Digital Arts Security Reports

2019/06/13   
改ざんサイト    偽警告    偽当選    i-FILTER    i-フィルター   

正規のWebサイトを改ざんし偽警告や偽当選サイトへ誘導する攻撃を確認

Webサイトを閲覧していて下の画像のような画面が表示された経験はありませんか?

【図1】ウイルスが検出されたと不安を煽る
【図1】ウイルスが検出されたと不安を煽る
【図2】何かに当選したので賞品がもらえるというような内容
【図2】何かに当選したので賞品がもらえるというような内容

【図1】のようなものは「偽警告」や「Fake Alert」などと呼ばれ、【図2】のようなものは「偽当選サイト」「当選詐欺」などと呼ばれています。これらの攻撃は新しいものではなく、数年前から継続して観測されています。不安を煽ったり幸運を装うなどして閲覧者を騙し、言われるがまま進んでしまうと「ソフトウエアの購入やインストール」「クレジットカード情報の窃取」などの被害に遭ってしまいます。

さて、そもそも「偽警告」や「偽当選サイト」が表示されてしまう原因にはどのようなものがあるでしょうか。どちらも共通して以下が挙げられます。

  • 閲覧したWebサイトの「広告」に不正なものが紛れ込んだことによるもの
  • 閲覧したWebサイトが「改ざん」されたことによるもの

改ざんサイトから「偽警告」「偽当選サイト」に誘導

デジタルアーツでは、Webサイトが「改ざん」されたことによりこれらの迷惑なページへと誘導される攻撃を確認しました。以前にも、改ざんの実例を交えてその危険性について2度にわたってお伝えしましたが、今回は別の改ざんの手口についてご紹介します(※以後、改ざんされたWebサイト=改ざんサイトと呼びます)。

アクセス分析をしていると、複数の正規のWebサイトを起点に、不審なURL「hxxp://193[.]238[.]46[.]6/mRPPzC」へと遷移していることを発見しました。

1. 改ざんサイトに挿入された不審なJavaScript

起点となっているWebサイトのソースコードを確認しても、上記の不審なURLはすぐには発見できません。しかし、共通する不審なJavaScriptが記述されていました【図3】。このコードは少し難読化がされていますので、見やすいように解除してみます。すると【図4】のようになります。

【図3】不審なJavaScript
【図3】不審なJavaScript
【図4】難読化部分を可視化
【図4】難読化部分を可視化

このJavaScriptが記述されているWebサイトにアクセスをすると、自動的に「hxxp://193[.]238[.]46[.]6/mRPPzC」へとリダイレクトさせられることがわかりました。

2. 「hxxp://193[.]238[.]46[.]6/mRPPzC」について

ここにもさらに次のURLへとリダイレクトするJavaScriptが記述されていますが、cookieによって異なるレスポンスを返す仕組みになっていることもわかりました。初回アクセス時と2回目アクセス時では記述されているURLの部分が異なっています。

【図5】初回アクセス
【図5】初回アクセス
【図6】2回目アクセス
【図6】2回目アクセス

また、3回目アクセス以後は404エラーを返されてしまいます。解析避けか別の理由があるのかは不明ですが、時期により記述されているそれぞれのURLが変更されるなど、条件により異なる結果を返しています。

もうひとつ、調査をしていて気になった点はUser-Agentに「curl」という文字列が含まれていると、どんな場合でも必ず404エラーを返すようになっていることです。

3. どこに誘導されるのか

2.のURL以後は、まずJavaScriptに記述されたURLへとリダイレクトさせられます。このような表示がされました。

【図7】 hxxp://193[.]238[.]46[.]6/mRPPzC の後にリダイレクトするURLページ
【図8】 hxxp://193[.]238[.]46[.]6/mRPPzC の後にリダイレクトするURLページ

【図7 - 8】 hxxp://193[.]238[.]46[.]6/mRPPzC の後にリダイレクトするURLページ

何かを許可(Allow)をするよう求めるようなメッセージが表示されます。ブロックボタンを押しても延々と同じページ表示が繰り返されます。また、勝手に全画面表示(Webブラウザーのメニューなどが隠された状態)にさせられたりもします。許可をしてしまうとさらに別のページへとリダイレクトさせられます。場合によっては、許可を押さずブロックをし続けたにも関わらず別のページへとリダイレクトさせられたことも確認しています。リダイレクトは繰り返し発生し、誘導された先も何種類も確認しています。そのうちの一部が以下のようなものです。

【図9】パソコンでもスマートフォンでも似たようなページへと誘導される
【図10】パソコンでもスマートフォンでも似たようなページへと誘導される
【図11】パソコンでもスマートフォンでも似たようなページへと誘導される
【図12】パソコンでもスマートフォンでも似たようなページへと誘導される
【図13】パソコンでもスマートフォンでも似たようなページへと誘導される

【図9 - 13】パソコンでもスマートフォンでも似たようなページへと誘導される

Webサイトの脆弱性を突かれたり、セキュリティの弱い部分を狙われたことにより、悪意の第三者によって改ざんされたと考えられます。正規のWebサイトが改ざんされたことにより、そのWebサイトを閲覧した人が「偽警告」「偽当選サイト」などへと誘導されることがわかりました。

東京オリンピックを思わせる文字列を含む不審なドメイン

2020年の開催を控えた東京オリンピック。その文字列(「tokyo」や「2020」など)を含んだドメインのWebサイトにて、偽警告など様々なページへとリダイレクトするものも確認しました。

japan-2020tokyo[.]com

該当ドメインのURLへアクセスを行うと、ランダムに以下のようなページへとリダイレクトさせられることを確認しています。

【図14】リダイレクトされたページ
【図15】リダイレクトされたページ
【図16】リダイレクトされたページ

【図14 - 16】リダイレクトされたページ

ただし、このドメインが実際に攻撃で使われたという情報はつかめておりません。現状では東京オリンピックを狙ったものとは考えにくいです。しかしながら、昨年2018年夏頃には東京オリンピックのチケットが当選したという内容でメールが送りつけられ、メール内に記載されたフィッシングURLへと誘導するキャンペーンが展開されたとの情報もありました。今後も同様のキャンペーンが発生する可能性がありますため、警戒は必要です。

もし表示されてしまったら

もしWebサイトを閲覧中に遭遇し表示されてしまったら、「無視」してしまって問題ありません。ただし、画面を閉じることができないということもあるため、ブラウザーのタブを閉じる、ブラウザーそのものを終了する、パソコンを再起動するなどで対処ができます。対処や対策について、下記のIPA(経済産業省所管の独立行政法人情報処理推進機構)のWebサイトが参考になります。併せてご確認ください。

IoC(Indicator of Compromise)

Domain/IP

  • 193[.]238[.]46[.]6
  • allneed[.]pro
  • click[.]bestcaptcha[.]support
  • japan-2020tokyo[.]com
デジタルアーツでは

デジタルアーツでは、無償の情報提供サービス「Dアラート」にて弊社製品を利用している・いないに関わらず、改ざんサイトの管理者に対して注意喚起を行っています。同時に、悪意のあるURLは当然ながら、改ざんサイトのURLも「i-FILTER」Ver.10にて[脅威情報サイト]カテゴリでフィルターデータベース配信され、ユーザーを危険な状態のサイトにアクセスしてしまうことから防ぎます。

  1. ※ IoCのデータは[脅威情報サイト]カテゴリまたは[違法ソフト・反社会行為]カテゴリでフィルターデータベース配信しています。
参考情報

本記事で紹介したものは氷山の一角であり、他にも多くの攻撃手口が存在しています。Webサイトの管理者は、安全なWebサイトの構築や運用に関してIPAなどにより指針が示されていますので、今一度、Webサイトのセキュリティをご確認ください。

  1. Digital Arts Security Reports をダウンロード

ダウンロードにはお客様情報の入力が必要となります。

<関連リンク>

「i-FILTER」Ver.10と「m-FILTER」Ver.5は、これまでにない標的型攻撃対策機能を搭載し、外部からの攻撃対策と内部からの流出対策をひとつのソリューションで圧倒的なコストパフォーマンスのもと実現します。

サイバーリスク情報提供「Dアラート」は「i-FILTER」Ver.10、「m-FILTER」Ver.5、「i-FILTER@Cloud」「m-FILTER@Cloud」の機能を利用して、マルウェア感染の疑いのあるお客様や弊社のお客様以外へも感染情報やホームページの改ざん情報をお知らせする、登録不要の無償の情報提供サービスです。

最近の記事
Recent Entry

RSS

イベント・セミナー情報

Solution Forum 2019

日程
2019年11月19日(火)~20日(水)
会場
リコージャパン株式会社 浜離宮事業所

大企業に限らず、 中小企業の経営者・セキュリティご担当者様も必見! 「サプライチェーン攻撃」対策を、安価かつ堅牢に実現されている事例をご紹介

日程
2019年11月21日(木)
会場
オンラインセミナー

大企業に限らず、 中小企業の経営者・セキュリティご担当者様も必見! 「サプライチェーン攻撃」対策を、安価かつ堅牢に実現されている事例をご紹介

日程
2019年12月12日(木)
会場
オンラインセミナー

Palo Alto Networks × DAC プライベートセミナー 2019

日程
2019年12月13日(水)
会場
日比谷パークフロント 15F

DIS ICT EXPO
ダイワボウ情報システムがお届けするICT機器総合展示会・イベント

日程
宮崎:2019年9月3日(火)
札幌:2019年9月10日(火)
金沢:2019年11月6日(水)
瀬戸内(山口):2019年11月19日(火)
関西:2020年1月29日(水)
名古屋:2020年2月14日(金)
会場
宮崎:JA・AZMホール
札幌:札幌コンベンションセンター
金沢:金沢流通会館
瀬戸内(山口):海峡メッセ下関
関西:グランフロント大阪
名古屋:ウインクあいち