注意喚起:古いバージョンのJava,Flash,PDFから感染するマルウェアサイトへの転送が国内の多数のサイトで発見された模様
このサイトに感染していたサイトの一覧があり、その中には ゆかしメディア(media.yucasee.jp)や、国の機関、大学、自治体と思われるアドレスも含まれています。該当サイトにアクセスした人はマルウェアに感染した可能性があります。
追記:リストに含まれていた 環境省CO2みえ~るツール、岐阜県中津川市、放送大学大阪学習センターについて報道がありましたので追記しました。
感染についての報告
下記サイトにて一覧が参照できます。
日本国内の285件ウェブサイトが「Darkleech Apache Module」マルウェアに感染さて、もし感染されたサイトをInternet ExplorerブラウザでアクセスしたらBlackholeの感染サイトに転送されています。転送されたらパソコンにあるPDF/Java/Flash古いバーションの脆弱性を使われて、パソコンBlackholeで提供されているマルウェアに感染されます、との恐ろしい状況が現状日本に発見いたしました。
@tattsuyan ブログに書いた285件の感染されたのサイトは17日(金曜日)大体朝5時迄には全て感染されたと”ちゃんと”確認しました。当時確認したのサイトの合計は大体400件ぐらいがありましたが、確実に感染されたサイトだけは285件でした。(長いので、つづく…)
— Hendrik ADRIAN (@unixfreaxjp) March 18, 2013
@tattsuyan 条件があって①ブラウザはIE、②REFERERが無いと行け無い、”例え、googleで確認したいのでサイトを検索してからクリックする、③最新版AdobeReader,Java,Flashが入っているPCにはBHEK2.xサイトに転送されたが感染にはならない。
— Hendrik ADRIAN (@unixfreaxjp) March 18, 2013
IIJが追加調査
IIJ でも独自に調査した結果、少なくとも40件以上は確認したとのこと。
その結果、本日夕方の時点でこれらの Web サイトの少なくとも 40 件以上に、マルウェアに感染させる不正なサーバへ転送を行う、悪意のあるコードが残されていました。このような入口となる改ざんされたサイトも多数存在しますが、マルウェアに感染させるサーバも世界中に 30 件以上存在しています。別の情報によると、本日だけでも世界中にマルウェアに感染させるサーバが少なくとも 400 台以上存在するため、世界的な大規模マルウェア感染事件である可能性があります。
感染していたとの報道
0day.jp (ゼロデイ.JP)に掲載されていた mieeeru.go.jp の件が報道されています。
報道機関によって影響を受けた人数の報道の仕方が違っていて、「国内から延べ350人がアクセス」(朝日新聞)、「閲覧した延べ884人」(FNN)、「3~15日のアクセス数は884回」(読売新聞)などとなっています。
- 朝日新聞デジタル:環境省の二酸化炭素排出計算サイト改ざん 情報流出恐れ – 社会(2013年3月17日17時16分)
- FNNニュース: 環境省の「CO2みえ~るツール」サイト、3日から不正に改ざん(03/17 18:22)
- 「CO2みえ~るツール」感染、情報盗難の恐れ : 社会 : YOMIURI ONLINE(読売新聞)(2013年3月17日20時45分)
環境省からのお知らせも出ています。
環境省が運営する「CO2 みえ~るツール」サイト(http://mieeeru.go.jp)について、委託先のサーバーが平成25年3月3日(日)に何者かにより改ざんされていることが3月15日に判明しました。
本サイトにつきましては、現在サービスを停止し、詳細について調査中ですが、改ざんからサービス停止までの間に本サイトを閲覧された方は、パソコン内の情報が盗まれる恐れ等がありますので、直ちに最新のウイルス対策ソフトでスキャン等していただきますようお願いいたします。「CO2みえ~るツール」サイトにアクセスされた方への緊急のお知らせ[PDF 135KB](平成25年3月17日)
朝日新聞記事は岐阜県中津川市(http://www.city.nakatsugawa.gifu.jp/)、放送大学大阪学習センター(http://www.osaka-ouj.jp/)の件も触れています。
岐阜県中津川市サイトは現在停止中(3/16 20:33)。放送大学大阪学習センターは「閉鎖の手続きを開始」とありましたが、まだアクセスできるようです(3/17 21:07)→停止しています(3/18 09:38)。
当ホームページが外部から書き換えられた可能性があるため、停止しております。
現在、放送大学 大阪学習センターの公式ホームページはアクセスできません。
何者かによって改ざんされている可能性があるため、一時的に閉鎖しております。
長崎県歯科医師会(nda.or.jp)はメンテナンス中(3/18 12:00)。
神戸電子専門学校(www.kobedenshi.ac.jp)はメンテナンス中(3/18 11:45)。
ゆかしメディア(media.yucasee.jp)はメンテナンス中(3/19 10:30ごろ?)。
(ゆかしメディアのtwitterアカウントは 3/18 12:08 から発言なし。本件についても言及なし)
アナウンス載りました。
平素ご愛顧いただいております「ゆかしメディア」および「海外投資新聞」について、
このたび何者かによって改ざんされた可能性があることがわかりました。
そのため現在サービスを停止し、詳細調査をしております。
別の仕組みによる感染報告
さらに3サイト報告されています。
今回のマルウェアについての調査結果が報告されています。
新情報が入り次第追記します。
ディスカッション
コメント一覧
まだ、コメントがありません