IPAは7月1日、先月頭に警告を行ったWeb改ざんが、警告後も様々な企業で相次いで行われていることを受け、改めて注意を呼びかけている。

IPAでは、「閲覧したらウイルスがダウンロードされ、改ざんされた」という事例報告が目立っていることから、2009~2010年に頻発した「ガンブラー」を応用したものが多いと見ている。

ガンブラーは、PCの脆弱性を悪用することでウイルスに感染させ、クライアントPCからFTPのアカウント情報を盗み取ることでWeb改ざんを行っていた。

最近の攻撃はそれに加わえて、「Webサーバーの弱点を攻撃してWeb改ざんを試みる」ことが多いという。Webサーバーで安易なFTPパスワードを設定していたために推測などからパスワードを破られるケースがあるほか、Webサーバーの脆弱性が悪用されてサーバーへの侵入を許してWeb改ざんが行われるという。

ガンブラーの手口

ガンブラーを応用した手口

具体的な被害としては、改ざんによってクレジットカード情報が流出したケースがある。クレジットカード情報を入力するページに文字化けが発生し、企業が原因を調べるために運用委託会社に調査を依頼したところ、Webサイトが改ざんされ、バックドアツールが設置されていた。

この事例では、Webアプリケーション(Apache Struts 2)のバージョンが古く、脆弱性を悪用されていたことから、OSやアプリケーションなどを常に最新の状態にしておくことが、攻撃に対する予防策になるとしている。

IPAはホームページで、自社サイトが改ざんされているかどうかの確認方法や、改ざんが確認された場合の対処方法などを案内している。