「危ないサイト」だけではなく、正規サイトや、“いつも見ているホームページ”が、ある日突然、ウ
イルスへのリンクを埋め込む改ざんが行われ、そのサイトを閲覧しただけでコンピュータウイルスに
感染する被害が増加しています。
特に最近は、俗に"Gumblar(ガンブラー)ウイルス"と呼ばれるホームページから感染するウイルスに
より、大企業のサイトから個人のサイトまで、様々なサイトが改ざんされ、ウイルスへリンクを埋め
込まれる被害が増加しております。改ざんされたホームページを閲覧した場合、感染する可能性が非
常に高くなっています。
当サイトでは、ボットウイルスから守るために
のページで以下の3つの対
策お願いしております。
1.Windows Updateを行う
2.ウイルス対策ソフトを入れる
3.ブロードバンドルータを入れる
しかし、
ホームページからの感染を防ぐためには、この3つの対策以外に次の「1.ホー
ムページ閲覧者の感染防止方法」に記載するプログラムを最新に保つことが必要です。
また、ホームページを持っていらっしゃる方は、
を参考にウイルスへのリンクを改ざんされ埋め込まれていないかの確認を行い、改ざん
されていた場合は手順に従い復旧を行ってください。
の「MyJVNバージョンチェッカ」を利用してWeb感染型に利用さ
れやすいプログラムのバージョンを確認します。
「バージョンをチェックする」のボタンをクリックし、「×最新のバージョンではありません」と表
示された場合は、手順2のバージョンアップ方法を参考にバージョンアップを行ってください。
また、「MyJVNバージョンチェッカ」でサポートされていない、その他のWeb感染型に利用されや
すいプログラムについては、手順3にてバージョンアップを行ってください。
※新しい画面が起動します
「MyJVNバージョンチェッカ」で「×最新のバージョンではありません」と表示された場合は、下記
を参考にバージョンアップを行ってください。
@
A同時にインストール「無料のMcAfee Security Scan (オプション)」のチェックを外す
※ Googleツールバーを使っていない方は、「Googleツールバー」が表示されます。
B「今すぐインストール」ボタンをクリックし、案内に従いインストール
@
A「オペレーティングシステムまたはブラウザの変更」をクリック
Bプルダウンメニューから「Windows 7/Vista/XP/2008/2003/2000」を選択し
「続ける」ボタンをクリック
C「Flash Player 10 for Windows - Other Browsers」を選択
D同時にインストール「無料のMcAfee Security Scan (オプション)」のチェックを外す
※ Googleツールバーを使っていない方は、「Googleツールバー」が表示されます。
E「今すぐインストール」ボタンをクリック
F「こちらをクリックしてダウンロードしてください」をクリックしデスクトップに保存
Gデスクトップにダウンロードした「install_flash_player.exe」をダブルクリックし
案内に従いインストール
※Firefoxの場合はダウンロードマネージャ画面の「install_flash_player.exe」を
ダブルクリック
Readerのバージョンによって対応方法が異なります。
@[スタート]−[全てのプログラム]から「Adobe Reader9」を起動
A[ヘルプ]−[アップデートの有無をチェック]し、その後は案内に従いバージョンアップ
Adobe Acrobat Reader5〜7を利用されている場合は、既にサポート範囲外となっているため
セキュリティホールの改修が行われません。
また、Adobe Reader8についても、2010年末にはサポート対象外となり改修が行われなくなる
ことから、最新のAdobe Reader9にすることをお勧めいたします。
下記の手順で旧バージョンのAdobe Acrobat Reader(Adobe Reader)をアンインストールして
、最新のAdobe Reader9をインストールしてください。
@[スタート]−[コントロールパネル]−[プログラムの追加と削除]をクリック
(Vista以上では、「プログラムと機能」)
A一覧から該当のAdobe Acrobat ReaderまたはAdobe Readerを選択して「変更と削除」
をクリック(Vista以上では、ダブルクリック)して案内に従い削除
(Vista以上では、ダブルクリックして、アンインストールしますか?対し「はい」を選択)
<最新バージョンのAdobe Readerをインストールします。>
B
C同時にインストール「無料のMcAfee Security Scan (オプション)」のチェックを外す
※ Googleツールバーを使っていない方は、「Googleツールバー」が表示されます。
D「今すぐインストール」ボタンをクリック
E「ダウンロードが開始しない場合は、ここをクリックしてください。」を
クリックしデスクトップに保存
Fデスクトップにダウンロードした「AdbeRdr9**_ja_JP.exe」をダブルクリックし
案内に従いインストール
@
A「無料 Javaのダウンロード」ボタンを押し案内に従いインストール
▼
旧バージョンのアンインストール
JREは、旧バージョンが削除されずにパソコン内に残ります。企業などで特定のバージョン
のJREを必要とする場合はありますが、それ以外の場合では旧バージョンをアンインストールす
ることをお薦めします。
B[スタート]−[コントロールパネル]
C「プログラムの追加と削除」をクリック(Vista以上では「プログラムと機能」)
Dインストールされている旧バージョンのJREを選択し「削除」ボタンをクリック
(Vista以上では、ダブルクリックして、アンインストールしますか?対し「はい」を選択)
@
A最新バージョンをクリックしデスクトップに保存
B保存した「Lhaplus Version *.**」をダブルクリックし、案内に従いインストール
@[スタート]−[全てのプログラム]から「Mozilla Firefox」を起動
A[ヘルプ]−[ソフトウェアの更新を確認]をクリック
B案内に従いインストール
@[スタート]−[全てのプログラム]から「Mozilla Thunderbird」を起動
A[ヘルプ]−[ソフトウェアの更新を確認]をクリック
B案内に従いインストール
@
A「ダウンロード開始」ボタンをクリックしデスクトップに保存
B保存した「QuickTimeInstaller.exe」をダブルクリックし、案内に従いインストール
「MyJVNバージョンチェッカ」では、サポートされていない下記のソフトもWebからの感染を防止
するためには、更新の必要がありますので、続けて実施してください。
@
A「今すぐインストール」ボタンをクリック
B同時にインストール「Norton Security Scan を含める」のチェックを外す
※ Googleツールバーを使っていない方は、「Googleツールバー」が表示されます。
C「次へ」ボタンをクリックし、案内に従いインストール
@
A案内に従いインストール
「getPlus(R) for Adobe」が入っている(インストールされている)かを確認し、入っている場合は
削除(アンインストール)します。
※「getPlus(R) for Adobe」(Adobe Download Manager)にはぜい弱性が報告されており、修正プログラムを適用
する方法もありますが、削除しても問題はないプログラムであるため、ここでは削除の案内を行っています。
@[スタート]−[コントロールパネル]−[プログラムの追加と削除]をクリック
(Vista以上では、「プログラムと機能」)
A一覧から「getPlus(R) for Adobe」があるかを確認
・ない場合 → 終了
・ある場合 → 次のBへ
B「削除」ボタンをクリック
(Vista以上では、ダブルクリックして、アンインストールしますか?対し「はい」を選択)
ホームページにリンクを埋め込まれる改ざん原因の多くは、ホームページを更新(FTP)するとき
に使用するパソコンが何らかのウイルスに感染したことが、そもそもの原因です。
ウイルスに感染しますと、下図のようにFTPのIDとパスワードを盗まれ、外部の改ざんサーバ
より、あなたのホームページに対してウイルスへのリンクを直接埋め込みます。
このため、FTPのIDとパスワードの流出原因であるウイルスを駆除しませんと、何度でも改ざん
が行われますので、下記の手順に従って対処を行ってください。
ページの表示と同時にリンクする見えないウイルスへのリンクを埋め込む改ざんが行われます。
多くの場合、ウイルスのリンクは、[例1]のように
・<body> タグの前または後に<script>または<iframe> タグを埋め込む
・</html> タグの前または後に<script>または<iframe> タグを埋め込む
が一般的です。
※ ここに挙げる例は、代表的な改ざん事例であり他のパターンもありますのでご注意ください。
※例1赤下線の「/*GNU GPL*/」「/*CODE1*/」は、2010年1月初旬に「/*LGPL*/」に変わり、2010年1月22日頃か
ら
「/*Exception*/」に変わっていますのでご注意ください。
ウイルスのリンクは、[例1]のようにリンク先のURLが読める場合と、[例2]のようにリンク先部分
が難読化されている場合とがあります。
気づきにくい例として注意したいのは、htmlからリンクするjsファイル(JavaScriptファイル)の末
尾に[例3]のようにウイルスへのリンクを埋め込む場合もあります。
FTPを行うパソコンのウイルス感染チェックと駆除を行います。
(1)ボット ウイルスの駆除対策手順の実施
当センターの
に従いWindows Update及びブロードバン
ドルータの導入を図り、ウイルスに感染しない環境を作ると共に、CCCクリーナー及びイン
ストールしているウイルス対策ソフトでウイルスの検索を行ってください。
(2)周辺アプリケーションの更新
Web感染型ウイルスに利用される周辺プログラムの更新を行います。
本ページの前項
を実施してください。
(1)感染しているウイルスが、検索したウイルス対策ソフトで検出されない
検索したウイルス対策ソフトでは未知のウイルスである可能性があります。インストールして
いるウイルス対策ソフトと異なるメーカのオンラインスキャンを行ってください。
【注意】
先の「ボット ウイルスの駆除対策手順」のCCCクリーナーを実施してファイル感染型ウイルスに感染している
旨の画面が出た方はオンラインスキャンを実施しないようにしてください。
・
・
カスペルスキー(休止中)
・
・
(検知のみ)
・
(検知のみ)
(2)FTPを行っている他のパソコンが感染
ホームページをサーバにアップロードするFTPを他のパソコンから行っている場合は、そのパソ
コンの感染ということも考えられます。
特に、ホームページ制作会社等からFTPしてもらった場合で、その制作会社のパソコンが
感染したために改ざんされた例もありますので、その点にも注意してください。
盗まれたFTPアカウント(ID,パスワード)で再度改ざんされないように、FTPパスワードの変更を行
ってください。
※変更方法が不明な場合は、プロバイダまたはサーバホスティング会社に問い合わせてください。
改ざんされたウイルスへのリンクを削除します。
全てのページに埋め込まれていますので、全てのページを確認してください。特に、前記の[例3]で
案内したjsファイル(JavaScriptファイル)を利用されている方は、jsファイルも必ず確認してくだ
さい。
ご利用のパソコンのブラウザ(Internet Explorer,Firefox,Opera等)のキャッシュには、改ざんさ
れていた際のページが保存されています。このキャッシュを削除しませんと、改ざんを削除後、ホー
ムページに接続した際に、キャッシュが優先されウイルスへのリンクを含む改ざんされていた時のペ
ージを表示し、再度ウイルスをダウンロードしてしまいます。
このため、ご使用のブラウザのキャッシュを消去することが必要です。
<ブラウザのキャッシュ消去方法>
ご利用のブラウザを選択しキャッシュの消去を行ってください。
【企業等の場合】
・全てのパソコンのブラウザキャッシュ削除をすることをお勧めします。
・Proxyサーバを設置している場合は、そのキャッシュのクリアも併せて実施してください。
改ざんと同時に、不正なプログラムファイルを作成されている場合があります。作成時間(タイムス
タンプ)で判断するなどして、サーバ上の全フォルダ内に不審なファイルがないかを確認してくだ
さい。
※多い例としては、拡張子がphp、exeなどのファイルが作成されます。
あなたのページを閲覧した方が感染している可能性があります。ウイルスの蔓延を避けるためにもホ
ームページ上で改ざんされウイルスへのリンクがあった旨の告知を行い、閲覧者に
・手順1で案内したオンラインスキャン等でのチェック
・手順4で案内したブラウザのキャッシュクリア
をお願いしてください。
ウイルス駆除、対策が不十分であったり、パスワードの変更を行っていなかったりすると、最短で数
時間後に再び改ざんが行われています。
再び改ざんされていないかを、こまめにチェックしてください。
1.
FTPは、特定のIPアドレスからのみFTPを可能とする設定、クライアント認証方式のVPN接続にす
るなど、FTPが行える端末、ネットワークを限定する。
2.
Web製作、システム開発会社にFTPアカウントを付与しアクセスを許可させた場合、その業務の完
了と共にFTPアカウントの削除、またはパスワードの変更を行う。
また、委託を受けた側も、付与されたFTPアカウントは、業務終了と共にパソコン内から削除する
。
3.
改ざんされていないかどうかを定期的にチェックする。