2008年12月22日

報道関係各位

株式会社ラック

【緊急注意喚起】改ざんされたWebサイト閲覧による組織内へのボット潜入被害について[12/24更新]

株式会社ラック（本社：東京都港区、代表取締役社長：齋藤理、以下ラック）のセキュリティ監視センターJSOC（Japan Security Operation Center）とコンピュータセキュリティ研究所では、以前から多発しているSQLインジェクションによるWebサイトの改ざん行為が2008年12月15日より再び爆発的な増加を検知し、同時に、同行為により改ざんされた多数の日本のWebサイトを確認しております。さらに、12月19日以降、閲覧したことが原因と見られるボット（不正プログラム）が、組織内に潜入するという被害の急増も確認しております。

（クリックで拡大）

今回の改ざん内容

1. 改ざんにより誘導されるサイト
   s.cawjb.com
   s1.cawjb.com
   jpdog.3322.org
   jpsb.meibu.com
   ※ 決してアクセスしないでください。
2. 改ざんの確認方法
   IIS/ASP/SQLサーバにて開発を行っているサイトは、データベースのカラム内に、上記サイトなどへの誘導スクリプトやiframeタグが埋め込まれていないかを検索します。SQLサーバの文字列カラムに不正なタグが更新されていないかを確認する方法は、2008年8月6日に発表したDBSLレポート「緊急対応から見たWebサイト用データベースセキュリティ対策～継続するSQLインジェクションの脅威～」の8ページ「データベースを確認する」の項目を参考にしてください。
   ◎DBSLレポート：http://www.lac.co.jp/info/rrics_report/pdf/20080806_dbslreport.pdf
3. 改ざんが確認されたサイトでの対策
   ①サイト利用者に不正プログラムを感染させる恐れがあるため、動的ページの表示を止めて被害拡大防止をはかります。
   ②外部からのASPファイルへのアクセスを止め、新たな攻撃を受けないようにします。
   ③ログやディスクを解析し、原因究明をはかると共に、関連した他の被害が出ていないかどうかの確認を行います。（WebサーバへのバックドアやDBサーバへのルートキットなどの調査を含む）
   ④再開プロセスは、以下のとおりです。
   
   （1） データベースに埋め込まれた誘導スクリプトなどをすべてクリーニングします。
   （2） 欠陥のあるWebプログラムを修正し、確認する。もしくはWAF（Web Application Firewall）などを導入するか、データベース側で対応するなどの欠陥が発露しない方策を採ります。
   （3） バックドアやルートキットなどが埋め込まれている可能性がある場合は対策を取ります。
   （4） 被害状況により、利用者・取引先・関係機関・メディアなどとのコミュニケーションをはかります。

改ざんされたWebサイトを閲覧すると送り込まれる不正プログラム

1. 悪用されている脆弱性
   MS06-014、MS08-078、Adobe Flash Playerが確認できています。
2. 不正プログラムの動作
   まず、上記の脆弱性が存在すると、ダウンローダが動作して別の不正プログラム【1】への感染を試みます。【1】に感染すると、ネットワークゲームのアカウント情報の詐取、インターネット上の他のサイトへSQLインジェクションによる攻撃などを実施します。
3. 攻撃対象
   攻撃対象の検索には、検索サイト「百度」（http://www.baidu.jp/）が使用されています。ランダムに生成したと思われる漢字２文字を含むページ（IIS/ASPで開発されたASPプログラムにより生成）を対象としています。
4. 感染するウイルスの名前
   ダウンローダは、トレンドマイクロ社の検出パターンファイル5.725.00において「TROJ_AGENT.AGTU」として検知できます。
   http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FAGENT%2EAGTU
   なお、以下の「ウイルストータル」サイトで、各ウイルス対策ソフトでダウンローダがどのように検知されるかを確認できます。2008年12月19日時点では、未対応のウイルス対策ソフトが存在するため、注意が必要です。
   http://www.virustotal.com/jp/analisis/8843b3a697f3342fbd8616ea98449c2e
5. 不正プログラムの影響
   ダウンローダによって感染する不正プログラム【1】は、アクセスする時刻によってアップデートが行われ、別の不正プログラムに変化することが確認されています。そのため影響範囲がはっきりしませんが、ネットワークゲームのアカウント情報の詐取、インターネット上の他サイトへの攻撃、組織内部の他の機器への感染活動、外部から制御されることにより組織内の情報詐取などが予想されます。
   当社が確認した不正プログラム【1】は、トレンドマイクロ社の検出パターンファイル5.725.00では「TSPY_ONLING.HI」として検知できます。
   http://www.trendmicro.co.jp/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FONLING%2EHI
   ただし、前述のとおりアクセスする時刻によってアップデートが行われるため、必ずしも検知できない場合があるので注意が必要です。
6. 感染しているかどうかの発見方法
   ダウンロードされるすべての不正プログラムを検出する方法は現時点では不明です。
   一方、間接的な方法となりますが、不正プログラムの活動を監視することで、例として以下のような方法で存在を推測することが可能です。
   ①外部への感染活動を行うことが確認できているため、外部サイトへのSQLインジェクション攻撃を検出する。
   ②検索サイト「百度」（http://www.baidu.jp/）へのアクセスを検出し対応を行う。
   ③内部ネットワークから外部への不審なアクセスを検出あるいは制限を行う。
7. 駆除方法
   万一、感染が確認できた場合、ウイルス対策ソフトで対応できる不正プログラムは、当社で確認できているものだけです。アップデートされた不正プログラムに関しては不明です。
   すべての不正プログラム除去を行いたい場合は、機器の初期化からの再インストールを実施するか、専門機関に相談することをお勧めいたします。
8. 関係機関とのコミュニケーション
   被害内容によりタイムリーに関係機関との適切なコミュニケーションをはかることは重要です。

この緊急注意喚起に沿って、組織内にボットが潜入していないかを確認し、迅速な対応を取られることを強く願っています。

以上

【株式会社ラックについて】
株式会社ラックは、いち早くネットワーク社会の到来を予測して1986年9月3日に設立されました。セキュリティソリューション分野でのリーディングカンパニーとして、「コンピュータセキュリティ研究所（CSL）」、「データベースセキュリティ研究所（DBSL）」、「セキュリティオペレーション研究所（SOL）」にてセキュリティに関する情報を日々、蓄積・分析・検証を行い、リモート監視センターJSOCにて顧客システムの24時間365日のセキュリティ監視・分析を行っています。また、常に先進のセキュリティテクノロジーを活用し、官公庁・企業・団体等のお客様にセキュリティソリューションサービスを提供しています。

【JSOC（Japan Security Operation Center） <ジェイソック>について】
JSOCは、ラックが運営する情報セキュリティに関するオペレーションセンターです。高度な分析システムや業界屈指の堅牢な設備を誇り、24時間365日運営され、高度な技術者を配置しています。ラックのセキュリティサービスの実績は、2000年の九州・沖縄サミットの運用・監視を皮切りに、日本の各分野でのトップ企業などを中心に、最高レベルのセキュリティが要求されるお客様にその最高品質のサービスを提供しています。

【報道機関からのお問い合わせ先】
株式会社ラック　事業推進統括部　マーケティング部
Tel: 03-5537-2615　E-mail: marketing@lac.co.jp

【お客様からのお問い合わせ先】
以下のページからお問い合わせください。
http://www.lac.co.jp/contactus.html