Internet Watch logo
記事検索
最新ニュース

ローソンのチケット販売サイト、Welchia.Bに感染

〜一時サイトが書き換えられるも現在は復旧

Welchia.Bに感染した「www.lawsonticket.com」のWebサーバー
 ローソンのチケット販売子会社ローソンチケットは、同社のチケット販売サイト「ローソンチケット・ドットコム」のWebサーバーがWelchia.Bに感染していたことを明らかにした。一時サイトのトップページがWelchia.Bに書き換えられていたが、現在は復旧している。

 Welchia.Bは、2003年8月に発生した「Welchia」の亜種で、すでに公開されているDCOM RPCの脆弱性「MS03-026」などを利用して感染するウイルス。感染したPCのファイルを特定のテキストを含むHTMLファイルに書き換えるのが特徴だ。

 ローソンチケットでは、12日午前7時にトップページが書き換えられていることを認識。当初「外部からの攻撃を考えた」とし、午前10時30分ごろには脆弱性の修正プログラムを適用したという。その後同様の現象が継続したため、「外部からのアタックではなく、Welchia.Bではないか」と推測。レジストリを正常な状態に書き換えるなどの措置を施し、13日午前1時にウイルスの駆除を完了した。

 Welchia.Bに感染したのは過去に公開されていたURL「www.lawsonticket.com」のWebサーバー。ローソンチケット・ドットコムではWebサーバーを複数台用意しており、感染判明後はローソンチケット・ドットコムへのアクセスを無事なサーバーへリダイレクトしていた。「修正プログラム適用後もWelchia.Bにより突発的にトップページが改変されたが、その都度対処療法的に修正を繰り返した」という。

 なお、今回感染したのはWebサーバーのみ。ローソンチケットでは「データベースサーバーはOSにUNIXを採用しており、Welchia.Bの影響はない。個人情報の漏洩も発生していない」としている。


関連情報

URL
  ローソンチケット・ドットコム
  http://www2.lawsonticket.com/

関連記事
日本のWebサーバーをハッキングするウイルス「Welchia.B」が登場(2004/02/13)
警察庁、TCP445番ポートへのトラフィック増加で注意呼びかけ(2004/02/13)


( 鷹木 創 )
2004/02/13 21:33

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.