狙われる官公庁や市町村サイト、攻撃者が偽サイトに利用する理由
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」6月29日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・攻撃者が意図したスクリプトの挿入、オリジナルサイトにはない挙動が
・「アクセスした相手を信用させること」が攻撃者の大きな狙い
今回の解説ニュース
最近、世間を騒がせている官公庁や市町村の「偽サイト」について、調査結果が発表されています。先週金曜日の配信でもお届けした官公庁や市町村の偽サイトの詳細について説明します。
官公庁や市町村のWebページの「偽サイト」が検索上位に登場する等の報告が6月から相次いでおり、6月15日には内閣サイバーセキュリティセンター(NISC)から注意喚起が出されています。セキュリティベンダーの調査によると、当該サイトは過去から何度も繰り返されている「プロキシ回避システム」の一種であるということです。
今回問題となったサイトは、基本的には指定されたURLのWebページの内容を中継するものでしたが、要求された接続先の内容に別のJava Scriptコードを挿入する挙動を確認しています。また、Java Scriptコードの挿入で、本来の表示が崩れて表示される、広告のポップアップが表示される等の機能が追加されている場合があることを確認しているということです。
攻撃者が意図したスクリプトの挿入、オリジナルサイトにはない挙動が
今回の偽サイトは、別のサーバを経由してオリジナルのWebサイトを表示し、同時に攻撃者の意図したスクリプトを挿入しています。少し技術的な内容になりますが、できるだけわかりやすく説明します。
まず、別のサーバを経由してオリジナルのWebサイトを表示する方法ですが、基本的には指定されたWebページを中継して表示するだけなので、それだけで不正な存在とは言えません。通常の目的としては、接続元のIPアドレスを接続先のWebサーバに知られるのを防ぐことが挙げられますが、セキュリティ対策であるURLフィルタリングの迂回方法として利用される場合があります。
URLフィルタリングとは、管理者がアクセスすることが不適切であると考えるWebサイトに対して、ユーザのアクセスをブロックするセキュリティ対策です。アクセスできるURLを登録するホワイトリスト形式や、アクセスできないURLを登録するブラックリスト形式があります。
今回、プロキシ回避システムで、官公庁や市町村のWebサイトを表示しながら、別のJavaScriptを表示させているということです。具体的には、要求された接続先の内容にinject.jsというファイル名のJava Scriptコードを挿入していることが調査結果で挙げられています。inject.jsの中身について、現在は広告のポップアップが表示される機能が追加されているということですが、今後は攻撃者が自由に変更することができると考えられますので注意が必要です。
調査結果を発表したセキュリティベンダーも、オリジナルのWebページとは異なる挙動を差しはさむことについて、プロキシ回避システムの範疇を外れる「不審な行為」と指摘しています。
その他のトピック
「アクセスした相手を信用させること」が攻撃者の大きな狙い
(全文はこちら)