Webサイトが感染して悪意のサイトに誘導されるという件について

先日、セキュリティの基本はクライアントパソコンからという投稿をしました。

今日は実際に今起きている事件に関する対策についてまとめます。

今月中旬から日本国内300近くのサイトに対して悪意のあるサイトへの誘導をさせるように改ざんされる被害が多く確認されています。

 

また、改ざんされたwebサーバーにアクセスしたユーザーが悪意のあるサイトに誘導させられマルウェアに感染するといった被害も確認されているようです。

ただ、アクセスしたユーザーが最新のブラウザでWindowsの更新もして、Adobe ReaderやFlash Player、入れているようならばJavaのプログラムを最新にしていた場合は誘導されるプログラムが動いてもマルウェアをダウンロードして感染する事はないとの事です。

 

こういった状況からみてもWindowsパソコンを利用している方はぜひ毎月公開されているWindows Updateや随時配信されてくるAdobe ReaderAdobe Flash Player、そしてJavaの更新プログラムは最新にしておく事が重要ですね。以前も書きましたが公開初日に当てると動かなくなるアプリがあっても情報がないので2週間くらいずらすのも良いのかもしれませんが。

 

今日の一言

「セキュリティの基本はクライアントから」

その心は・・・いくらサーバーを守ったところでクライアントはサーバーにアクセスします。そこが破られれば結局やられるという事。

 

★クライアントの対策

更新プログラムを最新にする

 

ちなみに環境省のサイトからMicrosoftの更新方法やAdobeReader、Flash PlayerとJavaの更新についての関連サイトへのリンクがあります。ここは丸投げですがご容赦ください。

 

環境省からのお知らせ「CO2みえ~るツール」サイトの改ざんについて

http://mieeeru.go.jp/

 

セキュリティというのはどうしても面倒だとかお金をかける意味があるのかとかネガティブになりがちですが押さえるところをおさえるだけでリスクが小さくなるので少しずつでも対応して行く事をお勧めします。

 

企業での対策は今回のようなインシデントでかかるコスト(お金だけじゃなく信頼も)含み費用対効果を求められるのでどこまでやるのかとシビアにはなるかもしれません。ここはまた次の機会にでもまとめたいと思います。

 

そういえば、先日、Surfaceの投稿をしたらアクセス数がいつもよりのびたのでなんだかんだでも旬なんだなと感じました。こちらも冷めないうちにもう少し落とし込んで書けるようにまとめていけたらと思っています。

 

 

以下は、本日の意図より込み入ったところなので参考程度に

今回Webサーバーが感染した原因はPleskなどのLinaxのサーバー管理ツールの脆弱性をついたものと判明しています。確かに検証した中では大半のサイトはPleskを利用していたようでだいたいがバージョン8.6以下のものでした。(全てを確認した訳ではありません)

また、クライアント側も対策をせずにサイトにアクセスした際に、初回はサイトへの誘導コードが動いたが復元し直した同じ環境では動かないといった現象も確認しているのでサーバー側が記憶しているかもしくはランダムに動くような条件があるものと推測します。動くときは「(省略)q.php」が動作しマルウェアを引っ張ってくるようでサイトに寄っては100以上のプログラムが動いたのでぞっとしました。

 

検証時はインストールしたて(Windows Update前)のWindows 8&IE10でもq.phpが動作したのは確認しています。トロイはダウンロードしてきてませんでしたが。

ちなみにMicrosoft Security EssentialsやDefenderではトロイの木馬を検知したものもあります。ただ、亜種が多いので全てを検知できたかは定かではありません。

現在では恐らくほとんどのサーバーで対策されているようなので動く事はないと思いますが・・・

結局のところ現象の確認だけで突っ込んだ情報はとれていないのが現状ではありますが0DAYのサイトでは専門家が入り分析が進んでいる模様です。ただ、現在の情報ではサーバー側もクライアント側もどのバージョンなら問題無いのか等の詳細な情報についてはまだ確認ができていないのが現状です。

こういうインシデントが起こるとセキュリティについて考えさせられますが以前からこういった攻撃があったという事からもいたちごっこなんだよなと悩むところです。

ただ、何もしない訳にもいきませんのでできる対策をしてリスクを小さくしたいところですね。

 

★サーバーの対策

apacheの再インストールと脆弱性を埋める作業(バージョンを上げる等)

脆弱性を埋めた後に管理者、FTPのパスワードを変更する

 

 

参考までに関連記事

◆「ゆかしメディア」や「琴浦さん」などでも被害:おさまらぬWeb改ざん被害、Apacheモジュールの確認を - @IT

http://www.atmarkit.co.jp/ait/articles/1303/25/news122.html

↑色々な参考サイトへのリンクもあります

 

3月中頃の記事ですが

◆「CO2みえ~るツール」が改ざん 閲覧者にマルウェア感染のおそれ

http://www.itmedia.co.jp/news/articles/1303/18/news122.html

 

今回のインシデントのキーワード

Apache Dark Leech Modure

Blackhole Exploit Kit Version 2

q.php

広告を非表示にする