大規模Web改ざん! 正規Webサイトが「FAKEAV」や「WORID」へと誘導
通称「LizaMoon(ライザムーン)」とも呼ばれる今回の「SQLインジェクション攻撃」は、数十万ものWebサイトに被害を及ぼし、いわゆる「大規模改ざんの手口」がまだまだ健在であることを知らしめました。今回の攻撃では、サイバー犯罪者は、ASPやASP.netで構築されたWebサイトを標的にして、不正なURLを膨大な数の正規Webサイトへ組み込みました。「ライザムーン」は、挿入された不正なURLの文字列に由来します。こうして組み込まれた不正なURLにより、改ざんされたサイトを閲覧したユーザは、最終的には、「FAKEAV」や「WORID」などの感染被害がもたらされるサイトへと誘導されることとなります。
この脅威は、どのようにしてコンピュータに侵入しますか?
今回の攻撃の場合、不正なスクリプトを組み込むことで、正規のWebサイト内に複数の不正URLが挿入されます。こうして、膨大の数の正規Webサイトが改ざんされました。改ざんされた正規サイトを閲覧したユーザは、まず特定の不正サイトへとリダイレクトされ、さらに複数ある別の不正URLのいずれかにリダイレクトされます。そして最後には、誘導先の不正サイトに応じて、「FAKEAV」もしくは「WORID」の感染被害に見舞われることになります。ただし、以前に誘導されたことがあるユーザが再び閲覧した場合は、「404 File not found」などの「ページが見つかりません」を意味するエラーメッセージが自動的に表示されてしまうようです。
最新の調査では、改ざん部分の不正コードに変更が施され、当初のリダイレクト先の不正URLとは別の不正URLへ置き換えられていることも判明しました。この事実は、今回の攻撃がいまなお進行中であることを示しています。このため、当初の不正URLをブロックするなどの対策が講じられても、サイバー犯罪者側は、別のまだブロックされていない不正URLに置き換えることで攻撃を継続できることをも示しているといえます。幸い、今回の変更では、置き換え前と後の双方の不正URLは、同一のIPアドレスを指定しており、このIP自体が、トレンドマイクロの「Webレピュテーション」技術により既にブロック済となっていました。
したがって、今回の攻撃では、「ライザムーン」の名称に由来する当初の不正URLのみが使用されていたわけではありません。別の不正URLにも置き換えられ、そこからも同じようにしてリダイレクトを繰り返し、「TROJ_FAKEAV.BBK」や「TROJ_WORID.A」をもたらすサイトへ誘導されることになっていました。また上述のとおり、いずれの不正URLの場合でも、単一のIPアドレスを指定していることも判明しています。この点から、同一のサイバー犯罪グループの仕業であることも推測できます。
この脅威は、どのような影響をユーザに与えますか?
何も知らずに改ざんされた正規サイトを閲覧したユーザは、「TROJ_FAKEAV.BBK」もしくは「TROJ_WORID.A」かいずれかのマルウェアによる感染被害を受けることになります。
「TROJ_FAKEAV.BBK」といった「FAKEAV」ファミリのマルウェアに感染した場合、ユーザのコンピュータには、偽セキュリティソフトによるスキャン結果が表示されます。「あなたのコンピュータは感染しています」という偽の警告を行う脅しの手口です。そして最後には、有料版のセキュリティソフトの購入を促す表示をポップアップさせます。こうして、騙されたユーザは、有料版の偽セキュリティソフトを購入しようと、クレジットカード番号などの個人情報をサイバー犯罪者に送信してしまうことになります。
「TROJ_WORID.A」に感染した場合も、ユーザは、情報漏えいの被害に見舞われることになります。この場合、特定のパラメータを使用し、収集したデータを暗号化して不正リモートユーザに送信するようです。こうして、感染したコンピュータのOSバージョンやデバッグやユーザ権限などに関する情報が送信されます。
なぜこの攻撃は Noteworthy(要注意)に分類されたのですか?
「大規模な改ざん」という手口自体は、珍しいものではなく、むしろ古い手口の部類に属するというべきでしょう。しかし今回の攻撃が示した点は、現在なお、数多くのWebサイトが、古い手口に属する「SQLインジェクション攻撃」に対してほとんど無防備であったという事実です。今回の「ライザムーン」では、サイバー犯罪者は、ほぼ無差別に数十万にも及ぶ膨大な数のWebサイトの大規模な改ざんに成功しています。
実際、改ざんされたWebサイトのジャンルは、天文学やスポーツ、冠婚葬祭など多岐にわたります。Webサイトの数だけでなく、ジャンルの面でもこれだけ広範囲をカバーしていたことから、可能なかぎり多くのユーザに感染被害を及ぼそうとしていたサイバー犯罪者の意図も読み取ることができます。
トレンドマイクロ製品は、この脅威を防ぐことができますか?
もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「Webレピュテーション」技術は、改ざんされたWebサイトやマルウェアがダウンロードされてくるような不正なサイトへのアクセスを未然にブロックします。さらに「ファイル・レピュテーション」技術は、万が一、ユーザのコンピュータに不正なファイルが侵入しても、直ちに検知してファイルが実行されるのを未然に防ぐことができます。
ウイルス研究員 Joseph Cepeは、この脅威に関して次のようにコメントしています。
「またしても、システムに問題や脆弱性がある、またはセキュリティ対策が施されていないWebサイトがWeb上には多数存在することが明らかになりました。残念なことに、「ライザムーン」攻撃は、この事実を証明するために起きるべきして起こったともいえるでしょう。そして、これらの攻撃は、同時に「FAKEAV」などに誘導する攻撃の手口として利用されました。今回のように、改ざんされたWebサイトの数が多くなるということは、この脅威がまん延する確率も増加するということへとつながります。」
コンピュータを今回のような脅威から守るにはどうすればいいですか?
「正規のWebサイトを知らない間に改ざんする」という今回の手口の場合、「ユーザ自身の心がけのみでコンピュータを守る」ということは非常に難しいといえます。どの正規サイトがサイバー犯罪者によって改ざんされるかをユーザ側で事前に察知することはほぼ不可能だからです。このような場合、やはり「疑わしいサイトを事前に検知してブロックする」というプロアクティブなソリューションのみが有効となります。実際、今回の攻撃でも、リダイレクト先に使用されたサイト(IPアドレス)は、トレンドマイクロの製品では、プロアクティブなソリューションである「Webレピュテーション」技術により未然にブロックされていました。
オンライン・コミュニケーションの増加とともに、人々の暮らしを結ぶ関係も、いっそう親密なものになってきました。インターネットは、こうしたユーザ同士の関係をつくり出し、なおかつ維持する上で様々な手段を提供してきましたが、その中でも特に、ユーザの誰もが簡単に行える手段として重宝されるのが、いわゆる「ソーシャル・メディア・サイト」です。ただ残念なことに、ソーシャル・メディア・サイトでは、その使いやすさのゆえ多くのユーザがより長く過ごすようになり、サイバー犯罪者たちにとっての格好の標的として、オンライン上の脅威がもたらされる場所ともなっています。