フィッシングといえば、偽サイトに誘導されアカウント情報などをだまし取られてしまう被害ばかりに目が行きがちだが、管理サイトが不正アクセスを受け、勝手に偽サイトを置かれてしまうという別の被害にも注目したい。
不正アクセスを受けたとみられる国内のWebサイトに設置されたフィッシンサイト本体の数は、筆者が今年に入ってから確認したものだけでも500件近くある。サイトの利用者には直接影響が及ばないためか、ほとんど公表されることはないが、相当数のWebサイトが被害にあっている。そんな中から、数少ない最近の公表事例をご紹介する。
■「産経health」に「Yahoo!」「Goole」「AOL」の偽サイト
産経新聞社は10月29日、同社が運営する医療・健康情報サイト「産経health(ヘルス)」が外部から書き換えられていた可能性が高いとして、同サイトを閉鎖した。同サイトの管理委託先から連絡を受けて発覚したもので、ネット上では前日の深夜、「同サイトにフィッシング詐欺ページがたくさん作成されている」との報告があがっていた。編集部で調査したところ、26日夜から29日未明にかけ、「Goole」と「AOL」の偽サイトが各1セットと、「Yahoo!」の偽サイトが11セット設置されていた。
偽サイトはいずれも英語版で、アカウント情報のみをだまし取ろうとする単純なもの。国内のユーザーにフィッシングメールが送られたという報告はなく、海外で行われたフィッシングの偽サイトとみられる。原因や被害の状況については現在同社が調査を進めている段階だが、偽サイトはWordPressの階層下に置かれており、WordPressがらみの問題で設置された可能性がある。
<関連URL:産経新聞社>
・医療・情報サイト「産経health」を閉鎖しました[PDF]
http://sankei.jp/pdf/20141029_health.pdf
■防災科学技術研究所の「防災コンテスト」に「PayPal」の偽サイト
独立行政法人・防災科学技術研究所は8月11日、「防災コンテスト」の参加者申し込みサイトにフィッシングサイトが置かれていたことを公表。その後の調査結果を9月9日に公表した。同サイトに「PayPal」の偽サイトが設置されていることは、8月9日に判明した。偽サイトは、英語版のログインページに続いて、クレジットカード情報を入力させようとするもので、海外のフィッシングに使われたものとみられる。その後の調査で、参加者申し込みサイトの一部で利用していた外部ライブラリに脆弱性があったことが確認され、同研究所は、これを悪用してフィッシングサイトを設置したものとみている。
<関連URL:防災科学技術研究所>
・緊急メンテナンスについて
http://risk.bosai.go.jp/maintenance.html
・本件に関するプレスリリース(第一報:8/11付)[PDF]
http://www.bosai.go.jp/press/2014/pdf/20140811_01.pdf
・本件に関するプレスリリース(第二報:9/9付)[PDF]
http://www.bosai.go.jp/press/2014/pdf/20140909_01.pdf
■国内ISPのアクセス回線に「Facebook」の偽サイト
フィッシング対策協議会は10月7日、「Facebook」をかたるフィッシングサイトが稼働しているとして注意を呼びかけた。この偽サイトは、国内ISPのアクセス回線上で、遅くとも今月4日には稼働していた。偽サイトがアクセス回線上に設置される同様のケースには、10月29日朝まで稼働していた「三菱東京UFJ銀行」の偽サイトがあるが、同行のフィッシングと違い、国内のユーザーにフィッシングメールが送られた報告はなく、偽サイトも日本語化されていない。海外のフィッシングで使用された偽サイトの残骸が、同協議会に報告されたのだろう。偽サイトは、10月25日まで稼働を続けたが、その間もフィッシングが行われたという報告はあがっていない。
同協議会の注意喚起にはこうした事情は記載されておらず、通常のフィッシングと同様のアカウント情報を入力しないよう呼びかけるものだったが、誘導されない偽サイトに危険性はない。これもまた産経新聞社や防災科学技術研究所と同じく、設置されることに注意する事案である。
回線を管理するISPからは、原因等についての報告は特にない。考えられるのは、攻撃者グループの一員が自ら行っているケースと、ウイルスに感染したパソコンが外部から操られているケース、自宅に設置したサーバーが不正アクセスされたケースである。
<関連URL:フィッシング対策協議会>
・Facebook をかたるフィッシング (2014/10/07)
https://www.antiphishing.jp/news/alert/facebook_20141007.html
■原因究明と対処を――脆弱性の悪用か、管理アカウントの漏えいか
Webサイトなどに意図しない偽サイトが置かれてしまった場合には、何らかの問題が発生しているはずなので、原因を究明し対処する必要がある。公開サイトや自宅サーバーが不正アクセスを受けるケースでは、サイトの脆弱性が悪用されていないか、管理アカウントが破られていないかに注意する。前者は、最新版に更新するなどして、脆弱性を修正するのが急務だ。後者は、ウイルス感染やフィッシングなどでアカウントを窃取されていないか、安易なパスワードが破られていないかといったことに注意し、パスワードを変更することで対処する。管理アカウントがウイルスに窃取されている場合には、感染パソコンでパスワード変更を行わないよう、くれぐれも注意していただきたい。
不正アクセスの手段として意外と多いのが、WordPressなどのコンテンツ管理システムの管理アカウントが、初期設定のまま使われているケースだ。使用していないにも関わらずインストールだけ行われているサイトをしばしば見かける。使用するつもりなら、設定や管理、その後の更新などを正しく行い、使用しないのであれば、すみやかに停止する必要がある。
ウイルスの中には、感染すると外部からパソコンを操作されてしまうタイプのものがある。数年前には、この手のウイルスに感染し、勝手にフィッシングサイトにしてしまう大規模な攻撃が行われ、国内でも悪用されるパソコンが続出した。最近はそうした大規模なものは聞かないが、パソコンを遠隔操作されてしまうと、偽サイトを勝手に開設されてしまうことがある。悪用されないようにするためには、日頃からのウイルス対策が重要だ。
(2014/10/30 ネットセキュリティニュース)