おじさんが、「パソコンであちこち見てまわっていたら、知らんまに情報、盗まれてまうんやてな。恐いな。」と先週言っていたが、このことらしい。↓
ウィルス感染によるサイトの改ざんについて注意・勧告いたします。
新型コンピュータウィルス「JSRedir-R(通称:Gumblar・GENOウィルス)」の亜種が、2009年末より猛威を振るっており、
現在もウィルスによって、FTP接続パスワードが抜き取られる事象が多発しております。
関連:ウィルスの新しい亜種にご注意ください
■FTP接続して使用するサービスには特にご注意ください■
ウィルスに感染しているパソコンでは、お使いのFTPソフトを変更しても、
サイトが改ざんされてしまう可能性があります。
下記の項目を確認していただき、根本的なウィルス対策を行うことで
お客様の大切なサイトをお守りください。
* Windows Update を行う
* Adobe Acrobat 及び Adobe Reader を最新にする
* Adobe Flash Player を最新にする
* Java Applet や ActiveX の設定を OFF にする
* 見覚えのない怪しいリンクは開かない
* ウィルス対策ソフトをインストールする
* ウイルス定義ファイルを更新する
* SSL対応のFTPソフトを使用する
■ FTPパスワードの変更
ウィルスへの感染が疑われる場合は、ウィルスの駆除を実施した後、
FTPパスワードなどのアカウント情報を変更してください。
FC2ホームページ
のFTPパスワードの変更は、
管理画面にログインして【アカウント情報】 を選択し、
【新しいFTPパスワード】 で設定してください。
参考 : JPCERTコーディネーションセンター
「Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起」
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
各位
JPCERT-AT-2010-0001
JPCERT/CC
2010-01-07(初版)
2010-01-13(更新)
<<< JPCERT/CC Alert 2010-01-07 >>>
Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起
Web sites compromise and Gumblar attacks growth continue
https://www.jpcert.or.jp/at/2010/at100001.txt
I. 概要
昨年末より、FTP アカウントの盗用に端を発して、Web サイトが改ざんされ、意図しない JavaScript を埋め込まれる事象や、改ざんされたサイトを閲覧し
たユーザの PC がマルウエア(Gumblar ウイルスなど)に感染する事象が多数発生しています。JPCERT/CC では、昨年末より本事象に関する注意喚起を行っ
ていますが、年末年始にかけて新たに多数の Web サイトが改ざんされたことを受け、再度ユーザや Web サイト管理者に対策を周知する目的で本注意喚起
を発行いたします。
グラフ: JPCERT/CC への Web サイト改ざんの届出件数の推移
https://www.jpcert.or.jp/at/2010/report_malicious_websites.png
2009年第4四半期より届出が急増しております。
改ざんされた Web サイトを閲覧した場合、 不正なプログラムがユーザのPC にダウンロードされ、結果としてマルウエアに感染する可能性があります。
- ユーザは、今一度使用している PC の OS やソフトウエアについて、最新 の修正プログラムが適用されているか確認してください。
- Web サイト管理者は、今一度自社が管理する Web サイトが改ざんされていないか確認してください。
II. 対策
【ユーザ向け】
JPCERT/CC では、一連の攻撃で Adobe Flash Player、Adobe Acrobat、
Adobe Reader、Java(JRE)、Microsoft 製品の脆弱性が使用されていることを
確認しています。以下を参考に、使用している製品について今一度最新の状態更新されていることを確認してください。
[Adobe Acrobat、Adobe Reader]
メニューの"ヘルプ (H)" -> "アップデートの有無をチェック (U)" をクリックし、製品を最新に更新してください。更新が不可能な場合は、以下の URL
から最新の Adobe Reader 及び Acrobat をインストールしてください。
Adobe.com - Downloads
http://www.adobe.com/downloads/
*** 更新: 2010年01月08日追記 *******************
Adobe Reader/ Acrobat の未修正の脆弱性が使用されていることが確認されています。 Adobe System 社より 2010年1月13日(日本時間)に本脆弱性の修正
プログラムが公開される予定ですので、それまでの間以下の軽減策をご検討ください。
・以下の通り、Javascript を無効にする
1. Acrobat / Adobe Reader を起動する
2. メニューバーから "編集" -> "環境設定" を選択する
3. 分類の中から "JavaScript" を選択する
4. "Acrobat JavaScriptを使用" のチェックを解除する
5. "OK"を押して、設定を反映する
※Adobe Acrobat と Adobe Reader の両方でこの設定を変更する必要があります
・Windows をお使いの場合、DEP(データ実行防止機能)を有効にする※なお、古いパソコンを利用している場合 DEP が有効に出来ない場合が
あります。
***********************************************
*** 更新: 2010年01月13日追記 *************************************
Adobe Systems 社より修正済みソフトウェアが公開されました。Adobe
Reader 及び Acrobat では起動後、メニューの"ヘルプ (H)" -> "アップデートの有無をチェック (U)" をクリックすることで製品の更新が可能です。
更新が不可能な場合は、以下の URL から 最新の Adobe Reader 及び Acrobatをダウンロードしてください。
Adobe.com - New downloads
http://www.adobe.com/support/downloads/new.jsp
詳細に関しては、Adobe Systems 社からの情報を参照してください。
*********************************************
[Adobe Flash Player]
以下の URL にて Flash Player のバージョンを確認してください。
Adobe Flash Player:Version Information
http://www.adobe.com/jp/software/flash/about/
インストールされている Flash Player が最新でない場合は、以下の URLより最新の Flash Player をインストールしてください。
Adobe Flash Playerのインストール
http://get.adobe.com/jp/flashplayer/
[Java(JRE)]
以下の URL にて Java のバージョンを確認してください。
(Java がインストールされていない環境では、Java のインストールが要求される可能性があります。不要な場合は、インストールしないように注意し
てください。)
Java ソフトウェアのインストール状況の確認:
http://www.java.com/ja/download/installed.jsp
インストールされている Java が最新でない場合は、以下の URL より最新 の Java をインストールしてください。
全オペレーティングシステムの Java のダウンロード一覧
http://java.com/ja/download/manual.jsp?locale=ja&host=java.com
※ Java を最新に更新した場合、一部の Java 上で動作するアプリケーションが動作しなくなる可能性があります。利用するアプリケー
ションへの影響を考慮した上で、更新を適用してください。
[Microsoft]
以下の URL にて、最新のセキュリティ更新プログラムを適用してください。
Microsoft Update
https://www.update.microsoft.com/
また、サイトの改ざん内容が更新され続けていることから推測すると、攻撃の手法が変化する可能性があります。使用するコンピュータの OS やインス
トールされているソフトウエアを常に最新の状態に維持することをおすすめします。また、ウイルス対策ソフトの定義ファイルを最新の状態に更新し、ウイ
ルス検知機能が有効になっていることを確認してください。
【Web サイト管理者向け】
Web サイト管理者は、自社の Web サイトが改ざんされ、ユーザに不正なプログラムをダウンロードさせてしまうような事態を招かないため、以下の確認
事項、対策を改めてご検討ください。
- Web サイトの更新ができるコンピュータを制限する。(IP アドレスなど)
- Web サイトで公開しているコンテンツに不正なプログラムが含まれてい
ないこと、コンテンツが改ざんされていないことを確認する。
- 多くの改ざんされたサイトでは不正な script タグが挿入されています。
HTML ファイルや外部 .js (Javascript) ファイルに「/*GNU GPL*/ try」や 「<script>/*CODE1*/ try」と言った文字列 が追記されています。
*** 更新: 2010年01月08日追記 *******************
挿入される不正な script タグとして以下の文字列を確認しました。
「/*LGPL*/ try」
************************************************
- FTP サーバのログを確認し、アクセス元IPアドレス、アクセス日時などに不審な点がないか確認する。
- Web サイトの更新ができるコンピュータがマルウエアに感染していないか 確認する。Web サイトの管理を外部に委託している場合は、委託先のコン
ピュータがマルウエアに感染していないかなど、委託先に確認の依頼を行う。
III. 参考情報
経済産業省
年末年始におけるインターネット利用に関する注意喚起
http://www.meti.go.jp/policy/netsecurity/downloadfiles/nenmatsunenshi.pdf
JPCERT/CC
Web サイト経由でのマルウエア感染拡大に関する注意喚起
https://www.jpcert.or.jp/at/2009/at090023.txt
JPCERT/CC
Adobe Reader 及び Acrobat の未修正の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2009/at090027.txt
JPCERT/CC
冬期の長期休暇を控えて Vol.2
年末年始におけるインターネット利用に関する注意事項
https://www.jpcert.or.jp/pr/2009/pr090008.txt
*** 更新: 2010年01月08日追記 *****************
JPCERT/CC
Web 改ざんに関する情報提供のお願い
https://www.jpcert.or.jp/pr/2010/pr100001.txt
*** 更新: 2010年01月13日追記 ***************
JPCERT/CC
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100003.txt
独立行政法人情報処理推進機構
ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起
一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起
http://www.ipa.go.jp/security/topics/20091224.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
________
改訂履歴
2010-01-07 初版
2010-01-08 概要の修正、script タグの事例追加、Adobe Acrobat/Reader の未
修正の脆弱性についての対策、参考情報を追記
2010-01-13 Adobe Acrobat/Reader の更新プログラムリリースについて追記
==============================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
-----BEGIN PGP SIGNATURE-----
iQEcBAEBCAAGBQJLTTkwAAoJEDF9l6Rp7OBIvg0H/3DBeg3ILudEogRoStb1Tqb8
G4qYA/5eDiY4C6sSo6X6vbSSYfL82vd1tdC+0d0o1A3ZTtNefsHsbmDo0m71cwRg
hJyK01+csJZkjXwIITd80TXnVTGOMFO55rsxzvtjTqrbooP+8rnnvevA7MOhRYWG
LgoCl86kE3shxInOU1jx72uT5XEEcbM+vKko+y9jHlqrrPfTFpdKstKKseoRcpuk
Xlwbmtf4toDWtN1tepQ08Y59XNPQk4zAzqTEeG2RQQ2IcdovWLAFWMXsBwBu6dDn
rMdHhldFtgEXxztVrovNNKqE/2grC2cpIOVftKxfnVey9LX9Yo525hczzHc/64M=
=z6sb
-----END PGP SIGNATURE-----