ドメインハイジャックで不正なJavaScript配信、内外の大手サイトに影響 [ウィルス/不正アクセス]
SNSとの連携サービスを提供する米GIGYA(ギギャ)社のドメインの登録情報が昨夜、不正に書き換えられ、提供先に改ざんされたJavaScriptファイルが配信された。米英の大手サイトをはじめ、国内でも影響が確認されている。
国内の複数の大手Webサイトでアクセスすると、「You've been hacked by the Syrian Electronic Army(SEA)」(シリア電子軍がハッキングした)という警告ダイアログが表示され、[OK]ボタンを押すと、画像共有サイト「imgur」に置かれたSEAのシンボルマーク画像が表示されるという問題が、昨夜9時頃から発生した。
SEAは、各国の報道機関や政府機関、大手SNSなどを中心にサイバー攻撃を仕掛けている、ハッカー集団のひとつだ。同日午後10時半ごろには、犯行をほのめかすメッセージと、ドメインを乗っ取ったことを示唆するスクリーンショットが、SEAのTwitterアカウントで投稿された。
GIGYA社の公式ブログによると、日本時間の27日6時45分に問題発生を認知し調査したところ、「gigya.com」ドメインを管理しているレジストラの管理情報が改ざんされ、不正なネームサーバーに問い合わせるようになっていたという。
ネームサーバーは、URLなどで使われている文字列のホスト名を、実際の通信で使用するIPアドレスに変換する機能などを提供するサーバーのこと。アクセスしたいサイトの名前を問い合わせると、住所を教えてくれるインターネットの案内人だ。この案内人が嘘の住所を教える嘘つきサーバーに変更されてしまったため、正規のURLで偽のサイトへと誘導されるようになってしまった。
誘導先の偽サイトには、先の警告を表示するJavaScriptファイルが置かれており、GIGYA社のサービスを利用しているサイトで正規のJavaScriptファイルを読み込もうとすると、攻撃者の用意した偽サイトで偽のファイルを読みこんでしまうことになった。GIGYA社のサイトやサービスの提供を受けていたサイトが侵入されたわけではないので、情報流出などの心配はないが、正規のJavaScriptファイルを読み込むようになっていた全てのサイトの全てのページが、まるで改ざんされたかのように振る舞う事態となった。
影響を受けたサイトには、ニューヨークタイムスやCBC、テレグラフ、インデペンデントなどの欧米の大手報道機関が含まれており、海外でも大々的に報道されている。GIGYA社の国内代理店「トーチライト」のホームページによれば、国内では750社以上がこのサービスを受けており、So-netや毎日新聞社などで影響が見られた。
筆者が28日早朝に確認した範囲では、閲覧時に必ず不正なJavaScriptファイルがロードされるとは限らず、ファイルが見つからなかったり、正規のファイルがロードされたりと、アクセスのタイミングによってまちまちだった。不正なファイルの中身は、先の警告と画像を表示するもの以外は見つけられなかったが、ウイルスに感染させようとする攻撃も同じやり方で仕掛けることができるので注意が必要だ。
今回のような攻撃は、一歩間違えば、公式サイトを巻き込んだ大規模なウイルス感染につながることもある。怪しいサイトにアクセスしなければ安全とは限らないので、日頃からのウイルス対策を怠らないでいただきたい。特に、閲覧するだけで感染してしまう最悪の事態を防ぐために、システムやアプリケーションのアップデートを遅延なく行い、常に最新の状態で利用するよう心がけたい。
(2014/11/28 セキュリティ通信)
【関連URL】
・Regarding Today’s Service Attack[英文](Gigya Blog)
http://blog.gigya.com/regarding-todays-service-attack/
・【お知らせ】表示障害への対応方法について(2014/11/28)(毎日新聞)
http://mainichi.jp/info/news/20141128org00m040001000c.html
・【お詫び】警告表示および別のサイトへ誘導される障害について(So-net)
http://www.so-net.ne.jp/support/information/141128.html
・登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2014/at140044.html
・IPアドレス・AS番号/ドメイン名に関する登録情報の不正書き換えに関する注意喚起(JPNIC)
https://www.nic.ad.jp/ja/topics/2014/20141106-02.html
・登録情報の不正書き換えによるドメイン名ハイジャックとその対策について(日本レジストリサービス)
http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.html
【関連記事:セキュリティ通信】
・閲覧者を不正サイトに誘導する「ドメイン名ハイジャック」を国内で確認(JPRS)(2014/11/06)
http://security-t.blog.so-net.ne.jp/2014-11-06
国内の複数の大手Webサイトでアクセスすると、「You've been hacked by the Syrian Electronic Army(SEA)」(シリア電子軍がハッキングした)という警告ダイアログが表示され、[OK]ボタンを押すと、画像共有サイト「imgur」に置かれたSEAのシンボルマーク画像が表示されるという問題が、昨夜9時頃から発生した。
SEAは、各国の報道機関や政府機関、大手SNSなどを中心にサイバー攻撃を仕掛けている、ハッカー集団のひとつだ。同日午後10時半ごろには、犯行をほのめかすメッセージと、ドメインを乗っ取ったことを示唆するスクリーンショットが、SEAのTwitterアカウントで投稿された。
GIGYA社の公式ブログによると、日本時間の27日6時45分に問題発生を認知し調査したところ、「gigya.com」ドメインを管理しているレジストラの管理情報が改ざんされ、不正なネームサーバーに問い合わせるようになっていたという。
ネームサーバーは、URLなどで使われている文字列のホスト名を、実際の通信で使用するIPアドレスに変換する機能などを提供するサーバーのこと。アクセスしたいサイトの名前を問い合わせると、住所を教えてくれるインターネットの案内人だ。この案内人が嘘の住所を教える嘘つきサーバーに変更されてしまったため、正規のURLで偽のサイトへと誘導されるようになってしまった。
誘導先の偽サイトには、先の警告を表示するJavaScriptファイルが置かれており、GIGYA社のサービスを利用しているサイトで正規のJavaScriptファイルを読み込もうとすると、攻撃者の用意した偽サイトで偽のファイルを読みこんでしまうことになった。GIGYA社のサイトやサービスの提供を受けていたサイトが侵入されたわけではないので、情報流出などの心配はないが、正規のJavaScriptファイルを読み込むようになっていた全てのサイトの全てのページが、まるで改ざんされたかのように振る舞う事態となった。
影響を受けたサイトには、ニューヨークタイムスやCBC、テレグラフ、インデペンデントなどの欧米の大手報道機関が含まれており、海外でも大々的に報道されている。GIGYA社の国内代理店「トーチライト」のホームページによれば、国内では750社以上がこのサービスを受けており、So-netや毎日新聞社などで影響が見られた。
筆者が28日早朝に確認した範囲では、閲覧時に必ず不正なJavaScriptファイルがロードされるとは限らず、ファイルが見つからなかったり、正規のファイルがロードされたりと、アクセスのタイミングによってまちまちだった。不正なファイルの中身は、先の警告と画像を表示するもの以外は見つけられなかったが、ウイルスに感染させようとする攻撃も同じやり方で仕掛けることができるので注意が必要だ。
今回のような攻撃は、一歩間違えば、公式サイトを巻き込んだ大規模なウイルス感染につながることもある。怪しいサイトにアクセスしなければ安全とは限らないので、日頃からのウイルス対策を怠らないでいただきたい。特に、閲覧するだけで感染してしまう最悪の事態を防ぐために、システムやアプリケーションのアップデートを遅延なく行い、常に最新の状態で利用するよう心がけたい。
(2014/11/28 セキュリティ通信)
【関連URL】
・Regarding Today’s Service Attack[英文](Gigya Blog)
http://blog.gigya.com/regarding-todays-service-attack/
・【お知らせ】表示障害への対応方法について(2014/11/28)(毎日新聞)
http://mainichi.jp/info/news/20141128org00m040001000c.html
・【お詫び】警告表示および別のサイトへ誘導される障害について(So-net)
http://www.so-net.ne.jp/support/information/141128.html
・登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2014/at140044.html
・IPアドレス・AS番号/ドメイン名に関する登録情報の不正書き換えに関する注意喚起(JPNIC)
https://www.nic.ad.jp/ja/topics/2014/20141106-02.html
・登録情報の不正書き換えによるドメイン名ハイジャックとその対策について(日本レジストリサービス)
http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.html
【関連記事:セキュリティ通信】
・閲覧者を不正サイトに誘導する「ドメイン名ハイジャック」を国内で確認(JPRS)(2014/11/06)
http://security-t.blog.so-net.ne.jp/2014-11-06
2014-11-28 16:53
セキュリティ通信編集部 さん
-
nice! 0
記事 1020
テーマ パソコン・インターネット
プロフィール
ブログを紹介する