注意喚起：古いバージョンのJava,Flash,PDFから感染するマルウェアサイトへの転送が国内の多数のサイトで発見された模様

2013/03/162013/03/22セキュリティ

詳細は下記サイト参照。かなりまずい状況だと思われます。

このサイトに感染していたサイトの一覧があり、その中には ゆかしメディア（media.yucasee.jp）や、国の機関、大学、自治体と思われるアドレスも含まれています。該当サイトにアクセスした人はマルウェアに感染した可能性があります。

追記：リストに含まれていた 環境省CO2みえ～るツール、岐阜県中津川市、放送大学大阪学習センターについて報道がありましたので追記しました。

感染についての報告

下記サイトにて一覧が参照できます。

日本国内の285件ウェブサイトが「Darkleech Apache Module」マルウェアに感染さて、もし感染されたサイトをInternet ExplorerブラウザでアクセスしたらBlackholeの感染サイトに転送されています。転送されたらパソコンにあるPDF/Java/Flash古いバーションの脆弱性を使われて、パソコンBlackholeで提供されているマルウェアに感染されます、との恐ろしい状況が現状日本に発見いたしました。

0day.jp (ゼロデイ.JP): #OCJP-098： 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されています！

@tattsuyan ブログに書いた285件の感染されたのサイトは17日（金曜日）大体朝5時迄には全て感染されたと”ちゃんと”確認しました。当時確認したのサイトの合計は大体400件ぐらいがありましたが、確実に感染されたサイトだけは285件でした。（長いので、つづく…）

— Hendrik ADRIAN (@unixfreaxjp) March 18, 2013

@tattsuyan 条件があって①ブラウザはIE、②REFERERが無いと行け無い、”例え、googleで確認したいのでサイトを検索してからクリックする、③最新版AdobeReader,Java,Flashが入っているPCにはBHEK2.xサイトに転送されたが感染にはならない。

— Hendrik ADRIAN (@unixfreaxjp) March 18, 2013

IIJが追加調査

IIJ でも独自に調査した結果、少なくとも40件以上は確認したとのこと。

その結果、本日夕方の時点でこれらの Web サイトの少なくとも 40 件以上に、マルウェアに感染させる不正なサーバへ転送を行う、悪意のあるコードが残されていました。このような入口となる改ざんされたサイトも多数存在しますが、マルウェアに感染させるサーバも世界中に 30 件以上存在しています。別の情報によると、本日だけでも世界中にマルウェアに感染させるサーバが少なくとも 400 台以上存在するため、世界的な大規模マルウェア感染事件である可能性があります。

IIJ Security Diary: BHEK2 による大量改ざん

感染していたとの報道

0day.jp (ゼロデイ.JP)に掲載されていた mieeeru.go.jp の件が報道されています。

報道機関によって影響を受けた人数の報道の仕方が違っていて、「国内から延べ３５０人がアクセス」（朝日新聞）、「閲覧した延べ884人」（FNN)、「３～１５日のアクセス数は８８４回」（読売新聞）などとなっています。

• 朝日新聞デジタル：環境省の二酸化炭素排出計算サイト改ざん　情報流出恐れ – 社会(2013年3月17日17時16分)
• FNNニュース: 環境省の「CO2みえ～るツール」サイト、3日から不正に改ざん（03/17 18:22）
• 「ＣＯ２みえ～るツール」感染、情報盗難の恐れ : 社会 : YOMIURI ONLINE（読売新聞）(2013年3月17日20時45分)

環境省からのお知らせも出ています。

環境省が運営する「CO2 みえ～るツール」サイト（http://mieeeru.go.jp）について、委託先のサーバーが平成25年3月3日（日）に何者かにより改ざんされていることが3月15日に判明しました。
本サイトにつきましては、現在サービスを停止し、詳細について調査中ですが、改ざんからサービス停止までの間に本サイトを閲覧された方は、パソコン内の情報が盗まれる恐れ等がありますので、直ちに最新のウイルス対策ソフトでスキャン等していただきますようお願いいたします。

「CO2みえ～るツール」サイトにアクセスされた方への緊急のお知らせ[PDF 135KB](平成25年3月17日)

朝日新聞記事は岐阜県中津川市(http://www.city.nakatsugawa.gifu.jp/)、放送大学大阪学習センター(http://www.osaka-ouj.jp/)の件も触れています。

岐阜県中津川市サイトは現在停止中(3/16 20:33)。放送大学大阪学習センターは「閉鎖の手続きを開始」とありましたが、まだアクセスできるようです(3/17 21:07)→停止しています(3/18 09:38)。

当ホームページが外部から書き換えられた可能性があるため、停止しております。

中津川市公式ホームページ

現在、放送大学　大阪学習センターの公式ホームページはアクセスできません。
何者かによって改ざんされている可能性があるため、一時的に閉鎖しております。

放送大学 大阪学習センター

長崎県歯科医師会(nda.or.jp)はメンテナンス中(3/18 12:00)。
神戸電子専門学校(www.kobedenshi.ac.jp)はメンテナンス中(3/18 11:45)。
ゆかしメディア(media.yucasee.jp)はメンテナンス中(3/19 10:30ごろ？）。
（ゆかしメディアのtwitterアカウントは 3/18 12:08 から発言なし。本件についても言及なし）

アナウンス載りました。

平素ご愛顧いただいております「ゆかしメディア」および「海外投資新聞」について、
このたび何者かによって改ざんされた可能性があることがわかりました。
そのため現在サービスを停止し、詳細調査をしております。

YUCASEE MEDIA（ゆかしメディア）

別の仕組みによる感染報告

さらに３サイト報告されています。

• 0day.jp (ゼロデイ.JP): #OCJP-099： TDS：マルウェア転送仕組み、と、3件国内ウェブサイト感染事件の報告

今回のマルウェアについての調査結果が報告されています。

• 0day.jp (ゼロデイ.JP): DarkLeech Apache Moduleマルウェアのリバースエンジニアリング調査 (#OCJP-098について)

• ニュース – 国内Webサイトの改ざん相次ぐ、アクセスするとウイルス感染の恐れ：ITpro

新情報が入り次第追記します。