不正なJavaScriptで改ざんされたサイトを複数確認 ― トレンドマイクロ

2013/6/5

ツイート

トレンドマイクロは6月4日、同社ブログで、「日本のWebサイト改ざんを複数確認：PCは常に最新状態に！」と題する記事を公開しました。改ざんされたサイトを閲覧したPCは、端末の状態により、脆弱性を利用した攻撃の被害を実際に受ける可能性があります。

ブログ記事によると、2013年5月末以降、不正なJavaScriptである「JS_BLACOLE.SMTT」の挿入による日本国内Webサイトの改ざんの事例を、複数確認したとしています。同社による確認では、少なくとも6月3日時点で40のドメインが改ざんの被害に遭っていることが判明しています。また、これら改ざんされた40のドメインに6月3日時点だけでも、約6万ものアクセスがあったとのことです。

該当の改ざんサイトを閲覧すると、「JS_BLACOLE.MT」として検出されるPHPファイルをブラウザ上で読み込み、閲覧したユーザのPCにどのソフトウェアがインストールされているか確認。さらに、閲覧したPCの状況に応じてエクスプロイトコードを読み込みます。一例では、Adobe Reader および Acrobat の古い脆弱性である「CVE-2010-0188」を使用した不正なPDFファイルがダウンロードされ、閲覧したPCが攻撃被害にあうことが確認されています。また、これら2つのソフトウェア以外にも、Java および Adobe Flash に存在する脆弱性を利用する恐れもあるとのことです。

同社では、このような古い脆弱性を利用するエクスプロイトコードからの攻撃を防御するためにも、PC を常に最新の状態にしておくことを強く推奨しています。

また、サーバ管理者に対しては、Webコンテンツの改ざん検知・対策だけでなく、Webサーバ全体のセキュリティ対策として、以下のような対策強化を検討することを呼びかけています。

・Webサーバで利用しているOSやソフトウェアの脆弱性対策の徹底
・Webサーバ内のOSシステムファイルやアプリケーション構成ファイルに対する変更監視
・Webサーバに対する不正な通信の検知・遮断
・Webサーバの運用（OS特権（root）やFTP通信用等）アカウント管理の徹底
・Webサーバ上の各種システムログ、セキュリティログの取得、およびログ監視の強化

• 改ざん
• 脆弱性
• JavaScript