ニュース

ある国内大手出版社、悪質なiframe仕込まれる、閲覧者が「Gongda」の餌食に

 株式会社シマンテックは15日、日本のある出版社のウェブサイトに悪質なiframeが注入されていたことを確認したと発表した。悪用ツールキット「Gongda」がホスティングされている別サイトへ誘導するもので、閲覧者のPCに脆弱性が存在する場合、情報を窃取するマルウェアを送り込むという。

 シマンテックではこの出版社の具体的な名称は公表していないが、「書籍や雑誌、漫画、映画から、ゲームまで取り扱っている大手」であり、「このiframeは複数のページにわたって存在し、ホームページにも仕掛けられていた」。また、同社の測定によれば、最初の被害者がアクセスしたのは日本時間の1月6日15時ごろで、この問題が修正されたのは1月9日夕方以降になってからだったとしている。

出版社のサイトで確認された悪質なiframe(シマンテック公式ブログより画像転載)。シマンテックが確認できた範囲で、この出版社のサイト上で少なくとも3つのファイルが感染していた

 シマンテックによると、Gongdaは今回の攻撃において、JavaやMicrosoft XMLコアサービス、Flash Playerの5つの脆弱性を悪用し、PCにマルウェア「Infostealer.Torpplar」をダウンロードさせる。このマルウェアは日本のユーザーから情報を盗み出すために作成されたマルウェアで、2つのオンラインバンキングサイト、3つのオンラインショッピングサイト、3つのウェブメールサイト、3つのゲーム/動画サイト、14のクレジットカードサイトを含む日本語サイトがウィンドウに表示されているかどうかを監視。窃取した情報を、あらかじめ設定されたウェブサイトに送信するという。その際、平文で送信されるため、傍受されると容易に読み取られてしまうとしている。

 シマンテックでは、標的とするオンラインバンキングサイトが2つしか設定されていない点に着目。しかもそのうちの1つは地方銀行だという。「ほとんどの銀行は、『Trojan.Zbot』といった高度なマルウェアに狙われていることを自覚しているため、オンラインユーザーのために幾重にもわたって保護や検証の手段を実装している。攻撃者もその点を承知しており、金銭になりそうな情報を扱っていながら基本的なセキュリティ対策しか講じていない他のサイトを意図的に狙ったものと考えられる」と分析している。

 また、シマンテックでは、このような攻撃からPCを保護するために、最新のセキュリティパッチを適用するとともに、ウイルス対策ソフトの定義ファイルなどを常に最新の状態に保つよう呼び掛けている。

【追記 2014/1/17 21:50】
 株式会社KADOKAWAが16日、同社ウェブサイトの一部が一時、第三者からの不正アクセスによって改ざんされていたと発表した。JavaやFlash、MSXMLの脆弱性があるWindows環境で閲覧した場合に、Infostealer.Torpplarが実行される状態だったとして謝罪している。

 悪用された脆弱性や送り込まれるマルウェアの名称を見る限り、シマンテックが言及していた大手出版社というのは、KADOKAWAのこととみられる。詳細は、本誌1月17日付の関連記事「怪しくないサイトも危ない! KADOKAWAのサイトで一時マルウェア感染の恐れ ネットユーザーはパッチ適用しっかりと、IPSの導入も」を参照のこと。

(永沢 茂)