ニュース

国内の複数サイトでトップページ改ざん事例、「index_old.php」読み込ませるスクリプト

 国内の複数のウェブサイトが改ざんされ、不正なファイルの蔵置とスクリプトの追加によって、アクセス数や閲覧者などの利用状況を調査する活動が行われていることが分かったとして、警察庁と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が14日、注意喚起を出した。ウェブサイト管理者に向けて、サーバーの点検などを呼び掛けている。

 攻撃者が、ウェブサーバーに不正なファイル「index_old.php」を蔵置し、これを読み込ませるスクリプト「<script type="text/javascript" src="./index_old.php"></script>」をウェブサイトのトップページに追加。これにより、ウェブサイトの閲覧者のIPアドレスや閲覧日時などがログとして記録されるという。ウェブサイトの利用状況調査のほか、水飲み場型攻撃やサイバー攻撃の踏み台としての悪用可否を確認しているとみられるとしている。

 警察庁とJPCERT/CCでは、ウェブサイト管理者に対して、トップページに上記のようなスクリプトなど身に覚えのないスクリプトが書き込まれていないか確認するとともに、サーバー内に「index_old.php」などの不審がファイルが蔵置されていないか確認し、このような状況が確認された場合はサーバーが攻撃者の制御下にあると認められるとして、サーバー保全後にID・パスワードを更新し、警察やJPCERT/CCに相談するよう呼び掛けている。

 また、被害防止対策として、OS、IISやApacheなどのミドルウェアのバージョンアップなどにより脆弱性を解消すること、TCP/20番ポート(FTPデータ)、TCP/21番ポート(FTPコントロール)、TCP/23番ポート(telnet)を無効化し、管理者によるウェブサイトへのアクセスをSSHなどのセキュアなプロトコルで行うこと、ウェブサイトのコンテンツ更新は特定のPC(IPアドレス)からのみ実行できるよう制限をかけること、ウェブサイト更新用アカウントのパスワードを強固なものに変更することなどを挙げている。