KADOKAWAのサイトが改ざんされ、不正なコードが埋め込まれる

KADOKAWAは16日、同社Webサイトの一部が第三者からの不正アクセスを受け、改ざんされていたことを確認したと発表。すでに修正済みだが、サイト改ざんが行われていた期間に既知の脆弱性を修正していないWindows環境で閲覧した場合、PCにマルウェアが組み込まれ、重大な情報漏えいが発生する危険性がある。

改ざんが確認されたというKADOKAWAのWebサイト

KADOKAWAのお詫び文によると、2014年1月7日00:49~翌8日13:07の間にKADOKAWAのホームページにアクセスすると、「Infostealer.Torpplar」と呼ばれる不正プログラムがダウンロード・実行されたという。

一方、シマンテックは15日にセキュリティブログ[http://www.symantec.com/connect/blogs/web-gongda]にて、「書籍や雑誌、漫画、映画から、ゲームまで取り扱っている大手」出版社に、不正なiframeが仕掛けられていることを確認したと発表している。このブログで「KADOKAWA」とは述べていないが、「映画を扱っている日本の大手出版社」と発表タイミングを考えると、シマンテックが指摘したのもKADOKAWAである可能性が非常に高い。

シマンテックのセキュリティブログ

シマンテックによれば、「遠隔測定によると、最初の被害者がサイトにアクセスしたのは、2014年1月6日15:00頃で、このセキュリティ問題が修正されたのは、1月9日夕方以降になってから」と、KADOKAWAが公表した情報よりも対象期間が広い。

今回の不正プログラムは、以下の日本語Webサイトへのアクセス有無を監視し、情報を盗み出すようになっている。シマンテックは具体的なサイト名と流出情報を明らかにしていないが、サイトの傾向からしてID/パスワード取得と考えられる。

・2 つのオンラインバンキングサイト
・3 つのオンラインショッピングサイト
・3 つの Web メールサイト
・3 つのゲーム/動画 Web サイト
・14 のクレジットカードサイト

シマンテックの説明画像。ユーザーが「1」のサイトをアクセスすると、埋め込まれたiframeによって「2」のサーバーにもアクセスすることになる。そして、Windowsの脆弱性を悪用する不正プログラムがダウンロード・実行されてしまう。この不正プログラムは侵入したPCから情報を盗み出そうとする

攻撃に使われた「既知の脆弱性」 - 2013年の夏までには対応済み

悪用されていたWindowsの脆弱性は以下の5つで、修正していないWindows NT / 2000 /95 / 98 /Me / XP /Vista / 7環境で影響する。

・Oracle Java SE Runtime Environmentに存在するリモートコード実行の脆弱性(CVE-2012-0507)
・Microsoft XMLコアサービス(MSXML)に存在するリモートコード実行の脆弱性(CVE-2012-1889)
・Oracle Java Runtime Environmentに存在する複数のリモートコード実行の脆弱性(CVE-2013-0422)
・Adobe Flash Playerに存在するリモートメモリ破損の脆弱性(CVE-2013-0634)
・Oracle Java SEに存在するメモリ破損の脆弱性(CVE-2013-2465)

これらの脆弱性はすでに報告、修正が行われている「既知の脆弱性」だ。この中で最後に修正パッチが提供されたものでも「2013年6月」であり、定期的なアップデートを行っていれば、すでに脆弱性はふさがっている。このため、あまり過敏に反応する必要はない。

仮にこれらの脆弱性が残っており、最近KADOKAWAサイトにアクセスした記憶があるならば、セキュリティ対策ソフトによるシステム/ストレージの全スキャンを実行するべきだ。(セキュリティ対策ソフトの定義ファイルなどを最新にするのは言うまでもない)。万全を期するなら、Windowsが動いていない状態でCDブートできるツールを使うとよいだろう。

シマンテックの解析によれば、Windowsが起動するたびに不正プログラム(Infostealer.Torpplar)を自動実行されるよう、レジストリを書き換えている。技量のあるユーザーは、レジストリエディタで「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"sysplar"」というエントリがあるかどうかをチェックしてほしい。

レジストリエディタで「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」をチェック

もし感染の痕跡がある場合は、未感染の環境下でオンラインバンキング、ショッピング、メール、クレジットカードサイトのパスワードを更新する。サイトによっては最終アクセス日時が表示されるので、その日にアクセスした記憶がないようなら、「パスワード盗難の可能性がある」と、サイト管理者やサポートに連絡するのが望ましい。

最後になるが、米国時間14日、日本では15日に「JAVA 7 uptete 51」と、「Flash Player 12」が公開されている。可能な限りすぐに更新しておきたい。また、Flash Playerは、複数のWebブラウザを使っているユーザーは個別にアップデートしなければいけないので注意だ(Internet Explorer用とFirefox用など)。

Internet ExplorerとFirefoxを使っているユーザーなら、コントロールパネルの「Flash Player」で見ると両方のバージョンを一気にチェックできる。筆者は普段Internet Explorerを使っていないので、Internet Explorerの更新を忘れているのがここで分わかった。自動更新する設定にするのもよいだろう