不正コードの挿入が日本のいくつかのWebサイトにて発生したとの報告がトレンドラボに入っています。影響を受けたWebサイトは、有名な音楽ダウンロードサイトや音楽関連サイトに及んでいます。2008年5月22日17:30の時点で、改ざんを受けたサイトは修復され、不正なスクリプトが含まれていないことがトレンドラボのエンジニアにより確認されています。
残念ながら、この手の改ざんは増加傾向にあり、Webサイト運営者にとっての大きな脅威となってきています。さらに問題なのは、こうした改ざんされたサイトを閲覧したユーザは、挿入された不正コードにより、結果的にバックドアやスパイウェア等の不正プログラムを自分たちのPCに取り込んでしまう点です。
解析によると、これらのWebサイト改ざんは、先日報告された大規模SQLインジェクションに関連しているようです。現在、不正なプログラムのダウンロードに使用されたWebサイトの3つのドメインが明らかになっています:
nihaorr1.com
bluell.cn
9i5t.cn
※不用意なアクセスを避けるため、表記に全角ピリオドを使っています。
これらのWebサイトは以前にも同様の攻撃で使用されており、既に不正ドメインと判明しているサイトと言えます。これらの不正ドメインを使用した攻撃例は以前のブログ(英語)でも取り上げています。
このような攻撃は確実に増加傾向にあり、どうやら自動化されたツールが脆弱なサイトを発見し、そうして発見されたサイトが、“不正なサイト”へと変えられてしまい、閲覧者を別の不正サイトへリダイレクトさせるために使用されるようです。いかなるWebサイトも脆弱なままでは、大きな危険に晒されているということです。
もちろん、これらの不正なドメインはトレンドマイクロ製品の「Web レピュテーションサービス」技術でブロックすることが可能です。例えば、上述のブログで言及している2008年4月の攻撃の際にも、「Web レピュテーションサービス」技術は大きな効果がありました。トレンドマイクロ製品のユーザは、この種の攻撃から確実に守られていると言えます。トレンドマイクロ製品を利用していないユーザの方も、上記ドメインをURLフィルタ機能などに登録し、不用意なアクセスを避けることをお勧めします。そしてエンドポイントのセキュリティおよびセキュリティパッチの更新を確実にしておくことをお勧めします。