呼び掛けたVISAのフィシングサイトで、この誘導が行われたようだ。編集部が確認したのは、エストニアの学校のWebサイト。24日明け方、サイト内に仕掛けられていた複数のVISAの偽サイトが全て閉鎖され、下記の「フクロウ先生のフィッシング警告ページ」へと誘導するようになっていた。
<関連URL>
・フィッシング対策協議会が「フクロウ先生のフィッシング警告ページ」を日本で展開(フィッシング対策協議会)
http://www.antiphishing.jp/information/information1056.html
・フクロウ先生のフィッシング警告ページ
http://education.apwg.org/r/
■フィッシングサイトはどに作られる?
フィッシングメールから誘導されるフィッシングサイトは、いったいどこに設置されているのだろうか。偽サイトがホスティングされている場所には、大きく分けると次の3パターンがある。
(1) 有料・無料のホスティングサービス
(2) ネットにつながったユーザーのパソコン
(3) 一般のWebサイト
Yahoo!の偽サイトは、(1)のパターンがほとんどだ。今月に観測したもの限れば、すべて国内のホスティングサービスだった。ZeuS/Zbot系ボットネットの場合は、ウイルスに感染したユーザーのパソコンが偽サイトをホストする(2)のパターン。外部から操られた感染パソコンが、Webサーバーに変身してしまうのだ。このバリエーションには、Fast-Flaxのボットネットのほかに、感染パソコンが単体でホスティングしているものや、ウイルスではなくユーザー自らが設置して攻撃を仕掛けていると見られるものもある。そして、VISAやMasterCardのように、既存のWebサイトにこっそり置いてしまうのが(3)のパターンだ。
30日昼時点の4月分、58件の内訳をみると、(1)のホスティングサービスが12件、(2)のユーザーのパソコン3件、(3)の一般サイトが39件、判断できなかったものが4件となっている。全体の67%、国内ブランドを除外すると実に84%が、不正アクセスを受けた一般のWebサイトに設置されていたことになる。
■Webアプリの脆弱性に注意~とくに目立つ「phpMyAdmin」「Zen Cart」
不正アクセスの方法をインターネット側から見ただけで推定するのは早計だが、Webアプリケーションの脆弱性を突いたのではないかと見られるものにしばしば出くわす。下記の警察庁の資料にもある、データベースの管理ソフト「phpMyAdmin」と、ショッピングカートの「Zen Cart」は、推察しやすいこともあって特に目につく。この他にも、ブログなどに使われるCMS(コンテンツマネージメントシステム)の「WordPress」や「Joomla」らしきものもチラホラ見かける。
これらは、たいていホスティングサービス側が提供しているものなので、ユーザー側での対処は難しいかもしれないが、全く使用していない「Zen Cart」がインストール直後の状態で放置されていたりするのは、さすがにいただけない。サイトを運営されている方は、使用していないWebアプリケーションが動いていないかどうか、一度チェックしてみることをお勧めする。フィシングサイトなどというと大げさな仕掛けと思われるかもしれないが、HTMLファイルを1つ置けるだけで悪用可能なので注意していただきたい。
<関連URL>
・Webアプリケーション(phpMyAdmin、Nagios等)、IIS WebDAVに対する攻撃について[PDF](警察庁)
http://www.npa.go.jp/cyberpolice/server/rd_env/pdf/20100225_WebApp.pdf
(2010/04/30 ネットセキュリティニュース)