医療業界専門誌の薬事日報社は4月24日、同社サイトの改ざん被害について経過説明を行った。同社サイト「薬事日報ウェブサイト」が4月17日に不正アクセスを受け、閲覧者をウイルスに感染させる狙いで一部ファイルが改ざんされた。
不正アクセスは17日午前6時ごろにあり、一部のファイルが改ざんされて、閲覧者を外部サイトへ誘導する仕組みになっていた。改ざんされたファイルは午後7時半ごろまで公開され、同社ではサイトの運用を停止した。閲覧によってウイルスに感染した疑いがあるとの報告が3件あったが、個人情報の流出は確認されていない。また、有料会員制サイト「YAKUNET」は影響を受けていなかった。
ウイルスの種類は特定されておらず、現在も調査中。感染すると、sqlsodbc.chmファイルが改変されるほか、ウイルススキャンやコマンドプロンプト、レジストリエディタを実行できなくなる。Internet Explorerの動作が著しく不安定になる症状も発生。FTP通信の監視や設定情報を盗聴し、設定情報を取得したWebサーバの改ざん行為を行う可能性もあるという。
調査の結果、不正アクセスは以下の手順で自動的に行われた可能性があることが分かった。
- 薬事日報ウェブサイトを管理していたPCの1台がウイルスに感染
- ウイルスが感染PCのFTP通信を監視
- ウイルスは感染PCがFTP通信で使用した設定情報を記録
- ウイルスが記録した設定情報を外部のサーバに転送
- 外部サーバは設定情報を利用して、薬事日報ウェブサイトへFTP通信で不正アクセス
- 外部サーバが薬事日報ウェブサイトのhtml、php、jsなどのファイルの一部をダウンロード
- 外部サーバはダウンロードしたファイルに悪意のあるスクリプトを挿入
- 外部サーバはスクリプトを挿入したファイルを薬事日報ウェブサイトにアップロード(改ざん)
同社では不正アクセスを受けたWebサーバを停止し、新規にWebサーバを構築して、一部サービスを再開した。コンテンツ管理システムやFTP通信の設定も併せて変更したという。また、WebサーバへのFTP通信は専用マシンに限定し、すべてのPCに導入しているウイルス対策ソフトウェアの運用も見直すとしている。同社内で感染の疑いのあるPCについて、OSをクリアインストールし直した。
これらの処置により、4月22日から復旧や対策が完了したページから順次公開を再開しており、ニュース配信などのサービスを4月27日から再開する予定だという。
閲覧によってウイルス感染が疑われる場合、同社ではオンラインスキャンサービスなどの利用を呼び掛ける。感染が確認された場合は、クリーンインストールが望ましいとしている。
関連記事
- 国交省のWebサイトが改ざん 中国国旗と「歴史忘れるな」
国土交通省のWebサイトの一部ページが11日に改ざんされ、中国国旗などが表示される状態になっていた。 - SQLインジェクション攻撃が61倍増に、ラックが年間リポート
ラックは、2008年通期のインターネットの脅威傾向リポートを公開。Webサイト改ざんなどを狙うSQLインジェクション攻撃が前年比61倍増となった。 - F-Secureのサイトが改ざん被害、SQLインジェクション攻撃の標的に
ルーマニアの組織がセキュリティ企業のWebサイトを連続攻撃している。Kasperskyに続いてF-Secureが被害に遭った。 - 正規サイトの「弱み」でマルウェアに感染する時代
2008年は正規サイトを閲覧しただけでマルウェアに感染する報告が急増。今やインターネットの脅威の起点が正規サイトとなるケースが珍しくない。Webサイトを襲う脅威の現状とは? - パリス・ヒルトンの公式サイトがハッキング
パリス・ヒルトンの公式サイトに不正なiFrameが仕掛けられた。 - 茨城県、霞ヶ浦環境科学センターのWebページで不正アクセスの被害
茨城県が運営するホームページ内のデータベースが不正アクセスを受け、改ざんされた。閲覧するとトロイの木馬に分類されるウイルスに感染する恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.