サイトの書き換え,改ざん攻撃

 増加の原因は,標的となるサイトの増加と,サイトのセキュリティーに時間やお金をつぎ込もうとする企業が減ったためらしい。
 情報処理推進機構は,サイトを迅速に停止して,原因究明や対策の実施,閲覧者への告知を推奨。 FTP アカウントのパスワード変更やページの修正,再アップを行うほか,Webサイトの更新に使用するコンピュータにスパイウェアが仕掛けられている恐れもあるため,ウイルススキャンや駆除など併せて実施すべきだとしている。 不正プログラムは OS や Adobe PDF,Flash Player などの脆弱性を悪用するものが多く,利用者は最新版を利用して,脆弱性を解消しておくことが望ましい。 感染した場合には,Microsoft Update やウイルス定義ファイルの更新サイトへの接続が遮断され,コマンドプロンプトやレジストリエディタを起動できなくなる。

 2007年6月6日にサイボウズ・メディアアンドテクノロジーの ScanNetSecurity 編集部が Zone-H と共同で発表した,『セキュアな Web サイト構築方針の考察〜Apache と IIS における改ざん傾向比較』によると,攻撃はアプリケーションレベルのものへと移行し,プラットフォームには依存しなくなってきている。 特に12月末に改ざんが多くなる傾向があり,『一連の改ざん活動が学生によるものが圧倒的に多いことが背景にある』と判断している。 攻撃手法では,最も多いのは『File Inclusion』(ファイル挿入)が24%を占め,Web アプリケーションに対する攻撃やソーシャルエンジニアリングなどもよく使用された。
 2008年4月17日にシマンテックが発表した,2007年下半期(2007年7月〜12月)の『インターネットセキュリティ脅威レポート』によると,攻撃者は,企業や団体が運営する一般的なサイトの脆弱性を悪用し,これらのサイトを改竄。 SNS などユーザーに信頼される可能性の高いサイトを狙い,ユーザーから詐取した個人情報をアンダーグラウンド市場で売買している。 2007年下半期でクロスサイトスクリプティングの脆弱性が見つかったのは11,253サイトで,同年上半期の6,951サイトから大幅に増加。 このうち,レポートを作成した2008年1〜3月時点で,サイト管理者が脆弱性にパッチを適用していたのは,全体のわずか473件(4%)にとどまった。
 2009年10月15日に G Data Software が発表した JS-Redir によって改ざん攻撃を受けた Web サイトの対応状況は,1週間以内55%。1〜2週間と3〜4週間がそれぞれ20%,未対応5%。
 2009年11月16日,カスペルスキーは10月中旬に発生した新たな Web 改ざん攻撃で国内1250サイト以上が被害に遭ったと発表。 攻撃者は不正に入手した FTP パスワードで正規サイトを改ざんし,異なる不正サイトへ誘導するリンクなどを埋め込む。 改ざんサイトを閲覧したユーザーは不正サイトに誘導され,パスワードなどを盗み出すマルウェア『Trojan-Downloader.JS.Gumblar.x』に感染してしまう。


Web サイトの改ざん防止のための対策
・サイトの更新ができるコンピュータを制限する(IPアドレスなど)。
・サイトで公開しているコンテンツに不正なプログラムが含まれていないこと,コンテンツが改ざんされていないことを確認する。
・HTMLファイルや外部.js(JavaScript)ファイルに『/*GNU GPL*/ try』や『<script>/*CODE1*/try』(<,*,/は半角)といった不審な文字列が追記されていないかを確認する。
・FTP サーバのログを確認し,アクセス元IPアドレス,アクセス日時などに不審な点がないか確認する。
・サイトの更新ができるコンピュータがマルウェアに感染していないか確認する。 サイトの管理を外部に委託している場合は,委託先のコンピュータがマルウェアに感染していないかなど,委託先に確認を依頼する。


サイトの改ざんを防ぐためにパスワードを盗まれないようにする
1. パスワードをプレーンテキストで保存しない。
2. FTP などプレーンテキストを使用する通信プロトコルの使用をせず,FTPS,FTPES または SFTP を使用する。
3. 更新済みのウイルス対策ソフトを使う。
4. すべてのソフト,特にブラウザとプラグインに最新のパッチを適用する。
5. 作業終了後は必ずサーバからログアウトし,ログオン中はサーバから物理的に離れないこと。
6. ネットワークにはゲートウェイセキュリティが施されていることを確認する。
7. 信頼できないサイトまたは人員にはパスワードを通知しない。


Obfuscated Script.f
 サイトへの改ざん攻撃で,サイトの脆弱性などを突いて挿入される難読化スクリプト。

Exploit-ObscuredHtml
 サイトへの改ざん攻撃で,サイトの脆弱性などを突いて挿入される難読化スクリプト。


改変サイト
 サイト書き換えのアーカイブ。 加えられた改変を記録するために,書き換えられたページのコピーを保存・収集しているサイト。 書き換えを行った本人の通報で,その事実を知る場合が多い。 コピーを作るには,書き換えられたサイトからコードや画像を取り込む Wget というツールが用いられる。 書き換えを行なった者は,自分がウェブサイトを改変した証拠として利用し,ジャーナリストはニュースの元ネタにした。 セキュリティー専門家は,ハッキングの傾向を追跡するために利用する。

Attrition アトリション
 セキュリティー関連のニュースサイト。 1998年12月以来,サイト書き換えのアーカイブを運営していたが,事例が多く,両者から攻撃されたため閉鎖した。

サイト:http://www.attrition.org



alldas.org アルダス
 ノルウェーにあるサイトで,インターネットに唯一残っている書き換えアーカイブ。 アメリカ軍の多くのサイトにアクセスできないらしい。
サイト:http://www.alldas.org


Zone-H
 エストニアに本拠を置くコミュニティで,Web サイトの改ざん情報を収集,提供してきた。
サイト:http://www.zone-h.org


被黒站点統計系統
 中国にある,ハッカーが攻撃に成功したサイトのアドレスを戦果として公開する掲示板サイトの一つ。


改竄チェッカー
 リンクとエーティーワークスの,Web サイトの改ざんを発見するサービス。 サイト内でファイルが追加,更新,削除されると,サイト管理者や更新担当者にメールで通知する。
 2010年5月19日にリニューアルし提供を開始。 ブラウザで利用できる管理機能を追加。


戻る 『S』最初のメニュー