海外における個人情報流出事件とその対応 第175回 改ざんの被害を受ける中国関連サイト (1)常に変化するバーチャル上の脅威やリスク | ScanNetSecurity
2024.05.14(火)

海外における個人情報流出事件とその対応 第175回 改ざんの被害を受ける中国関連サイト (1)常に変化するバーチャル上の脅威やリスク

5月21日付け、『The Register』が、数千件の中国のウェブサイトにマルウェアが仕掛けられたと報じている。Windowsに脆弱性のある状態のPCを使用しているユーザがアクセスすると、トロイの木馬がダウンロードされてしまうというものだ。記事は5月19日付けScanSafeのメアリ

国際 海外情報
facebookLINE
5月21日付け、『The Register』が、数千件の中国のウェブサイトにマルウェアが仕掛けられたと報じている。Windowsに脆弱性のある状態のPCを使用しているユーザがアクセスすると、トロイの木馬がダウンロードされてしまうというものだ。記事は5月19日付けScanSafeのメアリー・ランデスマンのブログに基づく。

これらのウェブサイトは中国でホスティングされている英語のサイトだ。しかし、興味深いのは、国別ドメインは中国を示すcnではなく、comだった。

改ざんの被害を受けたのはオンラインで株式の売買を行う香港の企業のウェブサイト、kgieworld.comや、ビジネス間でのe-コマースのポータルサービスを提供するworldoil.comなどだ。ビジネス関連サイト以外にも、タトゥーのデザインサンプルを提供するウェブサイトtatoojohnny.comなどにも、マルウェアが仕掛けられていた。

ランデスマンが報告した攻撃は、iFrameをウェブサイトに仕掛けるというものだ。改ざんされたサイトは、qiqigm.comというサイトから悪意あるスクリプトを読み込んでいた。qiqigm.comは5月16日に登録されたばかりのドメインだ。

タイトルスクリプトは"silent love china"となっていることから、『The Register』では他の中国人ハッカーへの挨拶だとの考えを表明していて、中国人による犯行だと考えているようだ。読み込まれる悪意あるスクリプトは、RealPlayerとExplorerの複数の脆弱性を利用していた。

利用された脆弱性の一つは、3月に報告されたばかりのRealPlayerのメモリが破壊される可能性があるというものだった。つまり、攻撃側は極めて新しい脆弱性情報を悪用している。攻撃に成功すると、アクセスしたユーザのPCにトロイの木馬をインストールした。

ランデスマンはブログで事態を報告した19日時点で、7020件のサイトが攻撃を受けていると確認している。17日に発見して報告が19日だから、わずか3日という短期間に急速に改ざんの被害は拡大した。

一方、トレンドマイクロもやはり19日付けで、"中国語のウェブサイト"がSQLインジェクション攻撃を受けたと報告している。ScanSafeの報告したケースは中国でホスティングされた英語のサイトだったが、トレンドマイクロの報告は中国語だ。つまり攻撃のターゲットは、前者は英語圏、後者は中国、台湾、シンガポールなどだったと見られている。

悪用されたのは、中国のファイル交換などのサービスを行うXunleiのThunder DapPlayerやRealPlayer、ActiveXの脆弱性だ。SQLインジェクションを受けたウェブサイトにアクセスすると、トロイの木馬がインストールされた。感染したページは、報告の時点で32万7000ページにのぼっていたという。

●国別マルウェア汚染状況

とにかくここ数年で、ウェブサイトを通して感染するケースが急増している。セキュリティ企業などは、ネットサーフィンでマルウェアに感染する可能性が大きいため、万全の注意を払う必要があると警告を行っている。しかし、ユーザ側にすれば、感染源となるサイトは政府関連のものから一般企業など多岐にわたるため、何に注意をすればいいのか難しいというのが本音だろう。

このような状況下、様々なセキュリティ企業が、危険なウェブサイトについて調査、分析を行い、傾向のようなものが見つからないかと、努力を続けている。何らかの糸口が見つかれば、ユーザがインターネットを使用する際、セキュリティ上の助けになるかもしれないとの希望に基づくものだ。

分析例の一つに国別調査がある。6月4日にMcAfeeが"Mapping the Mal Web Revisited"というタイトルで、調査結果を報告した。McAfeeによると、香港(.hk)ドメインが最も危険度が高いらしい。

調査は、265ヵ国の国コードのドメインと、".com"や".net"などのgTLDの中から、アドウェアやスパイウェア、スパム、ウイルス、ブラウザ上の問題などが見つかった、危険なウェブサイトの数を調べるというものだ。

ちなみに前回、2007年度は南太平洋のサモア諸島の北側にあるトケラウ諸島が、最も危険との結果だった。トケラウ諸島はニュージーランド領の小さな3つの島から成り、tkをドメインとする、人口も1500人に満たない島だ。2007年3月に発表された調査結果では、".tk"ドメインのうち10.1%が危険と判断された。

トケラウ諸島のGDPは2004年が世界第228位…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  2. 脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

    脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

  3. 東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

    東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

  4. TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」

    TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」

  5. ランサムウェア「LockBit」被疑者の資産を凍結し起訴

    ランサムウェア「LockBit」被疑者の資産を凍結し起訴

  6. テレ東「ヤギと大悟」公式 X アカウントが乗っ取り被害、意図しないポストが数件行われる

    テレ東「ヤギと大悟」公式 X アカウントが乗っ取り被害、意図しないポストが数件行われる

  7. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  8. 「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

    「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

  9. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  10. 豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

    豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP