最近になって、コンテンツを改ざんしてウィルスを仕込んだり、偽のセキュリティソフトを仕込む手法が、再び活発化してきているようです。
参考リンク
・相次ぐWebサイト改ざんに対し、JPCERT/CCが注意喚起 | RBB TODAY
・似非管理者の寂しい夜:JavaScriptの実行コードをねじ込むWeb
ちなみに、次のWindows updateは6月12日です。
少なくとも、この次回 Windows update まではPCのセキュリティをガチガチにしてWebブラウジングするようにしておきましょう。結構やばい状況だと感じています。
予防策と対処方法
大抵の場合、
・ハッキングされたWebサイト上にJavascript(またはiframe)を仕込まれ
・そこから別サイトに飛ばされ
・飛ばされた先に仕込まれたプログラムでFlashまたはJavaの脆弱性を突かれ
・PCにウィルスが侵入してきます。
追記
今回の場合は、Flashオブジェクト内でcrossdomain.xmlを利用し、外部サイトを呼び出す手法が多いようです。Javascript無効にしてても発動する場合が多いです。
- ウイルス対策ソフトをしっかり導入しておきましょう
※と言いつつも、ゼロデイ攻撃(未知のウイルスによる攻撃)に遭った場合はウイルス対策ソフトは無力です。 - Windows UpdateでOSも最新の状態にしておきましょう。
- (重要)Windows Vista/7/8 を利用している場合は、UACを最高レベルにしておきましょう。
- (重要)特に必要ない場合は、JavaアプレットはPCから削除しておきましょう。
- (重要)Flash Player やShockwaveを最新の状態にしておきましょう。
※Flash Player は今週もアップデートがありました。
※Flash Player は当面の間削除しておくのが無難かもしれません
あとアクロバットリーダーも最新の状態にしておきましょう。 - Javascript無効にしてブラウジングするのも一つの手です。
(Flashを悪用したパターンが多いので効果は薄いかも)
感染経路と主な症状
どんな感じでウィルスが侵入してくるの?
以下が詳しいです。
似非管理者の寂しい夜:JavaScriptの実行コードをねじ込むWeb
ウイルス感染するとどうなるの?
私事ですが、去年感染しました
ウイルスに感染するとどうなるの?・・・感染直後からの状況を時系列で紹介
一般的な偽セキュリティツールの被害に遭うと、こんな感じになります。
ちなみに上記のような偽ツールは、感染の発動タイミングを攻撃者が自由に設定できます。「問題のWebサイトを閲覧した30分後に感染」なんて指定も可能です。(つまりドコで感染したか普通のユーザーには判断できない)
感染後の対処方法
偽ツール系のウイルスに感染した場合は、以下の様な対処方法が必要になります
偽セキュリティソフト系のウイルスに感染した場合の駆除方法
ウイルス対策ソフトが対応してくれればOKなんですが、それまで待てない場合は結構面倒です。
サイト運営者向け
・Googleセーフブラウジング診断ページ
・gred 無料のWeb安全チェックサービス
上記のような診断サービスがあります。
サイトの不正改ざんをチェックできるので、一度利用して見ましょう。
(と言いつつも、仮仕込みの段階になっているサイトには反応しない)
※仮仕込み・・・Webサイトのハッキングは終了しているもののウィルスはまだ設置していない段階
余談(これもサイト運営者向け)
余談になりますが、
いくつかのブログパーツの発信元ドメインが失効となったか管理者が変更になったのか・・・ブログサイトを閲覧していると全然関係ないサイトに強制的にジャンプさせられたり、何度もリロードさせられるような現象も多発してます。
これ、更新停止してるサイトに非常に多いパターンです。
サイト運営している人は自サイトだけでなく相互リンク欄なども一度チェックして見ましょう。
(うちのサイトの相互リンク先のGredやGoogleセーフサーチの診断は終了。仮想マシンを使った直接アクセスはこれからやります >_<,)
余談その2
JVN#63901692: Internet Explorer における情報漏えいの脆弱性
IE6~9に脆弱性が発覚し、しかもMicrosoftで修正の予定なし、との事です。
「XMLファイルをローカルで開く」という極めて限定的な状況での脆弱性なので、過度に心配する必要はないのですが、一応注意しておきましょう。
あとがき
数日前からWebブラウジングしててなんか違和感を感じていましたが、あちこち(しかも相当数)のサイトで、Javascriptなどに変なスクリプトが混じっているんじゃないかなあ・・・って感じです。