ウイルス対策ソフトウェアベンダーや、IT関連のニュースサイトでも既報のとおり、ここ数ヶ月の間にWeb改ざんの被害報告が激増しています。そのペースは、2009年に流行したガンブラー攻撃や2012年9月中旬に多発した近隣諸国からと思われるWeb改ざんに匹敵する規模となっており、IPAや@Police、JPCERT/CCから注意喚起が出される事態となっています。
現在、Webサイトの改ざんが急増中!~その傾向
Web改ざんの被害を受けたWebサイトには、そのサイトの運営企業・組織による事態の説明報告が掲載されています。見つけられる限りすべて確認をしていますが、改ざんの原因について分析、公表をしているサイトは、これまでのところ確認できていません。では、その報告文から、何か読み取れることはないでしょうか。
これら被害企業・組織が発表している報告文の内容は、おおよそ以下のような説明に二分することができます。 「管理者アカウントが何らかの方法で外部に流出し、FTPあるいはSSHによって外部から実行された」あるいは、「Webサイトのメンテナンス中に、ウイルス対策ソフトがマルウェアを検知したため、クリーンなファイルで上書きしたところ、Webサイトのファイルが再度感染した」というものです。
この記述から推測すると、これらの企業・組織が受けた攻撃は、情報を窃取するマルウェアを通じて管理用ID、パスワードが盗まれたか、ガンブラー(Gumblar:2009年に猛威を奮ったコンピュータウイルスの一種で、感染したコンピュータが管理するWebサイトを改ざんし、感染用のJavaScriptコードを仕掛ける)と同様にWeb改ざんを行うマルウェアにより引き起こされたものが原因ではないかと考えられます。
また、IPAが毎月公表している「情報セキュリティの今月の呼びかけ(2013年6月)」には、「パソコンのJavaのバージョンが古いままだったためにFTPアカウント情報を漏えいさせるウイルスに感染した、というウイルス感染のケースもあった」という記述がありました。
しかし、一口にWeb改ざんといってもそのタイプは様々です。特定の思想等に基づいた主張を展開する「ハクティビズム」(hacktivism:社会的、政治的な主張のもとにハッキング活動を行うこと。ハクティビズムは、ハッキングとアクティビズムを合わせた造語。)目的、そしてもう一つは、改ざんしたサイトにアクセスしたユーザに、別の「マルウェアを配布する」目的、これら大きく分けて2系統が存在するように思われます。
たとえば、次の画像は、ある改ざんされたWebサイトに表示されたテキストメッセージですが、英語で尖閣諸島問題に関連した主張が掲げられています。それに対して、ごく最近改ざんが報告されたサイトは、前述のハクティビズムのように表立った改ざんはされておらず、アクセスしたユーザーが意図しないところで、スクリプトが動作するような仕掛けとなっています。同時期に発生しているWeb改ざんですが、どうやら「目的」や攻撃者が想定する「対象者」は異なるのです。

一方、有志の方の調査によると、Webサーバー上に格納されているファイルのうち、特定の拡張子(代表例として、HTMLファイル、JSPファイル、PHPファイル、JSファイルなどがある)に対して改ざんが行われるということが指摘されており、さらに改ざんされたものの多くは、「0c0896」という文字列が埋め込まれているということです。これらの埋め込みによって、マルウェアを送り込んだり、悪意あるサイトに誘導したりするなどの処理が行われるようですが、改ざんに失敗し、正しく動作しない事例も報告されています。
Webサイトが改ざんを受けたことを公開しているサイトを対象に、改ざんの原因や被害の影響範囲などをまとめたものを下表(1、2)に示します。今回のWeb改ざんにあたって、改ざんされたことを公開せず、ひっそりと修正をしている組織が意外にも多いことに驚かされます。組織の中には、地方自治体や学術系団体なども含まれていますが、規模の小さな組織が多数派を占めているため、原因究明や被害範囲の検証などを公開する余裕がないのではないかと考えられます。
この記事は参考になりましたか?
- この記事の著者
-
時田 剛(トキダ ゴウ)
NRIセキュアテクノロジーズ 主任セキュリティコンサルタント, CISSP CCSI 1974年生まれ。学生時代に、管理していたサーバへ侵入されたのをきっかけに、セキュリティに興味を持つ。大学院修了後、IT系のベンチャーでセキュリティ事業部設立に携わる。2009年NRIへ転職し、同年7月、内閣官房情...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア