本文へジャンプ

継続している Iframe 挿入によるWebサイト改ざん【Tokyo SOC Report】

IBM ISS のセキュリティー・オペレーション・センター(SOC)によるレポートです。
ITサービス
コンサルタント・レポート
掲載日 16 Jun 2009
[レポート] 継続しているIframe挿入によるWebサイト改ざん
Tokyo SOC Report について
セキュリティー・オペレーション・センター (SOC) について

i
[レポート] 継続しているIframe挿入によるWebサイト改ざん

検知状況
2009年3月から、Webサイトが改ざんされ、意図しないJavaScriptを埋め込まれる事象が多数発生しています。埋め込まれたJavaScriptは、Webサイトを訪問したクライアントを自動的に攻撃サーバーへ誘導します。この攻撃サーバーはクライアントの脆弱性を利用してウィルスに感染させようとします。

セキュリティー・オペレーション・センターでも、一般のクライアントが攻撃サーバーへ誘導され、ウィルスをダウンロードさせられる事象を多数検知しています。Gumblar(GENO)と呼ばれる、特定の攻撃サーバーを利用して行われた一連の攻撃(*1)は、3月中旬から観測されており、現在は収束しています。

検知状況1

攻撃サーバーは、Adobe Flash や Adobe Acrobat, Adobe Readerの脆弱性を利用して、クライアントをウィルスに感染させようとします。このウィルスに感染するとクライアントPCが利用しているFTPサーバーのアカウント/パスワードを盗まれてしまいます。攻撃者は、その情報を元にサーバーへ不正ログインを行い、Webサイト改ざんして、さらに多くのクライアントを攻撃サーバーへ誘導する機会を得ようとします。

この攻撃と同時期に、Gumblar.cnやmartuz.cnといった特定のドメインではなく、多数のドメインを利用して、短期間で切り替えながら攻撃が行われていることを確認しています。この攻撃も、不正に改ざんしたWebサイト経由でクライアントを攻撃サーバーに誘導し、Adobe Flash や Adobe Acrobat/Adobe Readerの脆弱性を利用してウィルスに感染させる攻撃のプロセスは上記の攻撃と同じです。この攻撃は現在も継続中です。

検知状況2


この攻撃により感染するウィルスは、多数の亜種が確認されており、アンチウィルスソフトウェアでも、すぐに検知できないものが存在します。しかし、Adobe Flash や Adobe Acrobat, Adobe Readerを最新のバージョンへアップデートしていれば、ウィルス感染することはありません。

今後も、攻撃対象とするアプリケーションを変更して、このような攻撃が行われることが予想されますので、クライアントPCでご利用のアプリケーションを最新のバージョンへアップデートすることを推奨します。


参考情報

(*1) IBM インターネット セキュリティ システムズ:
Weekly SOC Report - Gumblar(別称:GENO)に関する追加情報

上に戻る
i

SOC では、このような脅威に対して予防を前提としたセキュリティー対策として「マネージド・プロテクション・サービス」と「マネージド・プロテクション・サービス for SMB」 の2つのサービスを提供しています。
これらのサービスでは、Proventia シリーズを利用して、専門技術者が 24 時間 365 日 監視/対策/運用/管理を行います。 ビジネスに与えるリスクを軽減させるための手段として利用をご検討いただければ幸いです。



i
Tokyo SOC Report について

このレポートは IBM Internet Security Systems (IBM ISS) で提供しているセキュリティー運用管理サービス「マネージド・セキュリティー・サービス(MSS)」の東京にある監視センター(セキュリティー・オペレーション・センター:SOC)において検出されたイベント・データを基に、現在世界で起きているインターネット上の脅威について、日本における動向はどうなのか、また日本の企業にはどのような影響があるのか、日々お客様のネットワークを監視している IBM のセキュリティー・エンジニアが分析して解説しています。

ここ数年で攻撃者の目的もかつての愉快犯から金銭目的へと変化し、2008 年末からはWeb サイトの脆弱性を狙った SQL インジェクションなどによる Web ページ改ざんや攻撃コードの埋め込みが急増するなど、セキュリティー上の脅威も多種多様、高度化かつスピード化しています。このような中で、グローバルで連携した SOC を武器に、インターネットにおける世界動向をすばやくキャッチ・分析できる IBM ならではの情報力を生かし、Tokyo SOC が日本に特化してその影響度を分析し、公表することは、ネットワーク管理者がセキュリティー対策を進める上で意義があるとの判断をし掲載に至りました。このレポートが、皆様のセキュリティー対策の一助となれば幸いです

上に戻る
i
セキュリティー・オペレーション・センター (SOC) について

IBM ISS の監視センターである SOC は、日本以外にも、米国(3 拠点)、ブラジル、オーストラリア、ベルギー、カナダの世界 8 拠点に展開しています。各拠点は密接に連携してバーチャルにひとつの SOC として機能し、世界規模での監視活動を日々行なっています。これらの SOC には、訓練されたセキュリティー・エンジニアが常駐し、世界のどこで何が起きているのかリアルタイムに把握しながら、お客様のネットワークを 24 時間 365 日監視しています。

この監視サービスは、IBM ISS のセキュリティー運用管理サービス「マネージド・セキュリティー・サービス(MSS)」において提供中です。

 セキュリティー運用管理サービス「マネージド・セキュリティー・サービス(MSS)」

 

上に戻る
i