警察庁は24日、重要インフラ事業者などのWebサイトの改ざんが、今年に入り増加しているとして、注意を呼び掛けた。具体的な数は不明だが、昨年の2倍を上回るペースだという。
発表では、改ざんの手口などを断定するには至っていないものの、コンテンツマネージメントシステム(CMS)の脆弱性の悪用とFTPアカウントの窃取という、2つの形態によるものと見られる改ざんが多数あるとし、CMSを利用しているWebサイトの適切な管理と、FTPアカウントの適切な管理を呼び掛けている。これらは、脆弱性が原因で管理者アカウントを奪取されるというように重なる部分もあるので、Webサイトを運営されている方は常に両方の対策を並行して実施していただきたい。
■CMSの脆弱性を悪用した改ざん
今年1月から2月には、CMSの脆弱性を悪用し、Webサーバー内にテキストファイルや画像ファイルなどを新たに蔵置するケースが多く見られたという。同庁の観測では、設置されたファイルに攻撃者自身のハンドルなどが記載されたものがあり、ファイル蔵置の成功を誇示したものと見ている。
クラックしたサイトに足跡を残していくタイプの改ざん情報を主に公開している「Zone-H」で調べたところ、今年の1月、2月に、国内のWebサイトの改ざん数が突出している様子がうかがえる。JP/CERTの「インシデント報告対応レポート」でも、昨年7月から改ざんが急増し、今年2月に大きなピークを迎えている。ただし、同レポートでは、閲覧者をウイルスに感染させるための、不審なiframeタグが挿入される改ざんの報告を多く受けたとしている。
国内の一般サイトが改ざんされ、フィッシングサイトが設置されるケースも似たような傾向を示しており、昨年末にかけて一時減少したものの、年が明けると再び増加に転じている。特に2月は、不正アクセスを受けたと見られる一般サイト45件のうち、脆弱性の悪用と見られるものが19件と目立った。3~4月は、やや落ち着きを見せたものの今月に入って再び目立つようになり、27日時点で一般サイトに設置されたフィッシングサイト34件中15件が、脆弱性の悪用を疑われるタイプとなっている。
CMSやサーバー管理ツールなどのサーバーソフトの脆弱性は、さまざまなタイプの改ざんや情報流出を招く危険性がある。次のFTPアカウント窃取の原因になることもあるので、Webサイトの管理者の方は、くれぐれも注意していただきたい。
■窃取したFTPアカウントによる改ざん
警察庁の発表では、4月以降にはトップページに外部サイトへの誘導を行うiframe タグを挿入する改ざんが多数あったという。そのうちいくつかは、FTP経由での改ざんが判明しており、1回のアクセスだけでログインに成功しているケースを確認していることから、同庁はFTPアカウントが窃取されている可能性が考えられるとしている。
iframeタグを埋め込むタイプの改ざんでは、誘導先にブラウザーやプラグインの脆弱性を攻撃するスクリプトが仕掛けられていることが多く、正規サイトを閲覧しているつもりが、知らない間にウイルスに感染してしまうことがある。3月には、サーバー管理ツールの脆弱性が疑われるiframe挿入が、国内のWebサイトで大規模に行われた。閲覧者に直接被害が及ぶことなので、全てのユーザーが注意しなければいけないことだ。
Windows Updateを欠かさず実行するとともに、JRE(Java Runtime Environment:Java実行環境)、Adobe Reader、 Adobe Flash Playerを常に最新にし、脆弱性のない状態にしておいていただきたい。たったこれだけで、改ざんサイト経由のウイルス感染被害は、ほとんど受けなくなる。
(2013/05/27 ネットセキュリティニュース)
【関連URL】
・ウェブサイト改ざん事案の多発に係る注意喚起について[PDF](警察庁)
http://www.npa.go.jp/cyberpolice/detect/pdf/20130524_1.pdf
・JPCERT/CC インシデント報告対応レポート [2013年1月1日~2013年3月31日][PDF](JPCERT/CC)
https://www.jpcert.or.jp/pr/2013/IR_Report20130415.pdf
・旧バージョンの Parallels Plesk Panel の利用に関する注意喚起(JPCERT/CC)
http://www.jpcert.or.jp/at/2013/at130018.html
【関連記事:ネットセキュリティニュース】
・正規サイトの改ざん被害が大量発生~JavaやAdobe製品のアップデートを(2013/0322)