シマンテックは1月24日、「Web Attack: Mass Injection Website 19」に該当するシグネチャを1月以降に大量検出しているとして、セキュリティブログで解説した。

見つかったシグネチャは、Webサイトにインジェクションされた隠しスクリプトを使ったもので、悪質なコードをホストしているWebサイトにユーザーがリダイレクトされたことを検出する機能を持つ。この機能はユーザーがWebサイトを開くと同時に実行される。

「Web Attack: Mass Injection Website 19」の検出数

悪質なWebサイトへのアクセス試行が確認されたのは、半数近くが米国(47%)で、これにインド(12%)、英国、イタリア、日本(各6%)と続いている。

「Web Attack: Mass Injection Website 19」検出数の国別の比率

悪質なWebサイトは、数千あるとシマンテックは見ており、Webサイトのうち75%は米国内のもので、スクリプトコードをインジェクトされたWebサイトは業種を問わず多岐にわたる。主に標的としているのは、企業サイトと.eduドメインのWebサイト、政府系Webサイトであることがわかっている。

感染したWebサイトの所在地

危殆化したWebサイトは共通点があり、いずれも同じコンテンツ管理システム(CMS)が使われている。攻撃者は、CMSの脆弱性を悪用し、HTMLコードをインジェクトできるように自動化したスクリプトを使ってスキャンしている可能性が高いという。

headタグの前にインジェクトされたコード例

ブラウザでWebページを開くと、この悪質なスクリプトは10秒待機してから、JavaScriptのリモートコードを実行し、次に追加のスクリプトを実行する。追加されるスクリプトは標準で2個~5個だという。

これらのスクリプトは、以下の情報を収集する。

  • ページのタイトル
  • URL
  • リファラ(ユーザーが現在のページで最後に何をしたかを調べる。検索語の情報収集(推測ベース)
  • Shockwave Flash のバージョン
  • ユーザーの言語
  • モニターの解像度
  • ホストIPアドレス

なお、同社のテストではスクリプトチェーンをたどっても、悪質なファイルがダウンロードされることはなかった。そのため、攻撃自体はユーザーの情報を収集して今後の攻撃に利用するために偵察活動を行っていると見られている。偵察活動後の攻撃としては、広告の拡散やSEOポイズニング攻撃、コード改変によるマルウェア拡散、無防備なコンピュータへの侵入などが考えられる。

シマンテックはWebサイト管理者に向け、悪質なコードがWebサイトに侵入していないかどうか、確認するように呼び掛けている。また、全システムに対してウイルス対策スキャンを実行し、Webサーバー上のファイルを確認してバックドアがあれば削除し、管理者パスワードを変更することを推奨している。