図1●埋め込まれる文字列で検索した結果(2008年4月23日10時時点)
図1●埋め込まれる文字列で検索した結果(2008年4月23日10時時点)
[画像のクリックで拡大表示]
図2●英国政府のサイトを対象に埋め込まれる文字列で検索した結果(2008年4月23日10時時点)
図2●英国政府のサイトを対象に埋め込まれる文字列で検索した結果(2008年4月23日10時時点)
[画像のクリックで拡大表示]

 セキュリティ企業の英ウェブセンスは2008年4月22日、Webサイトを改ざんする攻撃が再び急増しているとして注意を呼びかけた。同日の数時間のうちに、改ざんされたサイトの数が10倍になったという。検索サイトを使って編集部で調べたところ、2万件以上が改ざんされた模様。日本のサイトや、英国政府および国連の公式サイトも被害に遭っている。

 同社では、2008年4月初めにも大規模なWeb改ざんを確認して警告している。今回の攻撃も、その手口から同一グループの犯行だと同社では推測している。

 攻撃者は、Webサイトに不正アクセスしてWebページを改ざんし、自分たちが用意した悪質ファイルをダウンロードさせる文字列(スクリプトタグ)を仕込む。悪質ファイルには、Windowsなどの脆弱(ぜいじゃく)性を突いてウイルスを感染させるプログラムが含まれているので、脆弱性のある環境では、改ざんされたWebページにアクセスするだけでウイルスに感染してしまう。

 今回の攻撃では、2007年1月に公開されたWindowsの脆弱性「Vector Markup Language の脆弱性により、リモートでコードが実行される (929969) (MS07-004)」など、計8種類の脆弱性を突くプログラムが含まれている。ちなみに前回の大規模攻撃では、12種類の脆弱性を悪用していた。

 基本的な手口は、前回も今回もほぼ同じ。ただし、悪質ファイルが置かれているWebサイトが、前回と今回では異なる。編集部で調べたところ、前回使われていたサイトは既に閉鎖されているが、今回のサイトはアクセス可能(2008年4月23日10時現在)。悪質ファイルも確認できた。

 編集部では、今回の攻撃で埋め込まれる文字列を特定し、Googleで検索したところ、およそ2万5000件が表示された(図1)。その中には、日本語のサイトも複数含まれていた。ただし現在では、多くのサイトにおいて修復済みの模様。Googleにキャッシュされているページには文字列が含まれているものの、実際のページからは削除されているケースが多かった。

 なお、ウェブセンスの情報にあるように、英国政府のサイト(gov.uk)も多数改ざんされた模様だ。編集部で検索したところ、261件が確認された(図2)。また、国連の公式サイトでは、19件が表示された。