「JUGEM」ブログ閲覧するとマルウェアダウンロード、JavaScript改ざんされる

　GMOペパボ株式会社は、同社が提供するブログサービス「JUGEM」のサイトおよびブログを閲覧した際に、一時、マルウェアがダウンロードされる状態だったことを明らかにした。

　5月24日未明から28日正午ごろまでの間に、Flash Playerが最新バージョンではないWindows環境から閲覧した場合、マルウェアが実行された可能性があると説明。該当者はウイルス対策ソフトを最新の状態にした上でスキャンするとともに、Flash Playerを最新バージョン（13.0.0.214）に更新するよう呼び掛けている。

　JUGEMの公式JavaScriptファイルのうち4つのファイルでプログラムが改ざんされており、Flash Playerの脆弱性を突いて悪意のある操作を実行しうるSWFファイルがダウンロードされたことを確認しているという。

　GMOペパボは28日、JUGEMのポータルサイトやブログページにアクセスすると、ウイルス対策ソフトが作動するという問い合わせが寄せられているとし、各種ページについて調査・対応を行っているとしていた。一方、ネット上では、Flashの脆弱性を突くウイルスに感染するコードが仕掛けられていたとの報告もあり、GMOペパボではこうした情報については同社でも把握しており、事実関係について調査中だとしていた。同日20時過ぎ、現時点で判明している状況をJUGEMのお知らせページで報告したもの。

　4つのJavaScriptファイルについてはすでに改ざんされた個所を修正済み。改ざん経路やその他の影響範囲について引き続き調査し、随時、お知らせページで報告するとしている。

【追記 2014/5/29 0:10】
　GMOペパボは、JavaScript改ざんの原因が、同サービスで利用している外部サービスへの不正アクセスだった可能性があると発表した。外部サービスの具体的な名称についてはセキュリティ侵害の恐れがあるとして公表はひかえているが、外部サービスと連携を図り、引き続き調査・対応を進めていくとしている。

【追記 2014/5/30 21:10】
　GMOペパボは、この攻撃で感染するマルウェアについて、インターネットバンキングのログイン情報を盗み取る「Infostealer.Bankeiya.B」（シマンテック製品での呼称）だったと説明。JUGEMブログの閲覧者などに対して、万一、感染していた場合はウイルス対策ソフトで完全に駆除した上で、インターネットバンキングのパスワードを変更するなどの対策をとるよう呼び掛けている。

　一方、JUGEMのサイトにおいては29日夜までに、改ざんされた4つのファイルの修正のほか、それ以外のファイルについてもすべて安全を確認したとして、対応の完了宣言を出すとともに、ユーザーに対して謝罪している。

　なお、Flash Playerの脆弱性（CVE-2014-0515）を突く攻撃は、JUGEMのほか、旅行会社の株式会社エイチ・アイ・エス（H.I.S.）のウェブサイトや、動画サイト「PANDORA.TV」でも発生していたことが明らかになった。H.I.S.でも同様に、外部サービスのJavaScriptが改ざんされるという手口が使われ、株式会社リクルートマーケティングパートナーズの外部サービスだったという。すでにH.I.S.でも対策済みだとしている（本誌5月30日付関連記事を参照）。