Digital Arts Security Reports

2019/03/18    i-FILTER,改ざんサイト

改竄(改ざん)されたWebサイトの危険性②

デジタルアーツでは、日々様々なWebサイトについて調査・収集を行っています。世界には多種多様なWebサイトが存在しますが、その中にはサイバー犯罪者に侵入・改ざんされた結果、Webサイト管理者の意図しない挙動をしていると思われるものが多数存在しています。改ざんされた履歴を持つWebサイトは脆弱であることを露呈しており、いわば「穴が空いている状態」で非常に危険です。管理者の気づかないところで様々なサイバー攻撃に利用されている可能性があります。

【図1】Webサイトで起こるトラブル
【図1】Webサイトで起こるトラブル

本記事では弊社で実際に確認したWebサイトの中から、「改ざんされたWebサイトの危険性」の一端をお伝えします。(※以後、改ざんされたWebサイト=改ざんサイトと呼びます)

前回の「改竄(改ざん)されたWebサイトの危険性①」に引き続き、別の改ざんサイトを紹介します。

こちらのきっかけは、とあるWebサイトが「不審なファイルがダウンロードされる状態になっている」との報告をSNSでキャッチしたことでした。
調査の結果、ブログとして利用されていたこのWebサイトは、改ざんされ複数の攻撃の手口が使われていることが判明しました。

④ランサムウェアの配布

SNSで報告されていたURLは以下のようなものでした。

hxxp://●●●●●●/wp-content/Scan0103[.]zip

このURLはランサムウェアの配布・感染を目的としていたと考えられます。当該URLからダウンロードしたzipファイルを展開すると、拡張子「.scr」というファイルが含まれていました。実行させた結果、ロシア語・英語にてデスクトップ画面に大きく警告メッセージが表示され、PCのファイルが暗号化されてしまいました。暗号化されたファイルは「.crypted000007」という見慣れない拡張子が利用されており、これは「Troldesh」「Shade」とよばれる種類のランサムウェアの持つ特徴です。

【図5】暗号化後にデスクトップ画面に表示されるメッセージ
【図5】暗号化後にデスクトップ画面に表示される
メッセージ
【図6】暗号化されたファイル名と、独特の拡張子
【図6】暗号化されたファイル名と、独特の拡張子
【図7】README.txt内のメッセージ(※英語部分)
【図7】README.txt内のメッセージ(※英語部分)

警告メッセージにも書かれているREADME.txtには、犯人によるメッセージがロシア語と英語で書かれており、「暗号を解除したければ、解読用コードを記載してメール」するよう促されます。その後はどのようなやり取りがされるのかは不明ですが、金銭(身代金)の要求が考えられます。

どのような経路でこのURLへと被害者を誘導していたのかまでは突き止められていませんが、よく使われる経路として以下のようなものがあります。

  • 迷惑メールに添付されているファイルの実行後の通信先のURL
  • 迷惑メールに記載されているリンクのURL
  • Webサイト閲覧時に勝手にダウンロードさせられる(「ドライブ・バイ・ダウンロード」)

⑤クリプトジャッキング

さらに調査を進めていくと、クリプトジャッキングも確認されました。クリプトジャッキングとは、主に悪意の第三者が正規サイトに勝手にコードを埋め込むなどによって不正に仮想通貨マイニングを実施することを指します。

当該Webサイトでは</html>よりも外側の部分に、不審なJavaScriptが記述されていました。

【図8】改ざんサイトに記述されていたコード
【図8】改ざんサイトに記述されていたコード

改ざんサイトにアクセスすると、JavaScriptに記述されているURLへとアクセスが発生します。URL自体は/lib/stats.jsとなっており、一見するとWebサイトを構成するURLのひとつのように思えます。しかし、中身は以下1行のみ記述がされていました。

【図9】hxxp://siteverification[.]online/lib/stats.jsに記述されていたコード
【図9】hxxp://siteverification[.]online/lib/stats.jsに記述されていたコード

これによって、記述されているURLへとアクセスします。アクセス先には仮想通貨マイニング用のJavaScriptの記述がありました。これは訪問者のPCのCPU処理能力を利用して、仮想通貨をマイニングできるようにするコードです。

【図10】hxxp://siteverification[.]online/に記述されていたコード
【図10】hxxp://siteverification[.]online/に記述されていたコード

攻撃者はこのようにして、Webサイトの管理者にもWebサイトの管理者にも訪問者にも気付かせないように、仮想通貨マイニングを実施させていました。

⑥不審なコンテンツページを表示・リダイレクト

また、ChromeおよびFirefoxでアクセスした際に、元のWebサイトとは別の不審なコンテンツが表示(リダイレクト)されることも確認しました。

【図11】Chromeでのアクセス。リダイレクト後、いわゆる「当選詐欺サイト」が表示された。
【図11】Chromeでのアクセス。リダイレクト後、いわゆる「当選詐欺サイト」が表示された。
【図12】Firefoxでのアクセス。フォントが見つからないという旨の警告表示がされ、その後不審なjsファイルがダウンロードされた。
【図12】Firefoxでのアクセス。フォントが見つからないという旨の警告表示がされ、
その後不審なjsファイルがダウンロードされた。

⑦Webスパムリンクでの利用

外国語圏でのスパムリンクのURLとしても利用されていた形跡があります。どのようなものかというと、他のWebサイト内に下図のようにリンクとして利用され、踏み台(リダイレクタ)としてその後は別のWebサイトに誘導していたと思われます。確認時にはすでに非アクティブ状態であったため未確認ですが、出会い系サイトの可能性が非常に高いです。

【図13】他のWebサイトに記載されていた、改ざんサイトのドメインを用いたURLリンク
【図13】他のWebサイトに記載されていた、改ざんサイトのドメインを用いたURLリンク
IoC(Indicator of Compromise)

Domain/IP

  • siteverification[.]online

HASH

    Scan0103.zip:3d5734fd19944e1ebfac14b3958813467c3f24050ba5fc957d71cb26ef619917

    Scan0103.scr:f97bbba6e3248f8c437c85b0a16bbbac66f0102b7bde561348bf69b85e285c38

    ttf.js:746e1752ec96af6e3d014fef5feb9fbc1d95b00eec164c286968db29890403cc

デジタルアーツでは

デジタルアーツでは、無償の情報提供サービス「Dアラート」にて弊社製品を利用している・いないに関わらず、改ざんサイトの管理者に対して注意喚起を行っています。同時に、悪意のあるURLは当然ながら、改ざんサイトのURLも「i-FILTER」Ver.10にて[脅威情報サイト]カテゴリでフィルターデータベース配信され、ユーザーを危険な状態のサイトにアクセスしてしまうことから防ぎます。

参考情報

本記事で紹介したものは氷山の一角であり、他にも多くの攻撃手口が存在しています。Webサイトの管理者は、安全なWebサイトの構築や運用に関してIPAなどにより指針が示されていますので、今一度、Webサイトのセキュリティをご確認ください。

  1. Digital Arts Security Reports をダウンロード

「改竄(改ざん)されたWebサイトの危険性①②」の統合版です。
ダウンロードにはお客様情報の入力が必要となります。

<関連リンク>

受信したすべてのメールを開け、アクセスしたいWebをクリックできる。情報システム部門の運用負荷も削減できる。デジタルアーツの「ホワイト運用」がセキュアな世界を実現します。

サイバーリスク情報提供「Dアラート」は「i-FILTER」Ver.10、「m-FILTER」Ver.5、「i-FILTER@Cloud」「m-FILTER@Cloud」の機能を利用して、マルウェア感染の疑いのあるお客様や弊社のお客様以外へも感染情報やホームページの改ざん情報をお知らせする、無償の情報提供サービスです。