“わな”を仕掛けられた「ビジネスウィーク」のサイトとそのソース(HTML)の一部(米トレンドマイクロの情報から引用)
[画像のクリックで拡大表示]
米トレンドマイクロは2008年1月16日(米国時間)、有名なビジネス誌「BusinessWeek」のWebサイトが不正侵入され、同サイトにアクセスしたユーザーのパソコンにウイルスを感染させるような“わな”が仕掛けられていたことを明らかにした。
有名な企業や組織のWebサイトに“わな”を仕掛けられる事件が相次いでいる。2008年1月早々にも、何千件ものWebページが「SQLインジェクション」と呼ばれる攻撃を受けて改ざんされたという。
改ざんの結果、悪質なJavaScriptファイルを読み込ませるようなコード(HTML文)が挿入。このファイルには、いくつかのソフトウエアの脆弱(ぜいじゃく)性を悪用する仕掛けが施されているため、脆弱性のあるパソコンを使っているユーザーは、アクセスするだけでウイルスなどに感染する恐れがあった。
このときページを改ざんされたサイトの中には、「Fortune 500(フォーチュン500)」に含まれる大手企業や政府機関、学校機関のサイトが含まれていた。つまり、一般的に信頼できるWebサイトにアクセスしても被害に遭う状況になっている。
今回トレンドマイクロが報告したケースもその一例。多数のユーザーがアクセスしているビジネスウィークのWebサイトに、悪質ファイルを読み込ませるような“わな”が仕掛けられていたという(図)。
企業/組織のWebサイトに“わな”が仕掛けられると、その企業/組織を信頼している顧客(読者)をウイルス感染の危険にさらすことになる。そうなれば、信用の失墜は避けられない。そういった事態を避けるために、Webサイトの管理者は今まで以上にセキュリティに力を入れる必要があるとして、同社では注意喚起している。
