改竄
インターネット上には数多くのWebサイトがあります。一方で、管理が甘いWebサイトをこっそり改ざんして悪事に利用する犯罪者も活発に活動しています。日本における被害も昨年から増えており、注目を集めています。被害サイト数は、カスペルスキー日本法人が確認しているだけでも、2014年1月から3月までの3か月間で2,800件以上にのぼります。
世界的に広く使われているブログ作成ツールといえばWordPressですが、その脆弱性を悪用した改ざん被害は数多く報告されています。日本で広く使われているWeb Diary Professional(以下、WDP)もこうした被害の例外ではなく、WDPに潜在する問題を悪用した改竄が最近目立って増えてきています。WDPは、マニュアルとユーザーインターフェイスが日本語で用意されているため、日本人にとって非常に使いやすいツールですが、現在はすでにサポートを終了しています。
WDP開発提供元のWeb Libertyのサイト
現在、WDPに代わる新しいツールがすでに公開されており、開発者はそちらへの移行を推奨しています。しかし、新しいツールに移行せずに、サポート終了となったWDPを使っているWebサイト管理者が少なからず存在しており、サイバー犯罪者の格好のターゲットとなっています。
試しに、WDPを使用している可能性を示す特定のキーワードを使ってGoogle検索してみると、2014年4月の時点で約500,000件もヒットしました。もちろん、検索結果すべてが同ツールを使用しているとは限らず、また重複の可能性もあります。しかし、検索結果の上位に来たWebサイトを確認したかぎり、ほとんどはWDPを使用しており、重複もわずかでした。
調査の結果、WDPを使用しているWebサイトのうち約8割が、問題を抱えた状態で公開されていることがわかりました。具体的には、ユーザー認証に使用するパスワードのハッシュ等を記載したファイルが、外部から閲覧可能な状態でした。設定されているパスワードが簡単なものであった場合、このファイル内の情報はパスワードクラックツールによって短時間で解読できてしまいます。
管理者パスワードがわかってしまうと、そのWebサイトを自由に編集できるようになります。実際に改ざん被害に遭っているWebサイトも見つかりました。こうしたWebサイトには、攻撃者のメッセージを示すファイルやスパムメール送信用ツール、DDoSツール、バックドア等が設置されていました。何者かが、改ざんしたWebサイトを攻撃の踏み台として使用していたと推察できます。また、Webコンテンツの改ざんも見られました。
改ざんされたWebコンテンツ
攻撃者メッセージ画面
DDoS攻撃用ツール
バックドア
確認できたなかで最悪だったものは、あるクラウドサービスの例です。このサービスでは、1つのサーバーに数百ものWebサイトが設置・運営されているようでしたが、このなかのあるWebサイトにバックドアが設置されていました。このバックドアを使えば、同一サーバー内にあるバックドアが設置されていない他のWebサイトに対しても、コンテンツの改ざんや情報の窃盗行為が可能な状態であった可能性が高いのです。
繰り返しになりますが、WDPはすでにサポートが終了しており、新しいツールへの移行が推奨されています。どうしても使い続けなければならない場合にはセキュリティを向上させる方法も紹介しています。被害に遭わないため、また加害者にならないために、自分が管理しているWebサイトやサービスで本ツールを使用している場合はすみやかに対策を講じることを強く推奨します。
カスペルスキー製品では、今回の調査で見つかったバックドア等のツール群を以下のように検知します。
Backdoor.PHP.PhpShell.*
Trojan-Spy.PHP.PhPen.*
Backdoor.PHP.C99Shell.*
ヒント