国内のWebサイト改ざんについて
はじめに
今回は、国内のWebサイトを対象とした改ざん事例について取り上げたいと思います。
今回のテーマである『Webサイトの改ざん』ですが、皆さんどのようなイメージをお持ちでしょうか。
以下の画像に示すような、攻撃者自身の成果を誇示するかのようなページに書き換えられる状況を思い浮かべる方もいらっしゃるのではないでしょうか。
これらは何れも、ここ数日の間に国内のWebサイトで観測された改ざんページですが、実はこのような「ド派手な 」サイト改ざんの場面を目の当たりにすることはあまりなく、最近では珍しいケースであると言えます。
先日、JPCERT/CC が 2019年4月から6月のインシデント報告対応レポートを公表しましたが、正当なサイトが改ざんされるケースは月間数十件、多い時で100件以上に上ることもあるようです。
このレポートで『マルウェアサイト』に分類されるWebサイトでも(今回の対象期間に限っては) 正当なWebサイトが改竄されるケースが多く、国内への通知件数を考慮すると、JPCERT/CCが対応したものだけでも1日当たり2件から5件程度のWebサイトが日々改ざん被害を受けているという状況が継続しているものと推測されます。
冒頭申し上げた通り、ページ自体をガラッと書き換えるようなド派手な改ざんは稀であり、日々発生し続けているWebサイトの改ざんの多くは、目立たない形で行われています。
本記事では、日々発生する国内のWebサイトの改ざん事例をいくつかご紹介したいと思います。
【改ざん事例1】SEOポイズニングによる偽ECサイトへの誘導
当ブログや筆者のツイートでも何度となく偽ECサイトの話題に触れていますが、このようなサイトへの誘導を目的とした改ざんは日常的に発生しています。
偽ECサイトの概要については、昨年公開した以下の記事で纏めていますので、ご参照ください。
偽ECサイトへの誘導は上記記事に記載した通り、SEOポイズニングという手法が用いられます。
正当なWebサイトを巡回する検索エンジンのクローラに虚偽の商品紹介ページを読み込ませ、偽ECサイトへのリンクを検索サイトに掲載させるという手口です。
これにより、商品名による検索で自らが仕込んだ虚偽の商品紹介ページをヒットさせ、偽ECサイトにユーザを誘導しようするものです。
この手の攻撃者が用いる最新の手法について見ていきます。
偽ECサイトへの踏み台が設置されたWebサイトのドメイン名で検索すると以下のような結果が表示されます。
検索サイトのクローラが収集したコンテンツ(キャッシュ)は以下の通りです。
国内のWebサイトに偽ECサイトの踏み台を設置する連中は、Yahoo!ショッピングの文言が記載されたページを好んでクローラに読ませる傾向にあります。
次に、検索結果として表示された偽ECサイトのリンクをクリックしてみます。
検索結果のリンクをクリックしても偽ECサイトに誘導されることはありませんでした。
User-Agentヘッダにスマートフォンのブラウザの情報を設定して再度アクセスしてみます。
javascript を含むレスポンスが返ってきました。
実在しない "/ahoahoman" というパスへのリクエストに対してステータスコード200の応答が返却されていることがわかります。
このjavascriptは、実行時に1秒間の遅延を発生させた上で以下のようなサイトに遷移する仕様になっていました。
いかにも、という造りの偽ECサイトです。
踏み台コンテンツの実体はなく、User-AgentヘッダとReferrerヘッダが条件に一致した場合にのみ、リダイレクト用のレスポンスを返却するという動きが見て取れます。
一番の流入が見込めるスマートフォンからのアクセスのみをターゲットとし、PCからのアクセスや検索サイト外からのアクセスについては偽ECサイトに誘導しないという方法により、検知を回避しようとしているのではないかと思われます。
数カ月前は、偽ECサイトに誘導する phpファイルを設置するケースが目立っていました。
このphpでは、ブランド名をパラメータとして受け付けることで該当のブランドに対応した偽ECサイトにリダイレクトする処理が実装されていました。
このケースについては、以下のツイートに概要を記載しています。
偽サイトへの誘導を狙ったSEOポイズニングに関して、phpファイルからのリダイレクトが行われるパターンが多い傾向にあるようなので、少し調べてみました。
— tike (@tiketiketikeke) February 25, 2019
このphpファイルはパラメータが統一されていて、
xxx.php?b=ブランドを示す文字列&url=ランダムな文字列
という形式を持ちます。
(続く) pic.twitter.com/ZAbKlDBRXE
この手法ではphpのパラメータに固定値が含まれていたため、いくつかのセキュリティ製品が悪性の通信として検知するようになりました。
その影響もあってか、この形式での新たな改ざんは見かけなくなったような気がします。
【改ざん事例2】SEOポイズニングによる詐欺広告への誘導
こちらもSEOポイズニングですが、複数言語に対応した踏み台コンテンツを設置し、ユーザを詐欺広告に誘導しようとするものです。偽ECほど大量ではないものの頻繁に目にします。
詐欺広告への踏み台が設置されたWebサイトのドメイン名で検索すると以下のような結果が表示されます。
検索サイトのクローラが収集したコンテンツ(キャッシュ)を見てみると、複数の言語が脈略なく記載されており、各国の言語で検索にヒットするよう構成されているようです。
(英語)
(中国語)
(ロシア語)
(ペルシャ語)
(スウェーデン語)
検索結果のリンクは何れもphpファイルとなっており、リダイレクトによりユーザを外部のWebサイトに強制的に誘導するというものでした。
最初の誘導先は 5.45.79[.]15 であり、次いで ilo134ulih[.]com 、click.dtiserv2.com と順にリダイレクトが行われ、最終的にはアダルトサイト、ゲームサイト、ブラウザ拡張のダウンロードサイトなど様々なWebサイトに誘導されます。
中には、以下のような悪意ある誘導先も含まれます。
【改ざん事例3】マルウェア設置
2019年5月はマルウェア Emotet の設置を目的とした国内のWebサイトの改ざんが相次ぎました。
当方が把握しているだけでも、1カ月に100件以上のWebサイトにEmotetが設置されていることが確認できました。
冒頭で触れた JPCERT/CC のレポートからも、2019年5月のマルウェアサイトの件数が突出して多かったことが見て取れます。
https://www.jpcert.or.jp/pr/2019/IR_Report20190711.pdf
上記JPCERT/CCのレポートに、Webサイト改ざんによるEmotetの設置について記載されていますので、ご参照頂ければと思います。
なお、このマルウェア設置サイトの中には、事例1、事例2に記載した手法で既に改ざんされていたというWebサイトが複数あったことを書き加えておきます。
その他の改ざん事例
頻繁に発生するものではありませんが、その他のWebサイト改ざん事例を記載します。
- ECサイトからのカード情報詐取を目的とした改ざん
カード情報の詐取を目的としたECサイトの改ざん事例が度々報じられています。
カード情報を入力するフォームにスクリプトが挿入され、入力情報が秘密裏に外部のサーバに送信されるという事例と合わせて、最近ではカード情報の非保持化に対応して、決済代行事業者のサイトに遷移する際に偽の入力フォームが配置されたサーバにユーザを誘導するというケースもあるようです。
徳丸先生のブログに改ざん事例が紹介されていますので、ご参照下さい。
- フィッシングサイト設置
Webサイトが改竄され、フィッシングサイトが設置されるという事例もあります。
国内の正当なWebサイトに設置されたフィッシングサイトのキャプチャを2件掲載します。
まとめ
今回は、日々発生し続ける国内Webサイトの改ざん事例をご紹介しました。
このような被害を受けないための対策として、脆弱性対策や認証の強化、WAF、改ざん検知システムの導入などが挙げられますが、コストやリソースの関係で難しい場合もあると思います。
今すぐには対応が難しいという場合には「万が一自組織のWebサイトが改ざんされた場合にどうするか」という観点で事前準備を進めることをお勧めします。
万が一「あなたのWebサイトが改ざんされていますよ」と連絡を受けた場合に対応できるよう、事前に手順を整備したり、外部からの連絡を受けることができる体制を整える等、コストをかけずに対応できることはあるはずです。
また、改ざんの事実をいち早くキャッチするために、日次でGoogle等の検索サイトで自サイトをチェックする、もしくは自身の目でWebサイトを閲覧してみる(スマホ、PC双方で)といったこともコストをかけずにできる対応の一つではないかと思います。
Googleの検索欄に[site:自サイトのドメイン]を入力し、直近24時間に更新されたコンテンツを検索すると、できたてホヤホヤの不正コンテンツが発見できる可能性があります。
また、マルウェアが設置されたサイトの情報が検索できる場として、URLhaus があります。
ドメイン名によるマルウェア設置サイトの検索が可能ですので、自サイトの日々のチェックに活用してみては如何でしょうか。
最後までご覧いただきありがとうございました。
以上
更新履歴
| 2019年7月21日 | 初版作成 |
