10月2日、TROJ_ASPROXファミリによる攻撃と見られるSQLインジェクションを用いた、正規Webサイト改ざんを確認いたしました。
TROJ_ASPROXファミリは、Microsoft Active Server Pages(ASP技術)で作成されたフォーム(例:ログインページなどの入力要求を受け付けているもの、または動的にページを生成しているもの)を使用している正規サイトを探し、脆弱性(使用しているASP技術のセキュリティ対策の不備)を抱えている場合には、不正なサイトへリダイレクトするIFRAMEタグを埋め込むウイルスです。
| src=http://www.{BLOCKED}.ru/ads.js |
上記URLは「Webレピュテーション」により接続がブロックされています。 |
同種の被害は過去にも報じられています。
 |
|
|
2008年7月17日には、日本国内のASP技術を採用しているウェブサイトにおける、改ざん被害の広まりについて注意喚起を行い(※下記参照)、全世界で最大21万、日本国内においても約1万のウェブページで、改ざん被害の発生を確認したことをお伝えしました。当時改ざんされたのは不動産、食品、自動車部品会社などのほか、大学や個人のサイトまで広範囲にわたっています。
※過去公開情報
- Trend Micro Security Blog:「ASP技術を採用しているウェブサイトにて改ざん被害が広がる」
- Trend Micro Security Blog:「改ざん被害拡大の一因は、不当な営業活動を広げる偽セキュリティソフトウェア」
- ウイルスニュース – 2008/7/17:「SQLインジェクションによる正規Webサイト改ざんとWebサイト経由の不正プログラム感染を警告」
今回問題となるTROJ_ASPROXファミリは、昨年日本国内において大きな被害を及ぼしたウイルスファミリであり、
10月2日 現在で、日本語サイトが被害を受けた兆候は見られませんが、今後被害が国内へ波及するおそれが考えられます。
■脅威への対策
改ざんサイトに埋め込まれるURLおよび改ざんサイトから転送されるサイトは全て、トレンドマイクロの「Webレピュテーション」によりすでにブロックされています。
従来よりトレンドマイクロが啓蒙している「Webからの脅威」に加え、以下の基本対策を再確認してください。
また、ウェブ管理者には、被害可能性を考慮し、自身の管理するウェブサーバにおいて、アクセスログ調査の実施を推奨します。ログ調査により、被害発生は無くとも事前予防策を施すことが重要です。
10月2日 現在、SQLインジェクション攻撃の痕跡を示すサイトは英語サイトのみで確認しており、現時点で被害報告はありません。しかし、仕掛けられた不正コードは頻繁にアップデートが行われているため、今後国内の被害が確認される可能性もあります。トレンドマイクロでは、引き続き動向を監視し、状況に応じて注意喚起を行っていきます。