「osCommerce」の脆弱性を利用したウェブサイトの改ざん被害が拡大 セキュアブレインが『gred セキュリティサービス』『gredでチェック』で対応

このプレスリリースに記載されている情報(価格、仕様、サービスの内容、発売日、お問い合わせ先、URLなど)は、発表時点のものです。最新の情報につきましては、こちらのお問い合わせ先にご確認ください。


2011年8月10日

報道関係各位

「osCommerce」の脆弱性を利用したウェブサイトの改ざん被害が拡大セキュアブレインが『gred セキュリティサービス』『gredでチェック』で対応

 株式会社セキュアブレイン(本社:東京都千代田区、代表取締役社長 兼 CEO:成田 明彦、以下「セキュアブレイン」)は、「osCommerce」 の脆弱性を利用したウェブサイト改ざん被害報告の増加を受け、注意喚起を行うと共にセキュアブレインの「gred(グレッド) セキュリティサービス(以下 「gred セキュリティサービス」)」(製品紹介ページ:  http://www.securebrain.co.jp/products/gred/index.html)、「gred(グレッド) でチェック(以下 「gred でチェック」)」(サービス提供ページ: http://gred.jp/)で改ざんされたウェブサイトを検知できることを確認しました。

 セキュアブレインの先端技術研究所が調査した、「『osCommerce』の脆弱性を利用したウェブサイトの改ざん攻撃」(以下「osCommerce攻撃」)の概要は以下の通りです。

※「osCommerce」とは、オープンソースの E-Commerce ソリューションの名称です。


    「Lizamoon攻撃」に酷似した「osCommerce攻撃」

    2011年4月上旬に当社のブログで、「Lizamoon攻撃」という新しい改ざん攻撃の報告を行いましたが、2011年8月になり、この「Lizamoon攻撃」に酷似した新たな攻撃「osCommerce攻撃」を検知しました。

    「Lizamoon攻撃」では、正規ウェブサイトの「titleタグ」の間に以下に示す不正なコードを埋め込み、ウェブサイトの閲覧者や管理人に改ざんを発見させない テクニックが利用されていました。



    【埋め込まれた不正なコード「Lizamoon」の例】

    code_1.jpg


    「osCommerce攻撃」の概要

    「osCommerce攻撃」では、改ざんされる箇所が「Lizamoon攻撃」同様、「titleタグ」の間に以下のような不正なコードを埋め込みます。また、「Lizamoon攻撃」は「scriptタグ」を利用するのに対し、新しい攻撃では「iframeタグ」も利用し、誘導するURLも異なります。



    【「iframeタグ」を利用して埋め込まれた(インジェクションされた)不正なコードの例】

    code_2.jpg


    【「scriptタグ」を利用して埋め込まれた(インジェクションされた)不正なコードの例】

    code_3.jpg


    【上記の不正なコードから誘導されるURLの例】

    code_4.jpg


    刻々と変化する改ざんコード

    既に改ざんが行われたウェブサイトにおいて、再び別のコードが埋め込まれる事例も確認されています。
    不正なコードが埋めこまれても、ウェブコンテンツのソースを確認しない限り、改ざんされたことはわかりません。
    しかし、ウェブサイトの管理者が、すべてのコンテンツを確認することは事実上不可能です。



    【新たに確認された不正なコードの例】

    code_5.jpg


    改ざんされたウェブサイトから、マルウェア等の不正プログラムを配布している「危険なウェブサイト」への誘導、また「フィッシング詐欺サイト」や「ワンクリック詐欺サイト」等のインターネット詐欺への悪用により個人情報漏えい等の直接的な被害が発生する可能性があります。
    また、企業ウェブサイトが改ざんされたまま放置されている事は、その企業の信頼性にも悪影響を及ぼします。
    ウェブサイトの運営者、利用者の双方が十分に注意することが必要です。



    解説 セキュアブレイン先端技術研究所 神薗雅紀



    ウェブサイトの改ざんの有無を定期的に監視する「gredセキュリティサービス」無償トライアル版を提供中

    当社では「ウェブサイトにおける改ざんの有無」を短時間でチェックすると同時に、定期監視のサービスを提供する、SaaS型セキュリティサービス「gred セキュリティサービス」を提供しています。
    「osCommerce攻撃」の被害が増加傾向にある中、自社のウェブサイトの改ざんの有無を短時間で確認することが可能です。
    「gred セキュリティサービス」を利用すれば、企業のウェブサイトが不正に改ざんされていないかを定期的に監視し、問題が発見された場合には、即座に管理者に通知します。
    SaaS型サービスですので、新たなソフトウェアのインストールや機器の購入は不要です。チェック対象のURLをお知らせいただくだけで、すぐにサービスを開始することが可能です。



    ■「gredセキュリティサービス」無償トライアルお申込みURL
    http://www.securebrain.co.jp/products/gred/trial.html

    ■「gredセキュリティサービス」の機能詳細説明URL
    http://www.securebrain.co.jp/products/gred/function.html



    以上

    PDFアイコン ニュースリリース 印刷用 (PDF 208KB)

    セキュアブレインについて

    株式会社セキュアブレインは、インターネット上の脅威が多様化する中、「より快適で安心できるネットワーク社会を実現するために、一歩 進んだ技術で貢献する」というビジョンのもと、信頼性の高いセキュリティ情報と高品質なセキュリティ製品・サービスを提供する日本発のセキュリティの専 門企業です。詳細は、www.securebrain.co.jp をご覧ください。

    本件に関する報道関係者さまからのお問い合わせ先

    株式会社セキュアブレイン 広報担当:丸山 芳生(まるやま よしお)

    info@securebrain.co.jp
    電話:03-3234-3001 、FAX:03-3234-3002   〒102-0083 東京都千代田区麹町2-6-7麹町RKビル 4F