■8080系キャンペーンファイルも改ざん被害?
8080系の薬局キャンペーンでは、改ざんサイトのルートに「英単語+2桁の数字.html」という小さなHTMLファイルが設置される。ウイルスメール用には、「1~3文字のアルファベット.html」や「index+1桁の数字.html」が設置される。
これらファイルは、8080系の攻撃者が比較的最近、こっそりと置いたファイルなのだが、これらファイルまでが、手当たり次第に改ざんするタイプの攻撃を受けていることがある。
編集部の観測では、数十個に1個程度の割合で、Gumblar.xなどの他の攻撃者のコードが埋め込まれている。このようなサイトのトップページは、言わずもがな。ひどいところでは、原型をとどめないまでにさまざまな改ざんコードで埋め尽くされ、放置状態が続いていたりする。
今月1日、8080系キャンペーンの中継サイトに悪用されるケースが多発していた国内のISP 1社が、全ユーザーのFTPパスワードを強制的に変更する対策を実施した。どうやらこれが功を奏したようで、悪用されるサイトの1~2割を占めていた国内サイトが3%にまで減少。編集部の観測では、その後に悪用された同社のサイトは、これまでのところひとつもない。
止まらぬサイト改ざん、そろそろ、世界規模でのパスワードリセットを本気で考えた方が良いのかもしれない。
(2010/06/29 ネットセキュリティニュース)