海外における個人情報流出事件とその対応 第174回 大規模と小規模組織のウェブサイト 危ないのはどちら? (1)繰り返されるウェブサイト改ざんによる被害 | ScanNetSecurity
2024.05.06(月)

海外における個人情報流出事件とその対応 第174回 大規模と小規模組織のウェブサイト 危ないのはどちら? (1)繰り返されるウェブサイト改ざんによる被害

4月に発行されたコンピュータセキュリティのトレーニングを提供するSANS Instituteのニュースレターで、昨年12月に米国内コミュニティカレッジで起こった、ネットワークのマルウェアへの感染事件が紹介されている。カレッジ名は出ていないが、内部関係者が"ジョン"という

国際 海外情報
facebookLINE
4月に発行されたコンピュータセキュリティのトレーニングを提供するSANS Instituteのニュースレターで、昨年12月に米国内コミュニティカレッジで起こった、ネットワークのマルウェアへの感染事件が紹介されている。カレッジ名は出ていないが、内部関係者が"ジョン"という名前を用いて、ニュースレターに投稿したものだ。

スタッフの1人が使用するコンピュータがマルウェアに感染して、ボット化してしまった。そして、バイアグラやシアリスといった男性用薬品の広告のスパムメールを、多数のアドレスに送信始めたという。

カレッジは、ネットワークをモニターしていたため、比較的早いうちに事態を探知して収拾。感染したPCを分析した結果、英語でMom-and-Popと呼ばれる、家族経営のような小規模のアート・クラフトショップにアクセスしたことで、感染したことが判明した。

アクセスしたウェブサイトは正規のものだが、ウクライナにいる何者かがプログラムに不正なコードを仕掛けていた。ユーザがアクセスしたところ、アプリケーションへの攻撃を大量に受けて、マルウェアに感染してしまった。

攻撃されたアプリケーションの1つはAppleのQuickTimeの脆弱性を利用したものだった。カレッジのネットワークにはシマンテックのウィルスソフトで防御されていたが、QuickTimeに関するものだけは防ぎきれなかったようだ。その理由の1つとして、攻撃側が利用した脆弱性が見つかったのは、事件の2週間前ということで、新しいものだったことが挙げられる。多数行われた攻撃で、セキュリティソフトが防げなかったのはQuickTimeに関するものだけだったが、攻撃者にとってはこれで十分だったようだ。

ジョンと名乗る人物は、この事件により次のことが分かったと語っている。
・小規模なウェブサイトは、Amazon.comのような大きな規模のサイトよりもリスクが大きい。小規模サイトの持ち主は、サイトが攻撃に遭わないよう保護する専門知識やリソースを十分に持たないためだ。
・感染したウェブサイトは、一般ユーザのPCを攻撃するために使用される。
・ウイルス対策ソフトは防御のための必需品だが、インストールしていても防御は完全とはいえない。最近、攻撃者はターゲットをさらにしぼり込んで、なかなか探知できないようにうまく攻撃を行っている。ウイルス対策ソフトも懸命に対応しているが、次々と新たに登場してくる攻撃に追いつくのが難しい。
・コミュニティカレッジでの件はQuickTimeを狙った攻撃だったが、PCで利用する多数のアプリケーションが標的となっている。OSも同様だ。PCをセキュアに保つためには、マイクロソフトのウェブサイトから、WindowsやExplorer、Officeなど製品に関するパッチなどを、常に自動的に最新のものにする必要がある。QuickTimeやRealPlayer、Adobe Reader、Flash Player、サン・マイクロシステムズのJavaなども、パッチは迅速に適用すること。

●改ざんされたウェブで感染
過去数年、正規のウェブサイト感染の勢いは大変なものだ。セキュリティ企業のSophosが今年第一四半期のセキュリティ脅威のレポートを発表したが、その中でも、まずウェブ脅威が増したことを挙げている。

Sophosの世界の研究員やアナリストのネットワークでもあるSophosLabs(R)によると、2008年第一四半期は5秒に1件のウェブページが感染、言い換えると毎日1万5000件以上のサイトがマルウェアに感染していたという。この数字は2007年と比較すると3倍増だ。

そして、ウェブサイトの感染については、アプリケーションへの攻撃SQLインジェクションが大きな問題になっている。シマンテック広報室の山本雅章PRマネージャも、最近のWebサイトへの攻撃では、「SQLインジェクションという手法を使い、Webサイトにつながっているデータベースから、不正にユーザIDおよびパスワードなどを入手し、iFrameと呼ばれるリンクを埋め込んで、別の悪意あるサイトにリダイレクトさせて、そこからマルウェアをダウンロードさせているのが、一般的に起きていることだ」と現状を説明する。

5月10日付けのトレンドマイクロの研究員によるブログでも、SQLインジェクションで50万件以上のウェブサイトがマルウェアを仕掛けられていると警告している。ブログは、JA_SMALL.QTのインジェクションを受けていることを確認したというもので、攻撃を受けたのはオープンソースのメッセージフォーラムマネージャー、phpBBを使用しているサイトだ。古いバージョンのphpBBを使用しているか、あるいは実装があまかったようだ。

これらのサイトにアクセスすると、幾つかのサーバを通ってリダイレクトされる。リダイレクト先で、PCにインストールされているExplorerやRealPlayerなどの脆弱性の有無を調べられて、脆弱性が存在するようならマルウェアがダウンロードされる。

SQLインジェクションによるウェブサイト改ざんは、今年に入っても…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  10. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP