HOME情報セキュリティウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起 一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起

本文を印刷する

情報セキュリティ

ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起 一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起

 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、閲覧した利用者のパソコンにウイルスを感染させることを狙ったウェブサイトの改ざん事例が発生していることから、ウェブサイト管理者等へ注意を喚起するとともに、ウェブサイトの運用を再度見直すことを推奨します。

 企業や個人が運営しているウェブサイトを改ざんされる事例が継続的に発生しています。改ざんされたウェブサイトには、閲覧した利用者のパソコンをウイルスに感染させる仕掛けが組み込まれている場合があります。

 改ざんされたウェブサイトの管理者は、被害者に留まらず、閲覧した利用者のパソコンにウイルスを感染させてしまう加害者となります。このような被害の拡大を防ぐため、ウェブサイトの管理者は、運営しているウェブサイトが改ざんされていないか確認し、ウイルスの "ばらまきサイト" に仕立て上げられないようにしてください

 利用者が多いウェブサイトほど、被害が拡大する傾向にあります。
 最近では公共交通機関のウェブサイトなど、多くの利用者が信頼するウェブサイトについても、改ざんされる事例がありました。すべてのウェブサイト管理者が注意する必要がありますが、特に利用者が多いウェブサイトは注意してください

(1) ウェブサイト改ざんの概要と主な原因

 ウェブサイト改ざんの原因として、ftpのアカウント情報を盗まれた事例がありました。盗んだ ftp アカウント(ID/パスワード)を使い、正規のユーザになりすまして、改ざんしたページをウェブサーバに公開(アップロード)するというものです。
 ftp のアカウント情報を盗む手口としては、スパイウェアをターゲットのパソコンに送り込むなどの方法が一般的です。
 ※File Transfer Protocol の略。ネットワークでファイルを転送するためのプロトコル。

 改ざんされたウェブページには不正なスクリプトが埋め込まれ、そのページを閲覧した一般利用者を、ウイルスが仕掛けられた悪意あるウェブサイトにアクセスさせます。一般利用者が悪意あるウェブサイトを閲覧した場合、利用者のパソコンに脆弱性があると、それを悪用されウイルスに感染させられてしまいます(図1-1参照)。

図1-1:ウェブサイトの改ざんからウイルスに感染するまでの流れ
図1-1:ウェブサイトの改ざんからウイルスに感染するまでの流れ

(2) 改ざんの有無のチェック方法

 ウェブサイト管理者は、自身が管理するウェブサイトの利用者に、ウイルスを感染させている可能性があることを認識し、以下の点を参考に改ざんの有無をチェックしてください。

(a) ウェブサイト上の全ページのソースを確認

 ウェブサイト上に公開されている全ページについて、不正なスクリプト(意味不明な文字列)が含まれていないかを確認してください。同様に、ウェブページを編集するパソコンに保存されているページもチェックしてください。ウェブページのブラウザ上での見た目は、改ざんされる前と区別がつかないため、ホームページの編集ソフト等でページのソースを表示して確認してください。

 

(b) ftp へのアクセスログを確認

 ftp のアカウントを不正に利用され、正常なページに不正なスクリプトを埋め込む事例が確認されています。自分がアクセスしていない日時に、ftp のアクセスが行われていないかを確認してください。
 特に、企業の場合は、ftp のアクセスログを定期的にチェックし、予防策として以下の項目の実施を推奨します。

 ・ftp のアクセス制限(アクセスできる IP アドレスを制限する、VPN(Virtual Private Network)で接続するなど)。
 ・改ざん検知システムやサービスを導入する。

 

 上述のように、自身でウェブサイトをチェックし、改ざん箇所を発見することが望まれますが、ウェブサイト利用者から指摘されることで、改ざんが発覚するケースがあります。このような場合を想定し、メールアドレスのみでもよいので、ウェブサイト上に連絡先を掲載しておくことを推奨します。
 改ざんされた状態が長くなればなるほど、利用者に被害が拡大する恐れがあります。もし改ざんされた場合でも、早期の対応が可能となるように準備してください。

(3) 改ざんされた場合の対処方法

 ウェブサイトが改ざんされた場合、被害の拡大を防ぐために早急な対応が求められます。まずは、ウェブサイトを一旦公開停止した上で、原因究明および修正作業を実施してください。
 ftp のログに不審なアクセスログがあった場合、ウェブページの公開に利用している ftp アカウントを乗っ取られて、悪意あるページをアップロードされている可能性があります。ただちに、ftp アカウントのパスワードを変更し、その後、正規のページに不正なスクリプトが含まれていないことを確認した上で、改ざんされたページと置き換えて、再公開してください。

 パスワードの変更後も同様の手口で再度改ざんされた場合は、パスワードの変更を行ったパソコンがスパイウェアに感染して、情報が漏えいしている可能性が高いと考えられます。パソコンを不正なプログラムがないクリーンな状態に(初期化)してから再度パスワードを変更し、再公開を実施してください。

 原因を排除し、改ざんページの修正、再公開を完了させた後、ウェブサイトの利用者に向けた、改ざんの事実とウイルスに感染する危険性があった旨の注意喚起、および謝罪文を掲載することを推奨します。また、利用者からの問い合わせ対応を行う窓口を用意することが望ましい対応といえます。

 なお、ウェブサイト改ざん、ウイルス感染などの被害に遭った際は、IPA への届出を可能な限り行ってください。IPA では、ウイルスや不正アクセスに関する届出を受け付けており、届け出られた情報を統計的に分析し、個人や組織を特定できる情報を除いた上で、毎月公開しています。また、対策情報を発信する際にも活用しています。

(ご参考)
「情報セキュリティに関する届出について」(IPA)
http://www.ipa.go.jp/security/todoke/

(4) ウェブサイト運用の見直し

(a) アカウント管理の見直し

 ウェブサイト更新用のアカウント情報が適切に管理されているか、下記の点を見直してください。

・使用するパスワードは、十分な長さと複雑さをもったものにしてください。

・ウェブサイト更新用のアカウントは、更新を実施する人のみが知るようにし、必要以上の人に知らせないようにしてください。

 

(b) ウェブサイトを更新できる場所を限定

 ウェブサイトを更新できる場所を組織内のみに限定するよう、ネットワークやサーバの構成を見直すことを検討してください。もし、インターネット経由でウェブサイトを更新する必要がある場合でも、VPN を導入するなどして、更新できる場所を限定することを検討してください。

 

(c) ウェブサイト更新専用 PC の検討

 ウェブサイトを更新するための専用 PC を導入することを検討してください。この PC では、ウェブの閲覧やメールの確認をしないようなルールにする必要があります。これによって、ウェブの閲覧やメールの確認から感染するウイルスによる被害を防止することが可能です。しかし、同じネットワーク上に、アカウント情報を盗聴するようなウイルスに感染した PC が存在することも考えられるため、ウェブサーバでは専用 PC からのアクセスのみを許可する設定にする (b) の対策と併用することを推奨します。

(5) 一般利用者における対策

 企業やご家庭でウェブサイトを閲覧する際に利用するパソコンにおいて、以下の項目について確認してください。

(a) アップデートによる脆弱性の解消

 脆弱性を悪用して感染するウイルスからパソコンを守るため、Windows OS の利用者は Microsoft の自動アップデート機能を有効にしてください。また、Adobe Reader、Flash Player、Java Runtime Environment(JRE) など、パソコンのすべてのアプリケーションソフトも最新版に更新してください。

 MyJVN バージョンチェッカを利用すると、インストールされているソフトウェアのバージョンが最新かどうか、簡単な操作で確認することができます。

 

(ご参考)

MyJVNバージョンチェッカ

http://jvndb.jvn.jp/apis/myjvn/#VCCHECK



 改ざんされたウェブページを閲覧してウイルスに感染する仕掛けにおいて、ORACLE Sun Java Deployment Toolkit の脆弱性が悪用されているという情報があります。

 本脆弱性の修正プログラムが 2010年4月15日(日本時間)に ORACLE社より公開されましたので、至急最新版に更新してください。

 改ざんされたウェブページを閲覧してウイルスに感染する仕掛けにおいて、Adobe Reader および Acrobat の脆弱性が悪用されているという情報があります。

 本脆弱性の修正プログラムが 2010年1月13日(日本時間)に アドビシステムズ社より公開されましたので、至急最新版に更新してください。

 

(ご参考)

Oracle Sun Java Deployment Toolkit の脆弱性について

http://www.ipa.go.jp/security/ciadr/vul/20100416-java.html

Adobe Reader および Acrobat の脆弱性(APSB10-02)について

http://www.ipa.go.jp/security/ciadr/vul/20100113-adobe.html

JPCERT/CC - Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起

https://www.jpcert.or.jp/at/2010/at100001.txt

 

(b) ウイルスに感染しているかの確認方法

 改ざんされたウェブページを閲覧したことにより、ウイルスに感染しているかどうかを確認するには、セキュリティ対策ソフトで検査することが必要です。セキュリティ対策ソフトのパターンファイルを最新版に更新し、パソコン内を検査してください。また、すぐにセキュリティ対策ソフトを用意できない場合は、無料で利用できるオンラインスキャンサービスがありますので、そちらをご利用ください。

 

(ご参考)

オンラインスキャン(トレンドマイクロ株式会社)

http://www.trendflexsecurity.jp/housecall/index.html?WT.ac=JPclusty_onlinescan

シマンテックセキュリティチェック(株式会社シマンテック)

http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=jp&venid=sym

マカフィー・フリースキャン(マカフィー株式会社)

http://www.mcafee.com/japan/mcafee/home/freescan.asp

ウイルスとソリューション(株式会社Kaspersky Labs Japan)

http://support.kaspersky.co.jp/viruses/solutions?qid=208283462

専用ワクチン(株式会社アンラボ)

http://www.ahnlab.co.jp/download/vdn_list.asp

Gred AntiVirus アクセラレータ(株式会社セキュアブレイン)

http://www.securebrain.co.jp/products/gredavx/

Microsoft Security Essentials(マイクロソフト株式会社)

http://www.microsoft.com/security_essentials/?mkt=ja-jp

  IPA コンピュータウイルス 110番
 電話番号:03-5978-7509 (24時間自動応答、ただし相談員による
        相談受付は休日を除く月~金の10:00~12:00、13:30~17:00のみ)

更新履歴

2010年 4月16日 ORACLE Sun Java Deployment Toolkit の脆弱性情報を追記
2010年 1月13日 Adobe Reader および Acrobat の更新情報を追記
2010年 1月 8日 未修正の脆弱性の回避策を追記
2009年12月24日 関連情報を追記
2009年12月24日 掲載