「osCommerce」を巡ってのWebサイト大規模改ざん

オープンソース・ソフトウェアは、比較的低価格で購入でき、インストールも簡単に行えるなど、その利便性においてたいへん優れていますが、それがビジネス目的 で活用されるとなると、利用する企業だけでなく顧客も含め、それなりのリスクにもさらされることになります。2011年7月下旬、「osCommerce」を巡って発生したWebサイト大規模改ざん事例が、まさにその典型例といえるでしょう。osCommerceとは、オンライン・ショップなどのビジネス向けに開発されたオープンソース・ソフトウェア・ソリューションですが、このソフトウェアを活用していた590万にも及ぶオンライン・ビジネス関連の大量のWebページが改ざんに見舞われ、金銭的被害につながる個人情報などが収集されたといいます。

トレンドラボの調査でも、この大規模改ざん事例においてosCommerceを利用して行われたことが分かっています。サイバー犯罪者は、攻撃をしかける際、osCommerceが利用されているオンライン・ショップのWebページに "iframe" を挿入。これにより、そのページを閲覧したユーザは、別のWebサイトにリダイレクトされることになります。リダイレクトは何度か繰り返され、最終的にユーザは不正なWebサイトに誘導されます。そして、誘導先の不正サイトにおいて特定の脆弱性が利用され、「TROJ_JORIK.BRU」というマルウェアがユーザのコンピュータにダウンロードされることになります。このマルウェアは、ダウンロードされたコンピュータ上で、ユーザがオンライン・バンキングやその他の金融関係の機関にログインする際に使用する各種ログイン情報を収集します。収集された情報は、別のリモートサイトに送信され、サイバー犯罪者の手に渡ることになります。

Webページの改ざんはどのようにして行われるのですか？

サイバー犯罪者が攻撃を仕掛ける際、まずosCommerceに存在する脆弱性が利用されます。この脆弱性利用により、osCommerceを活用している正規のオンラインショップ内の特定のWebページ上に不正な "iframe" が挿入されます。こうして改ざんされたWebページを閲覧したユーザは、挿入された "iframe" によりリダイレクトが何度か繰り返され、最終的に「JP_EXPLOIT.BRU」と検出されるJavaScriptの脆弱性利用キットが組み込まれているページへ誘導されることになります。このJavaScriptにより、さらに別のソフトウェアの脆弱性が利用され、ユーザのコンピュータに不正なファイルがダウンロードされることになるのです。

この感染の際、Webサイトやユーザのコンピュータに何が起こりますか？

上述のように改ざんされたWebサイトをユーザが閲覧すると、そのサイトに組み込まれている不正なスクリプトが実行されます。これにより、他のWebサイトへのリダイレクトが何度か行われ、最終的にユーザは、「JS_JORIK.BRU」が組み込まれた不正なWebサイトに誘導されることになります。この際、ユーザ側からは、あたかも同じWebサイトしか閲覧していないように見えるため、これら一連の不正活動が直ちに発覚することはないようです。このように巧妙に自身の活動を隠ぺいさせることができるため、不正なスクリプトが実行されても、ユーザが気がつかない場合がほとんどのようです。なお、この不正活動では、特定の脆弱性が利用され、最終的にはユーザのコンピュータに「TROJ_JORIK.BRU」というマルウェアがダウンロードされることになります。

「TROJ_JORIK.BRU」の感染は、ユーザにどのような影響を及ぼしますか？

「TROJ_JORIK.BRU」に感染したコンピュータのユーザは、オンライン・バンキングやその他の金融機関に関する個人情報を収集される危険性にさらされます。こうした危険性は、金銭的損害につながるばかりか、この被害に関連したWebサイトの信頼性や評判にも深刻なダメージが与えられることになります。

今回の攻撃を行なったサイバー犯罪者の動機とは、何でしょうか？

ユーザからログイン情報や個人情報を収集し、それらを悪用して金銭的利益を得ようというのが、今回の攻撃におけるサイバー犯罪者たちの動機であるといえるでしょう。

過去に発生した大規模Webサイト改ざん事例と比べて、その類似点や相違点は何でしょうか？

「LizaMoon」や「WordPress」といった過去の大規模Webサイト改ざん事例と比較した場合、まず相違点としては、今回のosCommerceに関連した攻撃では、特にオンライン・ショッピングを行なうユーザにターゲットを絞ったという点です。つまり、購入の際に使用される個人情報（クレジットカード情報など）に対象を限定して効率よく情報収集を行なうことを狙ったものと考えられます。

Webサイトの運営側は、どのようにして感染被害を見分けることができるでしょうか？また、被害を最小限に抑える、もしくは回避するためには、どのような対策を講じるべきでしょうか？

osCommerceを活用しているWebサイト運営者は、まず何よりも、HTMLのWebページ内に不審な "iframe" やその他のスクリプトが挿入されていないかをチェックし、もし発見した場合は、直ちに削除することです。感染を回避する方法としては、サイト自体のセキュリテイ設定を強化し、可能であれば、osCommerceに代わる別のソフトウェアを活用することもお奨めします。コストやその他の理由で、他のソフトウェアの導入が難しい場合、ご使用のosCommerceを最新バージョンにアップデートしておくことも有効であるといえるでしょう。

「JS_EXPLOIT.BRU」といったJavaScriptは、どのようにして削除することができますか？

トレンドマイクロの製品をご使用でないユーザには、弊社が提供しているフリーツールの中から「Browser Guard 2011（英語のみ）」や「Trend Micro Web Protection Add-On」をご利用することをお奨めします。これにより、「JS_EXPLOIT.BRU」などのような不正なJavaScriptが実行されるのを阻止し、さらにはWebページからこれらの不正なJavaScriptを削除して、もとの無害なWebページに戻すことも可能です。

トレンドマイクロ製品は、この脅威を防ぐことができますか?

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「Webレピュテーション」技術により、マルウェアがダウンロードされてくるような不正なWebサイトへのアクセスを未然にブロックします。さらに「ファイル・レピュテーション」技術は、万が一、ユーザのコンピュータに不正なファイルが侵入しても、直ちに検知してファイルが実行されるのを未然に防ぐことができます。

スレット・レスポンス・エンジニアのKarl Dominguezは、次のようにコメントしています。

「今回の攻撃は、オンラインショッピングサイトを閲覧するユーザを標的にしている点が特徴的です。この種のユーザは、ほとんどの場合、オンラインで何かを購入しているわけですから、その分、彼らのコンピュータ内にクレジットカード情報などの個人情報が保存されている可能性が高く、効果的なターゲットの絞り方だと言うことができるでしょう。」

今回の攻撃に見舞われないためには、ユーザ側はどのような対策が有効でしょうか？

まず何よりも、信頼のおけるセキュリテイソフトをコンピュータにインストールすることです。これにより、不正なファイルがダウンロードされて実行されたり、不正なスクリプトが実行されたりするのを阻止するこたできます。また、オンラインショッピングは、必ず信用のおけるサイトで行なうようにすることも有効な対策です。