米国のセキュリティベンダーArmorize Technologiesは26日、オープンソースのオンラインショップ構築システム「osCommerce」で構築されたサイトを狙った、大規模なサイト改ざんが発生しているとして注意を呼び掛けた。改ざんされたサイトを閲覧すると、ウイルスに感染する恐れがある。
同社によると、改ざんサイトには「willysy.com」に接続するiframeタグや「exero.eu」に接続するscriptタグが埋め込まれており、閲覧者を不正なサイトへと誘導。Windows、JRE(Java実行環境)、Adobe Readerの脆弱性攻撃を仕掛け、悪質なプログラムを自動的にインストールしようとする。悪用されている脆弱性は、いずれも修正済みのものばかりなので、システムを最新の状態にしていれば、感染の恐れはない。下記「関連トピックス」を参考に、アップデートを実行していただきたい。
編集部が27日に行った調査では、24~25日にかけて改ざんされたとみられる国内のサイトがいくつか見つかった。いずれも「osCommerce」で構築されたサイトであり、同システムの脆弱性が狙われた可能性がある。
埋め込まれたリンクから誘導先をたどってみたところ、27日の調査時点では、脆弱性を悪用したドライブバイダウンロード攻撃は行われておらず、最終的には偽セキュリティソフトの押し売りサイトへと誘導された。ブラウザ上で偽のウイルススキャンを見せ、ウイルス駆除と称して、偽セキュリティソフトをユーザー自身にダウンロード/実行させようとするタイプの攻撃だ。
28日付けのIBM Tokyo SOC Reportによると、アクセスした端末やタイミングによって、リダイレクト先が変更されるようで、さまざまな攻撃を受ける可能性があるという。
OSやプラグインのアップデートで脆弱性を排除しておくとともに、「セキュリティの警告」やプログラムの実行ダイアログボックスが表示された場合には、それ以上先には進まず、ブラウザを閉じたり、ダイアログボックスをキャンセルするよう心掛けていただきたい。
(2011/07/28 ネットセキュリティニュース)
【関連URL】
・一部のWebサイトに不正なiframeタグが埋め込まれる(IBM Tokyo SOC)
https://www.ibm.com/connections/blogs/tokyo-soc/entry/injection_20110728?lang=ja
・willysy.com Mass Injection ongoing, targets osCommerce sites[英文](Armorize Malware Blog)
http://blog.armorize.com/2011/07/willysycom-mass-injection-ongoing.html