大規模なWeb改ざんが再び、「50万サイトが被害、偽動画サイトへ誘導」
Nikkei IT Pro の記事
http://itpro.nikkeibp.co.jp/article/NEWS/20080512/301282/
セキュリティ企業の米トレンドマイクロや、セキュリティ組織の米サンズ・インスティチュートなどは2008年5月10日以降、Webサイトを改ざんする大規模な攻撃が再び確認されたとして注意を呼びかけている。改ざんされたWebページにアクセスすると、ウイルスをダウンロードさせる「偽の動画サイト」に誘導される。トレンドマイクロによれば、50万サイト以上が改ざんされているという。
今回確認された攻撃は、「phpBB」と呼ばれる掲示板システム(プログラム)を利用しているWebサイトを標的にしているという。phpBB は、PHP言語で記述されたオープンソースの掲示板システム。多くのWebサイトで利用されている。既知の脆弱(ぜいじゃく)性がある古いphpBBを使っている場合や、phpBBの設定に脆弱性がある場合(設定が不適切な場合)には、これらの脆弱性を突かれて不正侵入され、Webページを改ざんされてしまう。
改ざんの結果、Webページ中にJavaScriptの悪質なコードが挿入される。このコードにより、改ざんされたWebページにユーザーがアクセスすると、攻撃者が用意したWebサイトに誘導され、そのサイトのWebページがWebブラウザーに表示される。
表示されたWebページには、動画プレーヤーが埋め込まれているように見えるので、「YouTube」のような動画再生サイト(動画配信サイト)に思える(図)。そして、動画を再生するには、新しいコーデックをインストールする必要があるといった警告メッセージが表示され、ある実行形式(拡張子が exe)ファイルをダウンロードするよう促される。
このファイルの実体は、「Zlob(ゼットロブ)」と呼ばれるウイルス(悪質なプログラム)。インストールしても動画を再生できるようにはならない。その代わり、パソコンのDNSの設定やWebブラウザーなどの設定を勝手に変更されてしまう。
例えば、パソコンのDNS設定を、攻撃者のDNSサーバーを参照するように変更する。これにより、ユーザーは気付かないうちに悪質なWebサイト(フィッシング詐欺サイトなど)に誘導されて、個人情報などを盗まれる恐れがある。
5月10日現在、トレンドマイクロでは50万サイトが改ざんされていると報告。サンズ・インスティチュートでは、改ざんによって埋め込まれる文字列で検索したところ、40万サイトがヒットしたとしている。
トレンドマイクロでは、今回の一連の改ざん攻撃について現在調査中。詳細が明らかになり次第、同社サイトで随時報告するとしている。
ブラウザ自体がかなり堅牢になってきているので、セキュリティのアタックは動画プレイヤーなどによるものが大幅に増えてくる可能性が高い。要注意。