JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は6月1日、セキュリティ情報ブログ「JPCERT/CC Eyes」の記事「ラッキービジター詐欺で使用されるPHPマルウェア」において、「ラッキービジター詐欺」と呼ばれるオンライン詐欺攻撃に利用される悪意のあるPHPスクリプト(PHPマルウェア)に関する調査結果を公表した。

ラッキービジター詐欺は、Webサイトを訪問した際に「あなたはラッキービジターです」などのメッセージを表示させ、フィッシング用のアンケートなどに誘導する詐欺の手法である。正規のサイトを不正に改竄することで詐欺サイトに転送する手法がよく見られるという。

  • 転送先の詐欺サイトの例 ー 画像:JPCERT/CC Eyesより

    転送先の詐欺サイトの例  引用:JPCERT/CC Eyes

JPCERT/CC Eyesの記事は、国内のWebサイト改竄で頻繁に用いられているPHPマルウェアを調査し、その挙動について解説したもの。それによると、一般的なPHPマルウェアは大きく以下の2つの機能を備えているという。

  • アクセスした訪問者を不審なWebサイトに転送する
  • 攻撃者から受け取ったコマンドを実行する

前者は、正規のサイトを改竄することによって、訪問者を別の(詐欺用の)Webサイトに転送する機能になる。PHPマルウェアはHTTPリクエストの情報をもとに訪問者が転送の対象かどうかをチェックするという。後者は、PHPマルウェアが仕込まれたサイトに対して外部からコマンドを発行し、さまざまな処理を実行する機能だ。確認されているコマンドとしては、不正なページの設置や、sitemap.xmlやrobots.txtの更新、その他の任意のコードの実行を行うものなどが挙げられている。

JPCERT/CCの調査では、PHPマルウェアは対象サイトに不正アクセスして直接設置される以外に、CMSの脆弱性を悪用して設置されるケースも観測したという。そのため、利用するCMSやプラグインなどについては常に最新版にアップデートしておくことが推奨されている。