注意喚起:古いバージョンのJava,Flash,PDFから感染するマルウェアサイトへの転送が国内の多数のサイトで発見された模様

2013/03/16セキュリティ

詳細は下記サイト参照。かなりまずい状況だと思われます。

このサイトに感染していたサイトの一覧があり、その中には ゆかしメディア(media.yucasee.jp)や、国の機関、大学、自治体と思われるアドレスも含まれています。該当サイトにアクセスした人はマルウェアに感染した可能性があります。

追記:リストに含まれていた 環境省CO2みえ~るツール、岐阜県中津川市、放送大学大阪学習センターについて報道がありましたので追記しました。


感染についての報告

下記サイトにて一覧が参照できます。

日本国内の285件ウェブサイトが「Darkleech Apache Module」マルウェアに感染さて、もし感染されたサイトをInternet ExplorerブラウザでアクセスしたらBlackholeの感染サイトに転送されています。転送されたらパソコンにあるPDF/Java/Flash古いバーションの脆弱性を使われて、パソコンBlackholeで提供されているマルウェアに感染されます、との恐ろしい状況が現状日本に発見いたしました。

0day.jp (ゼロデイ.JP): #OCJP-098: 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されています!

[zuweet url="https://twitter.com/unixfreaxjp/status/313509630850510852″]
[zuweet url="https://twitter.com/unixfreaxjp/status/313511252741730304″]

IIJが追加調査

IIJ でも独自に調査した結果、少なくとも40件以上は確認したとのこと。

その結果、本日夕方の時点でこれらの Web サイトの少なくとも 40 件以上に、マルウェアに感染させる不正なサーバへ転送を行う、悪意のあるコードが残されていました。このような入口となる改ざんされたサイトも多数存在しますが、マルウェアに感染させるサーバも世界中に 30 件以上存在しています。別の情報によると、本日だけでも世界中にマルウェアに感染させるサーバが少なくとも 400 台以上存在するため、世界的な大規模マルウェア感染事件である可能性があります。

IIJ Security Diary: BHEK2 による大量改ざん

感染していたとの報道

0day.jp (ゼロデイ.JP)に掲載されていた mieeeru.go.jp の件が報道されています。

報道機関によって影響を受けた人数の報道の仕方が違っていて、「国内から延べ350人がアクセス」(朝日新聞)、「閲覧した延べ884人」(FNN)、「3~15日のアクセス数は884回」(読売新聞)などとなっています。

環境省からのお知らせも出ています。

環境省が運営する「CO2 みえ~るツール」サイト(http://mieeeru.go.jp)について、委託先のサーバーが平成25年3月3日(日)に何者かにより改ざんされていることが3月15日に判明しました。
本サイトにつきましては、現在サービスを停止し、詳細について調査中ですが、改ざんからサービス停止までの間に本サイトを閲覧された方は、パソコン内の情報が盗まれる恐れ等がありますので、直ちに最新のウイルス対策ソフトでスキャン等していただきますようお願いいたします。

「CO2みえ~るツール」サイトにアクセスされた方への緊急のお知らせ[PDF 135KB](平成25年3月17日)

朝日新聞記事は岐阜県中津川市(http://www.city.nakatsugawa.gifu.jp/)、放送大学大阪学習センター(http://www.osaka-ouj.jp/)の件も触れています。

岐阜県中津川市サイトは現在停止中(3/16 20:33)。放送大学大阪学習センターは「閉鎖の手続きを開始」とありましたが、まだアクセスできるようです(3/17 21:07)→停止しています(3/18 09:38)。

当ホームページが外部から書き換えられた可能性があるため、停止しております。

中津川市公式ホームページ

現在、放送大学 大阪学習センターの公式ホームページはアクセスできません。
何者かによって改ざんされている可能性があるため、一時的に閉鎖しております。

放送大学 大阪学習センター

長崎県歯科医師会(nda.or.jp)はメンテナンス中(3/18 12:00)。
神戸電子専門学校(www.kobedenshi.ac.jp)はメンテナンス中(3/18 11:45)。
ゆかしメディア(media.yucasee.jp)はメンテナンス中(3/19 10:30ごろ?)。
(ゆかしメディアのtwitterアカウントは 3/18 12:08 から発言なし。本件についても言及なし)

アナウンス載りました。

平素ご愛顧いただいております「ゆかしメディア」および「海外投資新聞」について、
このたび何者かによって改ざんされた可能性があることがわかりました。
そのため現在サービスを停止し、詳細調査をしております。

YUCASEE MEDIA(ゆかしメディア)

別の仕組みによる感染報告

さらに3サイト報告されています。

今回のマルウェアについての調査結果が報告されています。

新情報が入り次第追記します。

セキュリティ

Posted by ず@沖縄