「osCommerce」の脆弱性を利用したウェブサイトの改ざん被害が拡大 セキュアブレインが『gred セキュリティサービス』『gredでチェック』で対応

「Lizamoon攻撃」に酷似した「osCommerce攻撃」

2011年4月上旬に当社のブログで、「Lizamoon攻撃」という新しい改ざん攻撃の報告を行いましたが、2011年8月になり、この「Lizamoon攻撃」に酷似した新たな攻撃「osCommerce攻撃」を検知しました。

「Lizamoon攻撃」では、正規ウェブサイトの「titleタグ」の間に以下に示す不正なコードを埋め込み、ウェブサイトの閲覧者や管理人に改ざんを発見させない テクニックが利用されていました。

【埋め込まれた不正なコード「Lizamoon」の例】

「osCommerce攻撃」の概要

「osCommerce攻撃」では、改ざんされる箇所が「Lizamoon攻撃」同様、「titleタグ」の間に以下のような不正なコードを埋め込みます。また、「Lizamoon攻撃」は「scriptタグ」を利用するのに対し、新しい攻撃では「iframeタグ」も利用し、誘導するURLも異なります。

【「iframeタグ」を利用して埋め込まれた（インジェクションされた）不正なコードの例】

【「scriptタグ」を利用して埋め込まれた（インジェクションされた）不正なコードの例】

【上記の不正なコードから誘導されるURLの例】

刻々と変化する改ざんコード

既に改ざんが行われたウェブサイトにおいて、再び別のコードが埋め込まれる事例も確認されています。
不正なコードが埋めこまれても、ウェブコンテンツのソースを確認しない限り、改ざんされたことはわかりません。
しかし、ウェブサイトの管理者が、すべてのコンテンツを確認することは事実上不可能です。

【新たに確認された不正なコードの例】

改ざんされたウェブサイトから、マルウェア等の不正プログラムを配布している「危険なウェブサイト」への誘導、また「フィッシング詐欺サイト」や「ワンクリック詐欺サイト」等のインターネット詐欺への悪用により個人情報漏えい等の直接的な被害が発生する可能性があります。
また、企業ウェブサイトが改ざんされたまま放置されている事は、その企業の信頼性にも悪影響を及ぼします。
ウェブサイトの運営者、利用者の双方が十分に注意することが必要です。

解説　セキュアブレイン先端技術研究所 神薗雅紀

ウェブサイトの改ざんの有無を定期的に監視する「gredセキュリティサービス」無償トライアル版を提供中

当社では「ウェブサイトにおける改ざんの有無」を短時間でチェックすると同時に、定期監視のサービスを提供する、SaaS型セキュリティサービス「gred セキュリティサービス」を提供しています。
「osCommerce攻撃」の被害が増加傾向にある中、自社のウェブサイトの改ざんの有無を短時間で確認することが可能です。
「gred セキュリティサービス」を利用すれば、企業のウェブサイトが不正に改ざんされていないかを定期的に監視し、問題が発見された場合には、即座に管理者に通知します。
SaaS型サービスですので、新たなソフトウェアのインストールや機器の購入は不要です。チェック対象のURLをお知らせいただくだけで、すぐにサービスを開始することが可能です。

■「gredセキュリティサービス」無償トライアルお申込みURL
https://www.securebrain.co.jp/products/gred/trial.html

■「gredセキュリティサービス」の機能詳細説明URL
https://www.securebrain.co.jp/products/gred/function.html

以上

ニュースリリース 印刷用 (PDF 208KB)