北九州市が11日に公表した、「北九州市くらし情報ナビ」ホームページの改ざんは、当編集部の調査では、8080系の攻撃サイトに誘導するSQLインジェクション攻撃による改ざんの可能性が高い。市は改ざんページを閲覧しても被害はないとしているが、少なくとも8月15日~25日の間、Windows、JRE、Adobe Readerの更新を怠っているパソコンで閲覧した場合、ウイルス感染の可能性があるので注意を喚起しておきたい。
当編集部の調査は市が報道発表した翌週に行ったものだが、改ざんされたサイトからは、中国に設置されているロシアドメイン(.ru)のサーバに誘導するiframerタグが大量に検出された。この誘導先のサイトにアクセスすると、さらに8080系の攻撃サイトへと誘導され、Windowsのヘルプとサポートセンター、JRE(Java Runtime Environment)、Abobe Readerの脆弱性攻撃を仕掛けてくる。
いずれも、修正済みの脆弱性ばかりだが、ソフトウェアが最新の状態になっていない場合には、気がつかないうちにBredolab系のウイルスが自動的にダウンロード/実行されてしまう。このウイルスは、さまざまなウイルスのインストーラーになっており、インストールされるウイルスには、サイト改ざんに悪用されているアカウント情報を盗み取るウイルスや偽のセキュリティソフトなどが含まれる。
市の発表では、接続先のホームページが4月に閉鎖されているため、閲覧しても被害はないとしているが、編集部調査では、誘導先は6月下旬頃から現在の中国のサーバーで稼働。少なくとも8月15日~25日の間は、8080系の攻撃サイトへのリダイレクタとして機能していたことを確認している。また、IBMが今月2日に発表したレポート「SQLインジェクションによるGumblar.8080への誘導」では、改ざんされた市のサイトと同じ埋め込みコードが取り上げられており、8月1日ごろから、このコードを埋め込むIIS(Internet Information Server)を狙ったSQLインジェクション攻撃が行われていたことがうかがえる。
IBM Tokyo SOCのレポートでは、この時点で、編集部の調査内容と同じ攻撃が閲覧者に対して行われていたとしており、市の改ざん時期も継続して攻撃が行われていたと考えるのが妥当だろう。
市によると、改ざんされたサイトは外部に委託しているもので、委託先からの報告をもとに、改ざんされたページを閲覧しても被害はないと発表したという。しかし、Windows、JRE、Adobe Readerの更新を怠っているパソコンで改ざんページを閲覧した場合には、ウイルス感染の可能性がある。心当たりのある方は、ウイルススキャンを実施していただきたい。
(2010/08/30 ネットセキュリティニュース)
■「北九州市くらし情報ナビ」ホームページの改ざんについて
http://www.city.kitakyushu.jp/pcp_portal/contents?CONTENTS_ID=29235
■ SQLインジェクションによるGumblar.8080への誘導(IBM Tokyo SOC Report)
https://www-950.ibm.com/blogs/tokyo-soc/entry/sql_injection_gumblar8080_20100802?lang=ja