2013年の大規模改ざん、時期によって異なる傾向 - 日本シーサート協議会が分析

日本シーサート協議会は、2013年春ごろより被害が目立っている大規模なウェブサイトの改ざん被害について調査を実施し、レポートを取りまとめて公表した。

ウェブサイトを何らかの方法で改ざんし、マルウェアを感染させるサイトへ誘導する攻撃が、2013年に入って急増していることから、同協議会加盟チームの協力のもと調査を実施したもの。

JPCERTコーディネーションセンターの調査では、2009年から2010年にかけて流行した「Gumblar」による被害が多かった2010年2月に約400件の被害が確認されているが、2013年は6月から7月にかけて1カ月あたり1000件超となるなど、「Gumblar」を凌ぐ大きな被害が発生している。

同協議会によれば、改ざんされたファイルは、「HTMLファイル」はもちろん、「CSSファイル」やJavaScriptやPHPのプログラムを含むファイルなど、サイト内のあらゆるファイルが改ざん対象になっているという。

またマルウェア感染サイトへ誘導するための手法も増えており、防御側における検知が難しい状況だと指摘。改ざんを許すおもな原因は、サイトの管理に用いるパソコンのウイルス感染でFTP接続により改ざんされたり、古いコンテンツマネジメントシステム（CMS）や管理ツールの脆弱性だった。

さらに同協議会では、3月から発生した改ざん被害の特徴と、6月から発生している改ざんで異なる特徴が見られたとして、その違いを解説している。

3月より発生した攻撃では、ファイルを直接改ざんするのではなく、Apacheへ不正にインストールしたモジュールにより、送信データ内にコードを埋め込む手口だった。

一方、6月以降のケースは、2009年に多発した「Gumblar」との類似点が多く、ファイルへ難読化したJavaScriptや、iframeタグが挿入するケースが目立ったという。

今回の調査を通じて同協議会では、パソコン利用者には、最新の定義ファイルを適用したウイルス対策ソフトを利用したり、セキュリティ更新プログラムの適用し、改ざんされたサイトを閲覧してもウイルスへ感染しにくい環境を整えることを推奨。

またウェブサイトの管理者には、コンテンツマネージメントシステムのプログラムなど、最新の状態に保つなどウェブサイトの脆弱性対策を呼びかけるとともに、サーバプログラムの改ざんチェックや、全ページのソースを確認したり、FTPサーバのアクセスログを確認するなど、対策を呼びかけている。

（Security NEXT - 2014/01/07 ）ツイート