ニュース

正規サイトを改ざんして偽当選サイトへ誘導する攻撃、リダイレクト先はランダムに変化して偽警告なども表示

 正規のウェブサイトを改ざんし、偽警告や偽当選サイトへ誘導する攻撃が確認されたとして、デジタルアーツ株式会社がセキュリティレポートを公開した。

 偽警告は「ウイルスが検出された」と不安をあおり、誘導先のウェブサイトでソフトの購入を促してくるのが特徴。また、偽当選サイトは当選通知を装ってクレジットカード情報の入力を求めてくる特徴がある。

 同社の調査によれば、偽警告などが表示される原因として、1)
閲覧したウェブサイトの広告に不正なものが紛れ込んだ、2)閲覧したウェブサイトが改ざんされたことを挙げている。

 もしウェブサイト閲覧中に偽警告などが表示された場合は、ウェブブラウザーのタブを閉じる、ウェブブラウザー自体を終了する、PCを再起動することで対処できるとしている。

 また、独立行政法人情報処理推進機構(IPA)では偽警告に関する事例や対処方法を公開しているため、こちらもあわせて確認するよう促している。

独立行政法人情報処理推進機構(IPA)の「安心相談窓口だより」では偽警告に関する情報を掲載している

改ざんされた正規サイトに挿入された不審なJavaScript

 アクセス分析を行ったところ、複数の正規のウェブサイトを起点に不審なURLへ遷移していることを見つけた。改ざんされたウェブサイトでは難読化された不審なJavaScriptが共通して記述されており、これが特定のURL(※1)へとリダイレクトされることが分かった。

不審なJavaScript
難読化部分を可視化

 ここからさらに別のURLへリダイレクトするJavaScriptが記述されており、Cookieによって異なるレスポンスを返す仕組みになっていた。初回アクセス時と2回目のアクセスでは記述されているURLが異なっていた。

初回アクセス
2回目アクセス

 リダイレクト先では何らかの許可を求めるメッセージが表示されるが、「ブロック」ボタンを押しても延々と同じページが繰り返し表示されたり、ウェブブラウザーのメニューなどが隠れる全画面表示状態になった。

 一方、「許可」ボタンを押した場合は別のページにリダイレクトさせられるが、ブロックボタンを押した場合でも同様の挙動が確認されたそうだ。

特定のURL(※1)の後にリダイレクトされるページ

 ここからリダイレクトされるウェブサイトについては、以下のものが複数確認されている。

 なお、3回目のアクセス以後は404エラーを返された。時期により記述されているURLが変更されるなど、条件により異なる結果を返すようだ。また、User-Agentに「curl」という文字列が含まれていると、どんな場合でも必ず404エラーを返すことも分かった。

東京オリンピックを思わせる文字列を含んだドメイン名

 このほか、「tokyo」や「2020」などの文字列を含んだドメイン名の不審なウェブサイトが確認された。

 アクセスすると偽警告などを表示するページへリダイレクトされるが、これらが実際に攻撃で使われた情報は確認されていないという。しかし、2018年夏ごろに東京オリンピックのチケットが当選したという内容でフィッシングサイトへ誘導するメールを送りつけるキャンペーンが展開されたため、警戒する必要があると注意を促している。