寄稿: Roberto Sponchioni
2016 年に入ってから、全世界規模の感染が確認されるまでは、あっと言う間のことでした。新年を迎えてからわずか数日後に、シマンテックの遠隔測定は、侵入防止システム(IPS)のシグネチャ「Web Attack: Mass Injection Website 19」に該当する検出数の大きい突出を記録しました。このシグネチャは、危殆化した Web サイトにインジェクトされた隠しスクリプトを使って、悪質なコードをホストしている Web サイトにユーザーがリダイレクトされたことを検出します。ユーザーが、危殆化した Web サイトへとブラウザで移動すると発動します。
図 1. Web Attack: Mass Injection Website 19 の検出数
悪質な Web サイトへのアクセス試行が確認されたのは、半数近くが米国(47%)で、インド(12%)、英国、イタリア、日本(各 6%)が続きました。
図 2. Web Attack: Mass Injection Website 19 検出数の国別の比率
別のスクリプトコードへとリダイレクトするこのスクリプトコードがインジェクトされた Web サイトは、数千あることをシマンテックは確認しています。危殆化した Web サイトのうち、75% は米国内のものです。スクリプトコードをインジェクトされた Web サイトは、種類もさまざまで、次のように多様な組織を標的にしています。
図 3. 感染した Web サイトの所在地
危殆化した Web サイトを調べたところ、いずれも共通のコンテンツ管理システムを使っていることが判明しました。攻撃者は、自動的にバグを悪用し、脆弱なサイトに悪質な HTML コードをインジェクトできるように、自動化したスクリプトを使ってこうした Web サイトをスキャンしている可能性が高いようです。
悪質なコードのインジェクションが確認されたのは、感染した Web サイトの HTML ソースコードです。図 4 に、</head> タグの前にインジェクトされたコードの例を示します。
図 4. 悪質なコードのインジェクション
危殆化したページがユーザーのブラウザに読み込まれると、この悪質なスクリプトは 10 秒だけ待機してから、JavaScript のリモートコードを実行し、次にそれが追加のスクリプトを実行します。被害者に感染を気付かせないように次々と追加されるスクリプトは、2 個から 5 個が普通です。
スクリプトは、以下の情報を収集する機能を持っています。
このインジェクション攻撃に関連するマルウェアはまだ特定されていませんが、シマンテックがテストした限りでは、スクリプトチェーンをたどっても悪質なファイルがダウンロードされることはありません。この攻撃は、ユーザーの情報を収集して今後の攻撃に利用するための偵察活動ではないかと考えられます。今後予想される攻撃としては、広告の拡散、SEO ポイズニング攻撃、あるいはコードを改変してマルウェアを拡散し、無防備なコンピュータに侵入する犯罪などがあります。
対処方法 Web 管理者の方は、図 4 に示したような悪質なコードが Web サイトに侵入していないかどうか、確認してください。管理者パスワードを変更するだけでは十分ではありません。Web サイトを完全にサニタイズする必要があります。そのためには、まず全システムに対してウイルス対策スキャンを実行し、Web サーバー上のファイルを確認してバックドアがあれば削除し、そのうえで管理者パスワードを変更するという手順をお勧めします。
保護対策 ノートン セキュリティ、Symantec Endpoint Protection をはじめとするシマンテックのセキュリティ製品をお使いであれば、今回ご紹介したインジェクション攻撃からは以下の検出定義で保護されます。
侵入防止システム
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】