ニュース

ブログパーツのコンテンツを改ざんするトロイの木馬、9月はWordPress以外のサイトでの検出が8割以上に~IIJ調査

  • 磯谷 智仁

2018年11月5日 14:35

 株式会社インターネットイニシアティブ(IIJ)は、9月における国内のセキュリティ動向をまとめたレポートを、同社のセキュリティ情報サイト「wizSafe Security Signal」にて公開した。

 ウェブサイト経由でマルウェアに感染させるマルウェアについては、トロイの木馬「Trojan.JS.Agent」が過半数を占めていた。これまでは主にWordPressを利用するウェブサイトを標的にしたものが多かったが、9月はWordPress以外のウェブサイトでの検出が8割以上を占めた。

 これらの多くは3つのウェブサイト上に設置されたJavaScriptを検知したもので、いずれもCookie情報を含むリクエストヘッダを外部ドメインに送信する内容だった。複数のウェブサイトで確認されたが、一部パラメータや送信先のドメイン以外の差分は見られなかったという。

「Trojan.JS.Agent」として検出したJavaScriptによる、情報の外部送信に関する記載

 Trojan.JS.Agentとして検出されたJavaScriptは、20以上の国内ブログサイトにて読み込まれていた。JavaScriptが設置されているURLの一部については、ブログの表示形式を変更するツールとして2009年ごろに公開されていることが確認されたが、IIJのセキュリティオペレーションセンター(SOC)が確認した時点では、当該JavaScriptにブログの表示形式を変更する機能は含まれていなかったという。このJavaScriptが設置されているドメインは2018年7月21日に取得されており、ブログの表示形式を変更するツールとして公開されていた時期と不一致だった。

 IIJによれば、この攻撃はツールを公開していたブログパーツ提供サーバーの管理者によるドメインの更新が行われず、一度ドメインが失効し、第三者(攻撃者)によって再度取得された可能性があるという。この場合、ドメインに紐付くIPアドレスがブログパーツ提供サーバーのものから、攻撃者の用意したサーバーのIPアドレスに変更されるようになる。ブログパーツ提供サーバー上のJavaScriptを読み込むようなブログサイトにおいては、ブログサイト自体を改ざんすることなく、攻撃者の用意した悪意のあるJavaScriptを実行させることが可能になる。

 ブログパーツのように外部コンテンツを使用するウェブサイトで、参照するコンテンツが改ざんされた場合、ウェブサイトの表示が崩れたり、ウェブサイト制作者が用意したものではないウェブページが新しいウィンドウで表示されるなど、意図しない挙動が見られる。IIJでは、管理するウェブサイトの動作について定期的に確認することを推奨している。

攻撃者によるドメイン再取得による動作の変化

9月は最大25.05GbpsのDDoS攻撃が発生

 9月に検出したDDoS攻撃の総攻撃検出数は447件で、1日あたり14.9件を観測。攻撃の継続時間は、30分未満が84.79%、30分以上60分未満が8.05%、60分以上90分未満が1.79%、90分以上が5.37%。継続時間の最も長かった攻撃は3時間だった。

 最も大規模な攻撃では、毎秒245万個のパケットによって25.05Gbpsの通信量が発生。この攻撃は主にDNSを用いたUDP Amplification攻撃だった。

DDoS攻撃の検出件数(2018年9月)

 DDoS攻撃を除くインターネットからの攻撃に関しては、これまでの傾向と同様、NetisおよびNetcore社製ルーターを狙った攻撃が多く観測された。これらの攻撃を除いた割合については、MySQLデータベースを管理するツール「phpMyAdmin」がサーバー上にインストールされているかを探索する「ZmEu Exploit Scanner」の検出が全体の約30%を占めた。9月後半にはセーシェル共和国を送信元とする単一IPアドレスからのスキャンを多く観測。このIPアドレスは2018年7月28日には活動していたことが確認されている。

 また、D-Link製のWi-Fiルーターのコマンドインジェクションの脆弱性を狙った攻撃が9月前半に増加しており、全体の約17%を占めた。この攻撃はIoTマルウェア「Mirai」の亜種への感染を目的としたものだった。

攻撃種別トップ10の割合(2018年9月、NetisおよびNetcore社製ルーターを狙った攻撃を除く)

Office数式エディタの脆弱性を悪用、メールの添付ファイルに注意

 メール経由での攻撃の割合は、大量メール送信型のウイルス「Mydoom」が全体の42.88%を占めた。そのほか、Microsoft Officeの数式エディタの脆弱性「CVE-2017-11882」を悪用した攻撃が15.35%で、主に9月19日・20日の短期間で多く検出されている。

 Microsoft Officeの数式エディタの脆弱性を利用した攻撃は、同脆弱性を含むMicrosoft Officeの環境で、細工が施されたMicrosoft Officeドキュメントを開くことでマルウェアに感染する。Microsoftでは、2017年11月の月例セキュリティ更新プログラムでこの脆弱性を修正している。同プログラムが適用されていない環境下では、数式エディタを無効化することで暫定的に攻撃を回避できるとしているが、IIJではMicrosoft Officeの設定や更新プログラムの適用状況を確認するよう推奨している。

メール受信時に検出したマルウェア種別の割合(2018年9月)