JPCERTコーディネーションセンターの情報
JPCERTコーディネーションセンターの情報
[画像のクリックで拡大表示]

 セキュリティ組織のJPCERTコーディネーションセンター(JPCERT/CC)は2013年4月8日、国内で相次いでいるWebサイトの改ざんの原因が、古いバージョンの「Parallels Plesk Panel」に存在する脆弱性である可能性があるとして注意を呼びかけた。Parallels Plesk Panelとは、Webサイトなどを管理するためのソフト。

 3月中旬以降、国内のWebサイトが改ざんされ、ウイルス(悪質なプログラム)に感染させるわなが仕掛けられるケースが相次いでいる。

 ターゲットになっているのは、Webサーバーソフト「Apache」を使用しているWebサイト。攻撃者はWebサイトに侵入し、攻撃者が用意した悪質なApacheモジュール(ウイルス)を仕込んでいるもよう。

 このApacheモジュールは、Webサイトにアクセスしたユーザーに送信するWebページのデータを改変。別の悪質サイトにリダイレクトするようなコードを挿入するという。

 つまり、Webサイトに置かれた静的なファイル(HTMLファイルなど)を改ざんするのではなく、送信されるデータのみを改ざんする。このため、Webサイト管理者は被害に気が付きにくいと考えられる。

 リダイレクト先の悪質サイトには、JavaやAdobe Reader、Flash Playerなどの脆弱性を悪用して、任意のウイルスを感染させる攻撃ツールが置かれている。このため、改ざんされたWebサイトに、古いJavaなどがインストールされているパソコンでアクセスすると、ウイルスに感染する恐れがある。

 当初、Webサイトの侵入方法については不明とされていたが、JPCERT/CCが入手した情報によると、侵入されたWebサイトでは、サポート期限切れのバージョンを含むParallels Plesk Panelが多く使われているという。

 このため、古いParallels Plesk Panelの脆弱性を悪用されてWebサイトに侵入され、悪質なApacheモジュールを仕込まれた可能性があるとしている。実際、一部の攻撃では、旧バージョンのParallels Plesk Panelに存在する、SQLインジェクションの脆弱性を突かれて、アカウント情報を盗まれたことを確認している。

 また、Parallels Plesk Panelのパスワードを初期設定のままにしているWebサイトや、安易なパスワードを設定しているWebサイトでは、パスワードを破られて不正にログインされたことを確認したとしている。

 このためJPCERT/CCでは、Webサイトの管理にParallels Plesk Panelを使用している管理者に対して注意を呼びかけている。具体的には、以下の対策を検討するよう勧めている。

・Parallels Plesk Panelを最新のバージョンに更新する
・特定のIPアドレス以外からはParallels Plesk Panelにログインできないようにするといったアクセス制限を行う
・Parallels Plesk Panelに安全性の高いパスワードを設定する
・使用する Parallels Plesk Panelの設定画面からroot権限でのタスク実行を禁止する

 加えて、Parallels Plesk Panel本体だけでなく、Webサイトで稼働しているOSやその他のソフトウエアについても、最新の状態にアップデートすることを対策として勧めている。