JPCERT/CC 2021年第2四半期インシデント報告、改ざんサイトから詐欺サイトへの誘導多数確認
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」7月23日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・「ラッキービジター詐欺ページ」とはーサイト改ざんへの対策
今回の解説ニュース
JPCERT/CCへ報告された四半期のインシデントについて公開されており、前四半期と比較して大きな変化はなかったということです。直近の四半期で報告されたインシデントの傾向と対策について説明します。
JPCERT/CCとは、日本の技術的なセキュリティの窓口となる組織です。セキュリティインシデントについて、国内の組織から報告を受け付けて対応の支援や発生状況の把握、手口の分析や再発防止の助言などを技術的な立場から行ってくれます。
JPCERT/CCに寄せられたインシデントの報告件数は10,274件で前四半期と比較して7%増加しており、内訳としてはフィッシングサイトが69.4%、スキャンが19.9%であったということです。
また、Webサイト改ざんの件数は251件で前四半期から11%減少していますが、改ざんされたWebサイトから詐欺サイトなどに誘導される報告が複数寄せられているということです。改ざんされたWebサイトで直接的な被害を発生させるだけでなく、別のWebサイトへ誘導させるなど手の込んだサイバー攻撃が発生しているため、いつも使っているWebサイトに違和感がある場合は注意が必要です。
「ラッキービジター詐欺ページ」とはーサイト改ざんへの対策
今回の記事で取り上げられている「ラッキービジター詐欺ページ」がどのようなものであるか踏まえたうえで、サイトが改ざされないための対策について説明します。
ラッキービジター詐欺ページの場合、攻撃者はCMSの脆弱性を悪用して、サーバに不正なPHPスクリプトを設置します。CMSとはコンテンツマネジメントシステムの略で、WordPressなど様々なCMSが無料で提供されています。専門的な知識がなくてもWebサイトの構築や運用ができる一方で、セキュリティの設定が十分に行われず、サイバー攻撃の被害が発生している事例が数多く存在します。
不正なPHPスクリプトには、アクセスした被害者を詐欺サイトなどへ転送する機能と、攻撃者から受け取った指示をサーバ上で実行する機能があります。被害者を詐欺サイトへ転送する機能は、アクセス元がGoogleなどの検索エンジンでないことを確認したり、PHPスクリプトの解析を逃れるために2回目以降のアクセスでは転送が行われないような工夫がなされています。また、詐欺サイトへ転送すること以外に、攻撃者からの指示を受け取り、サーバへ不正なページを設置したり、外部から任意のコマンドを実行したりすることが可能です。
これらの被害を防ぐためには、CMSの脆弱性を洗い出して修正することが必要です。特にCMSのプラグインは脆弱性が多く発見されていますので、最新版にアップデートすることや、しばらく更新されていないプラグインは使用しないなどの対策が必要です。また、すでに攻撃を受けていないか確認する方法として、サーバに身に覚えのないファイルが存在していないか定期的に確認することも有効です。
ラッキービジター詐欺ページについては、JPCERT/CCが詳細情報を公開していますので、Webサイトをお持ちのかたは、お時間があるときにチェックしてみてはいかがでしょうか。
■【JPCERT/CC】ラッキービジター詐欺で使用されるPHPマルウェア
https://blogs.jpcert.or.jp/ja/2021/06/php_malware.html