Web改ざんが止まらない、IPAが“異例の”注意喚起

マルウェア感染などを狙ったWebサイトの改ざん攻撃が継続していることから、IPAは2カ月連続でWebサイト管理者などへの注意喚起を図った。

[ITmedia]

　情報処理推進機構（IPA）は7月1日、マルウェア感染などを狙ったWebサイトの改ざん攻撃に対する注意を呼び掛けた。IPAは6月にも同様の注意喚起を行ったが、Web改ざんの事件が後を絶たないことから、異例ともいえる2カ月連続での注意喚起に至った。

　IPAによれば、2009〜2010年ごろに多発した「ガンブラー攻撃」によるWeb改ざんではPCの脆弱性を突いて管理用のFTPパスワードが流出し、攻撃者に悪用されるケースが目立ったものの、ここ最近のケースではガンブラー攻撃での手口に、Webサーバの脆弱性を悪用する手口が加わっていると解説する。

　今回の注意喚起ではIPAに届け出のあった事例も公開した。

事例1：Webサーバの脆弱性を悪用した攻撃

内容	状況
被害に気付いたきっかけ	クレジットカードを入力する画面に文字化けが発生、原因を探るため運用委託社に調査を行ってもらったところ、Webが改ざんされ、バックドアツールが設置されていることを発見した。
被害内容	Webページの改ざん、クレジットカード情報などの流出
原因	Webアプリケーション（Apache Struts 2）のバージョンが古かったため、脆弱性を悪用された。

事例2：ウイルス感染による、管理PCからのパスワード漏えい

内容	状況
被害に気付いたきっかけ	複数のWebサイトを、それぞれ別のレンタルサーバ業者のサーバで運用していたが、その一方の業者からコンテンツファイルのタイムスタンプが変だとの連絡を受け調査したところ、Webが改ざんされていることを発見した。その後、もう一方のレンタルサーバ上のWebサイトも確認したところ、同様に改ざんされていた。
被害内容	Webページの改ざん
原因	管理PCにウイルスが感染し、パスワードが漏えいしていた可能性が高い。それは十分な強度を持つ管理者パスワードをWebサイトごとに設定しており、しかも、ログイン失敗のアクセスログが無く、いずれのアクセスも一回でログインできていたことから、正しいパスワードが窃取されたことによる、なりすましログインだったと推測できる。

事例3：脆弱な管理者パスワードを悪用した攻撃

内容	状況
被害に気付いたきっかけ	Webサーバを経由したメール送信が行われているとの連絡があり、調査を行ったところWebページが改ざんされ、同時に不審なプログラムファイルがサーバ上にアップロードされていた。このプログラムによって、不正にメールが送信されていた。
被害内容	Webページの改ざん、迷惑メールの送信
原因	コンテンツマネージメントシステム（MODX）に、容易に推定できる管理者パスワードを設定していたため、これを悪用され、Webページの改ざんと不正プログラムのアップロードが行われた。

事例4：管理者アカウントの共有

内容	状況
被害に気付いたきっかけ	Webサーバのメンテナンス日以外にWebページの更新が行われていた。調査を行ってみるとWebページが改ざんされていた。
被害内容	Webページの改ざん
原因	Webサーバの管理画面へのアクセスに必要なアカウントとパスワード情報を社内管理者とメンテナンス業者で共有していた。これが何らかの要因により外部に漏えいしたものと思われる。

　IPAでは6月の注意喚起で示したWeb改ざんの確認や対策の実施をWebサイト管理者などへ呼び掛けるとともに、Web改ざんの被害発生における対処法も紹介している。

1. まず早急にWebサイトの公開を停止し、同時にFTPのパスワードも変更する。さらに、別のWebサイトを立てるなどして、利用者に対して調査状況の説明や、問い合わせ用窓口を設けるなど、随時情報提供に努める
2. 改ざん部分の洗い出しなどの調査を行う。保管しておいたクリーンなファイルとWebサーバ上のファイルを比較するなどして、全ての改ざん部分の洗い出し、改ざん部分ごとにFTPのアクセスログの確認などを行って、被害状況などを把握する
3. Webサイトを再公開する場合は、上記の対応で全ての改ざん部分を修正する。利用者への改ざんの事実の告知も掲載する。

• 改ざんの事実の説明
• 改ざんされていた部分
• 改ざんされていた期間
• 利用者が改ざんされていた部分を閲覧した場合に想定される被害（ウイルス感染など）の説明
• ウイルスのチェック方法の説明（必要に応じてオンラインスキャンサイトの紹介など）
• 問い合わせ窓口の連絡先