ニュース

Apacheの不正モジュールによるウェブ改ざんに注意、トレンドマイクロが警告

 トレンドマイクロは18日、ウェブサーバー「Apache」の不正モジュールを使った改ざん被害が国内外で報告されているとして、システム管理者や利用者に注意を呼びかけた。

 17日には、環境省が運営するサイトでApacheの不正モジュールによる改ざん被害があったことを公表しているが、同様の手口による改ざん被害が国内外で報告されており、不正URLへのアクセスが過去24時間で最も多かった地域は日本だったという。

 トレンドマイクロでは、PayPalをかたるフィッシングメールによる攻撃の被害報告が連日寄せられているが、攻撃者がこれに続く新たな攻撃手法として、改ざんサイトを発端とする攻撃についても準備を進めているようだと推測。国内を含む世界各国のウェブサイトに、同種のサイト改ざん攻撃を受けたと思われる痕跡を確認したとしている。

改ざんされた正規サイトに残された痕跡(青文字はランダムな英数字の文字列)

 今回確認された攻撃は、Apacheの不正モジュールをサーバー側に設置し、このモジュールが任意のウェブページに不正なスクリプトを挿入するもの。静的なHTMLファイルなどを直接書き換えてはいないため、システム管理者が静的コンテンツの改ざんを監視していたとしても、異常に気付くことは困難だとしている。

 誘導されるサイトとしては、「http://IPアドレス/32文字のランダムな英数字/q.php」といった形式のURLが確認されている。トレンドマイクロが確認しただけでも、最初にリダイレクトされるURLは3月の18日間で約4000件が用意されており、攻撃者は比較的短い周期で入り口を用意し、モジュールによって挿入するURLを転々としていると分析。また、感染連鎖の入り口となった「q.php」に日本の利用者が訪れた件数は、トレンドマイクロがブロックした件数だけでもこの1週間で4万1983件となっており、多種多様なサイトが改ざん被害を受け、複数の入り口に誘導されていると分析している。

 誘導先のサイトでは、Adobe ReaderやFlash Player、Javaの脆弱性を狙う攻撃が待ち受けており、これらのいずれかに脆弱性を含むバージョンを利用していると攻撃が発動し、最終的には「TROJ_KREPTK」「TROJ_FAKEAV」などの不正プログラムを感染させる事例が報告されているという。

 こうした改ざんサイトから始まる連鎖はPayPalのフィッシングメールでも利用された「Blackhole Exploit Kit」と同様の特徴を表しており、Blackhole Exploit Kitの新たなバージョンにウェブサーバーの不正モジュールを使った改ざん機能が実装された可能性があると推測。現時点でそれを裏付ける情報は見つかっていないが、キリル文字で情報交換が行われているアンダーグラウンドフォーラムにおいて「iframe」を注入するモジュールの販売を確認しており、こうした新たな攻撃手法がアンダーグラウンド市場で販売されることで、攻撃の間口が広がった可能性があるとしている。

 トレンドマイクロでは利用者への注意として、こうした一連の攻撃において感染連鎖をつなげているのは脆弱性を含むアプリケーションの利用にあるとして、WindowsやOffice、Adobe Reader、Flash Player、Javaなどのソフトウェアを最新の状態にすることと、セキュリティソフトが最新のバージョンで使用されているか、有効期限を迎えていないかを改めて確認することを推奨している。

 また、ウェブサーバーを管理するシステム管理者に対しては、この機会に自身のサーバーで動作しているApache拡張モジュールのリストを確認することを強く推奨している。各モジュールの所有権についても注意深く観察することで、攻撃者によって設置された不正なモジュールを発見する際の手がかりになるとしている。

(三柳 英樹)