時事セキュリティが5分でわかる 第1回

CDNサービスのサーバー改ざんによる被害――その要点と対策は？

新連載！　時事セキュリティが5分でわかる

「ダウンロードサイトのウイルス混入報告に関する訂正とお詫び」（被害を受けたwebサイトより）

最終的にはユーザーのネットバンキングを狙う攻撃

　5月下旬に複数のWebサイトで見つかった、アクセスしたユーザーをウイルスに感染させてしまう攻撃。韓国企業が保有するコンテンツ・デリバリー・ネットワーク（CDN）サービスで使うサーバーが不正に改ざんされたことによるもので、5月24日から28日にかけて被害の報告が挙がっていた。

　これを受けて、同社の日本法人は6月3日、CDNの利用者が使うコンテンツのアップロードサービスを悪用され、サーバーを改ざんされたと公表した。

　被害を受けたのは、大手ブログサービス、旅行会社の予約サイト、PC周辺機器メーカーのダウンロードサービスなどだ。

　感染するウイルスは、一般的にトロイの木馬と呼ばれるもの。ネットバンキングにアクセスすると、ログイン情報やパスワードなどが不正に取得されてしまう。最悪の場合、不正送金されるおそれもある。

　今回の事件で注目すべきポイントは2つある。

　1つ目は、まったく関連のないWebサイトが次々と被害を受けたこと。これまで、個別のWebサイトが不正に改ざんされるという被害は珍しいものではなかった。しかし今回は、CDNの根幹となるサーバーが改ざんされたため、サービスを利用していたサイトの多くが影響を受けたおそれがあるのだ。

　件のサーバーは、日本国内では著名なウェブサービスが多数利用している。被害を公表しているサイト以外にも、影響を受けたWebサイトが存在する可能性もある。

　もう1つは、JavaScriptが改ざんされ、外部のWebサイトへ接続されるようになっていたケースと、ダウンロード提供するサーバーのコンテンツが改ざんされていたケースの2例が存在すること。両者は被害の内容が微妙に違い、サーバー全体で同一の被害を受けていたのか、そうではないのか、真相がまだはっきりしていないのだ。

ユーザーができる対策はウイルススキャンと
ネットバンキングのパスワード変更

ITジャーナリストの三上洋氏

　では、該当のサイトを閲覧した、あるいはファイルをダウンロードした人はどうすればよいのか。ITジャーナリストの三上洋氏は、ウイルス定義ファイルを最新バージョンにした上でスキャンすることを勧める一方、「（スキャンは）マストではあるが、万全ではない」と話す。

　今回のトロイの木馬は、侵入先のコンピューターでバックドアを開くタイプだ。コンピューター内で形を変えて、1つ1つオリジナルになってしまう。よって、他のPCで動作しなくなる、検証が難しくなるというケースもある。

　このウイルスは感染することで、ネットバンキングで銀行のサイトを開くと、偽のポップアップを出して情報を盗み取ろうとする。ポップアップのデザインでは区別が難しいが、パスワード、秘密の質問、乱数表などを“全入力“を求めている場合、不正に取得しようとしている可能性が高い。

　よって、ウイルスの駆除だけではなく、ネットバンキングのパスワードを変更する必要もあるだろう。三上氏によれば、「できればワンタイムパスワードが望ましい」とのことだ。

“明確に日本を狙う攻撃”が急増の恐れ

　さらに三上氏は、今回被害を受けたサイトを閲覧しているユーザーには、比較的ネットリテラシーが低く、しっかりとしたウイルス対策を講じていない層が多いのでは、と分析する。そのため、既にウイルスに感染していながら、まだ事態に気付いていないユーザーがいることも予想されるため、今後、実被害が増えてくるのではと語る。

　今回はAdobe Flash Playerの脆弱性を突くトロイの木馬だが、この脆弱性を狙うマルウェアは、いまや9割以上が日本を標的としているものだという。「今後、日本を狙った攻撃がますます増えていく可能性は高い」と、三上氏は警鐘を鳴らしている。