2013年4月から、ホームページを狙う改ざん事件が相次いで発生しており、警察庁情報処理推進機構(IPA)などが注意喚起を促す情報を相次いで発信している。

図1●改ざんされたサイトに埋め込まれるカラーコード
図1●改ざんされたサイトに埋め込まれるカラーコード
[画像のクリックで拡大表示]

 ホームページの改ざんといえば、特定の国の国旗がはためく画像が表示されたり、何らかの主義主張で埋め尽くされたりするイメージが強い。しかし今回起きている事件の大半は、改ざんされたホームページの見た目はまったく変わらず忍者のように潜み、別なサイトに用意してるウイルスを裏でこっそり入れ込むものである。そのため、改ざんされたサイトは被害者であるだけでなく、訪問客をウイルス感染させる「加担者」になってしまっている点が見逃せない。

 こうした改ざんの報告は、4月からの約2カ月で約1000件に達した(関連記事)。当然、いまだに手当てさえできていないところも多い。

 ラックの観測でも、6月14日時点で改ざんを確認できたサイトが約70サイト存在した。こっそり対応して知らん振りを決め込んでいるところ、対策をとったものの何度か改ざんされてしまったところなど様々である。改ざんにはいくつかの種類があるが、多くは改ざん内容にある種の「カラーコード」が仕込まれている(図1)。

まだ見えない「誰が何の目的で」

 今回の改ざんは、2009年に有名企業を含めて大規模な改ざん事件を引き起こした「Gumblar(ガンブラー)」をほうふつとさせる。そのガンブラーは、現在でもその全容が把握できているわけではない。

 多くの端末に感染して目立ったウイルスはほぼ解析されている。その機能は亜種などで微妙に異なることもあるが、基本的にはIDとパスワードの収集を目的としている。ユーザーがブラウザに登録している情報や、ホームページを更新するツールから取得できる情報、ネットワーク上を流れている情報などを、ウイルスに感染したパソコンから漁ったのである。

 次なる行動は、サイトの改ざんである。取得したアカウント情報を使用してサイトに侵入し、恐らくは自動的に改ざんをして、またほかのサイトへと伝播していく。ただし、このとき窃取されたアカウント情報のほかの用途での悪用については表に出ておらず、ほとんどが闇の中のままである。

 ウイルスの手口は狡猾だ。1度サイトを閲覧したパソコンが(ウイルスに感染した後で)2度目に閲覧したときには、改ざんされていない正規コンテンツを表示したり、ウイルスを投下する悪質なサイトに誘導した後は、誘導された端末(例えばIPアドレスやそのドメインなど)ごとに投下する内容を巧みに制御したりしていると推測されていた。こうした大規模な仕掛けが動いていると考えられたため、金銭をだまし取る偽のウイルス対策ソフト(それ自体がウイルス)も、もしかすると一種の目くらましで、本来の狙いを隠すものだったのではと筆者は疑っていた。