ニュース

怪しくないサイトも危ない! KADOKAWAのサイトで一時マルウェア感染の恐れ

ネットユーザーはパッチ適用しっかりと、IPSの導入も

 株式会社KADOKAWAは16日、同社ウェブサイトの一部が第三者からの不正アクセスによって、一時、改ざんされていたと発表した。JavaやFlash、MSXMLの脆弱性があるWindows環境で閲覧した場合に、マルウェア「Infostealer.Torpplar」が実行される状態だったとして謝罪している。

改ざんされていた株式会社KADOKAWAのオフィシャルサイト

 改ざんされていたのは、同社オフィシャルサイト「http://www.kadokawa.co.jp/」のトップページ。現在のところ、1月7日0時49分から1月8日13時7分までの期間に改ざんされていたことを把握しており、その間に約1万件のアクセスがあったという。KADOKAWAでは、この期間中に同サイトにアクセスした可能性があるユーザーに向けて、セキュリティソフトによる感染確認・駆除を実施するよう呼び掛けている。

 なお、不正プログラムを実行するのに悪用された脆弱性は以下の5つで、影響を受けるシステムはWindows 7/Vista/XP/Me/98/95/2000/NT。

  • Oracle Java SE Runtime Environmentに存在するリモートコード実行の脆弱性(CVE-2012-0507)
  • Microsoft XMLコアサービス(MSXML)に存在するリモートコード実行の脆弱性(CVE-2012-1889)
  • Oracle Java Runtime Environmentに存在する複数のリモートコード実行の脆弱性(CVE-2013-0422)
  • Adobe Flash Playerに存在するリモートメモリ破損の脆弱性(CVE-2013-0634)
  • Oracle Java SEに存在するメモリ破損の脆弱性(CVE-2013-2465)

 KADOKAWAによると、改ざんされたサイトは、同社グループ会社が昨年11月1日に合併したのにあわせて新設したサイトで、角川書店をはじめとした各出版社サイトへのポータル的な位置付けだという。一般的に多く利用されるのはそれら出版社ごとに開設している既存のサイトであり、それらのサイトでは同様の改ざん被害は発生していないとしている。

 KADOKAWAではセキュリティ上、不正アクセスされた手口の詳細については公表していないが、同サイトのサーバーに対するアタックは以前からあり、それが今年に入って侵入に成功されてしまったかたちだという。大手企業のオフィシャルサイトということで当然ながら高いレベルのセキュリティ対策をとっていたものの、運用上の理由から、トップページなどと比較するとセキュリティレベルを下げていたサイトを突破され、そこからトップページの改ざんを許してしまったとしている。

 なお、攻撃者が使ったアクセス権限でアクセスできるのは、かなり限定的なフォルダーだけであり、個人情報を保存している領域にはアクセスできないという。手口から見て、それら個人情報が流出した可能性は極めて低く、実際、現在までに同社サーバーからの個人情報の流出も確認されていないとしている。

怪しくないサイトも危ない時代に! パッチ適用しっかりと、IPSの導入も

 株式会社シマンテックによると、Infostealer.Torpplarは、日本のユーザーから情報を盗み出すために作成されたマルウェア。具体的なサイトの名称は明示していないが、あらかじめ設定されている以下のような日本語サイトを表示しているかどうかを感染先のPCにおいて監視し、ユーザーが入力するログイン認証情報などを盗み取って外部に送信するという。

  • 2つのオンラインバンキングサイト
  • 3つのオンラインショッピングサイト
  • 3つのウェブメールサイト
  • 3つのゲーム/動画サイト
  • 14のクレジットカードサイト

 シマンテックは1月15日付の同社公式ブログにおいて、具体的な社名は伏せつつ、「書籍や雑誌、漫画、映画から、ゲームまで取り扱っている大手」出版社のサイトに、悪質なiframeが仕込まれていたことを報告。前述した5つの脆弱性を突いてInfostealer.Torpplarを送り込むようになっていたことを伝えるとともに、このような攻撃からPCを保護するために、最新のセキュリティパッチを適用し、ウイルス対策ソフトの定義ファイルを常に最新の状態に保つよう注意を呼び掛けていた。

シマンテックが“国内大手出版社”のサイトに注入されていたのを確認した悪質なiframe(シマンテック公式ブログより画像転載)。そのサイト上で少なくとも3つのファイルが感染していたのを確認したという

 悪用された脆弱性や送り込まれるマルウェアの名称を見る限り、シマンテックが言及していたのは、KADOKAWAのサイトのこととみられる。一方で、シマンテックの報告内容とKADOKAWAの発表では、細かい部分で異なる部分もある。

 例えば、シマンテックは、トップページを含む複数のページにわたってこのiflameが仕掛けられていたと説明しているが、KADOKAWAは改ざんされていたのはトップページの1カ所のみだという。また、改ざんされていた期間についても、シマンテックでは1月6日15時ごろから1月9日夕方としており、重なってはいるが、KADOKAWAの発表よりも長い。

 そこで、この“国内大手出版社”はKADOKAWAのことなのか、編集部でシマンテックに確認したが、「シマンテックからは回答できない」との回答だった。KADOKAWA側も、今回の改ざんは「外部の通報を受けて調査を開始したもの」だとしているが、どうやらシマンテックからではない模様だ。

 いずれにせよ、シマンテックが具体名を伏せたままこのような情報を公表したのは、特にそのサイトのユーザーに注意を呼び掛けるという意図ではなく、セキュリティ一般について啓発するスタンスからだとしている。同社を含めてセキュリティベンダーなどがかねてから指摘しているように、昨今では怪しいサイトにアクセスしなければ安全というものではなく、例えば今回のKADOKAWAもそうだが、普段使っているような一般企業の正規サイトが改ざんされ、マルウェアが仕込まれる事例も多発している。シマンテックでは、通常のウイルス対策に加えて、IPS(侵入防止システム)も搭載したセキュリティソフトを導入すべき状況になっているとしている。

 なお、シマンテックがInfostealer.Torpplarを発見し、ウイルス定義ファイルでの検出に対応したのは“国内大手出版社”の改ざんを発見した後の1月8日だが、シマンテック製品のIPS機能を使っていれば、ウイルス定義ファイルで対応する前でも今回のような攻撃は防御できたという。

【追記 20:10】
 KADOKAWAおよびシマンテックへの電話取材をもとに、大幅に記事を加筆しました。

(永沢 茂)