SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

最新セキュリティ レポート

注意!Webサイトの改ざんが急増中~その傾向と対策

ウイルス対策ソフトウェアベンダーや、IT関連のニュースサイトでも既報のとおり、ここ数ヶ月の間にWeb改ざんの被害報告が激増しています。そのペースは、2009年に流行したガンブラー攻撃や2012年9月中旬に多発した近隣諸国からと思われるWeb改ざんに匹敵する規模となっており、IPAや@Police、JPCERT/CCから注意喚起が出される事態となっています。

現在、Webサイトの改ざんが急増中!~その傾向

 Web改ざんの被害を受けたWebサイトには、そのサイトの運営企業・組織による事態の説明報告が掲載されています。見つけられる限りすべて確認をしていますが、改ざんの原因について分析、公表をしているサイトは、これまでのところ確認できていません。では、その報告文から、何か読み取れることはないでしょうか。

 これら被害企業・組織が発表している報告文の内容は、おおよそ以下のような説明に二分することができます。 「管理者アカウントが何らかの方法で外部に流出し、FTPあるいはSSHによって外部から実行された」あるいは、「Webサイトのメンテナンス中に、ウイルス対策ソフトがマルウェアを検知したため、クリーンなファイルで上書きしたところ、Webサイトのファイルが再度感染した」というものです。

 この記述から推測すると、これらの企業・組織が受けた攻撃は、情報を窃取するマルウェアを通じて管理用ID、パスワードが盗まれたか、ガンブラー(Gumblar:2009年に猛威を奮ったコンピュータウイルスの一種で、感染したコンピュータが管理するWebサイトを改ざんし、感染用のJavaScriptコードを仕掛ける)と同様にWeb改ざんを行うマルウェアにより引き起こされたものが原因ではないかと考えられます。

 また、IPAが毎月公表している「情報セキュリティの今月の呼びかけ(2013年6月)」には、「パソコンのJavaのバージョンが古いままだったためにFTPアカウント情報を漏えいさせるウイルスに感染した、というウイルス感染のケースもあった」という記述がありました。

 しかし、一口にWeb改ざんといってもそのタイプは様々です。特定の思想等に基づいた主張を展開する「ハクティビズム」(hacktivism:社会的、政治的な主張のもとにハッキング活動を行うこと。ハクティビズムは、ハッキングとアクティビズムを合わせた造語。)目的、そしてもう一つは、改ざんしたサイトにアクセスしたユーザに、別の「マルウェアを配布する」目的、これら大きく分けて2系統が存在するように思われます。

 たとえば、次の画像は、ある改ざんされたWebサイトに表示されたテキストメッセージですが、英語で尖閣諸島問題に関連した主張が掲げられています。それに対して、ごく最近改ざんが報告されたサイトは、前述のハクティビズムのように表立った改ざんはされておらず、アクセスしたユーザーが意図しないところで、スクリプトが動作するような仕掛けとなっています。同時期に発生しているWeb改ざんですが、どうやら「目的」や攻撃者が想定する「対象者」は異なるのです。

改ざんされたWebサイトに表示された尖閣諸島問題に関連したテキストメッセージ

 一方、有志の方の調査によると、Webサーバー上に格納されているファイルのうち、特定の拡張子(代表例として、HTMLファイル、JSPファイル、PHPファイル、JSファイルなどがある)に対して改ざんが行われるということが指摘されており、さらに改ざんされたものの多くは、「0c0896」という文字列が埋め込まれているということです。これらの埋め込みによって、マルウェアを送り込んだり、悪意あるサイトに誘導したりするなどの処理が行われるようですが、改ざんに失敗し、正しく動作しない事例も報告されています。

 Webサイトが改ざんを受けたことを公開しているサイトを対象に、改ざんの原因や被害の影響範囲などをまとめたものを下表(1、2)に示します。今回のWeb改ざんにあたって、改ざんされたことを公開せず、ひっそりと修正をしている組織が意外にも多いことに驚かされます。組織の中には、地方自治体や学術系団体なども含まれていますが、規模の小さな組織が多数派を占めているため、原因究明や被害範囲の検証などを公開する余裕がないのではないかと考えられます。

出所:対象数については、piyolog(5月から多発しているHP改ざんインシデントを
まとめてみた) を参考に、独自調査の結果を含めたもの。

次のページ
現在、Webサイトの改ざんが急増中!~その対策

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
最新セキュリティ レポート連載記事一覧

もっと読む

この記事の著者

時田 剛(トキダ ゴウ)

NRIセキュアテクノロジーズ 主任セキュリティコンサルタント, CISSP CCSI 1974年生まれ。学生時代に、管理していたサーバへ侵入されたのをきっかけに、セキュリティに興味を持つ。大学院修了後、IT系のベンチャーでセキュリティ事業部設立に携わる。2009年NRIへ転職し、同年7月、内閣官房情...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/4920 2013/06/27 11:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング