システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)
企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。
February 16, 2018 11:00
by 『Security Affairs』
侵害されたウェブサイト(4275件)のリストには、英国のNHS、英国のデータ保護機関の情報コミッショナーオフィス(Information Commissioner’s Office、ICO/ico.org.uk)、英国の学生ローンカンパニー(Student Loans Company/slc.co.uk)、ニューヨーク市立大学(The City University of New York/cuny.edu )、そして米国政府の裁判システムなどが含まれている。
いくつかのウェブサイトのダウンが確認されたのち、ICOも自身のウェブサイトをダウンさせた。
被害にあったウェブサイトは、全盲のユーザーや視覚障害のあるユーザーでもコンテンツを読めるようにするためのプラグイン「Browsealoud」を利用していた。
Browsealoudを利用しているすべてのウェブサイトは7時間(3:00〜11:45 UTC)ほどにわたり、暗号通貨「Monero」のマイニングコードを意図せず実行することとなった。
攻撃者は、そのプラグインに「難読化バージョン」のマイニングコードを挿入した。それは16進数からASCIIに変換されると(戻されると)、ウェブページ上にマイニングコードをロードできるようになる。
難読化された暗号通貨のマイニングコード
この問題について警報を鳴らしたのは、セキュリティ専門家のScott Helmeだった。彼の友人のひとりが英ICOのウェブサイトを訪問した際、アンチウイルスのソフトウェアから警告を受けたため、それをHelmeに連絡した。
「こういったタイプの攻撃は新しくはない──しかし、これまでに見たものの中で最大だ。ひとつの企業に対するハッキングが、英国、アイルランド、米国の各地で何千ものサイトに影響を及ぼすことになった」とHelmeは述べた。
「つい先ほども、ある人物から『地元のオーストラリア政府のウェブサイトも同じソフトウェアを使っている』というメッセージを受けとった」
上記ツイート翻訳:うーん、そうだね、これは「まずい」状況だ。@ICOnewsのサイトに暗号通貨マイナーがインストールされていることを@phat_hobbit に指摘されたばかりだ……
— Scott Helme (@Scott_Helme) February 11, 2018
改ざんされたウェブサイトに注入された「望まれないコード」をブロックするため、SRI(Subresource Integrity)の技術を利用することをHelmeは推奨している。
問題のプラグイン「Browsealoud」を開発した企業Texthelpは、暗号通貨のマイニング活動を中止させるために、ウェブサイトからBrowsealoudのコードを削除した。
「昨今の世界中で発生しているサイバー攻撃を考慮した我々は、昨年から『そのような攻撃』に備えてきた。そして我々のデータセキュリティ対策の計画は、ただちに実行された」と、Texthelpの最高技術責任者Martin McKayは声明で語った。
「Texthelpでは、Browsealoudの適所に対して『継続的なセキュリティ検査』を自動的に行っている。その検査により、改ざんされたファイルが検出されたので、結果として製品(Browsealoud)はオフラインになった」
Texthelpは「(他者に)アクセスされたり、失われたりした顧客のデータはない」ということ、そして「セキュリティ調査が完了したあとで、顧客は(現行バージョンよりも新しい)最新版を受け取ることになる」ということを確証した。
上記ツイート翻訳:現行のTexthelpのデータセキュリティ調査について、我々のウェブサイトに記した声明:https://t.co/KEXFbmDyZE これに応じて、すべてのお客様のウェブサイトからBrowsealoudは自動的に取り除かれました。お客様が何かをする必要はありません。
— Texthelp for Edu (@texthelp) February 11, 2018
問題の悪性コードは、16:00(UTC)に取り除かれた。英国ICOは現在のところ予防措置として、最小限の「メンテナンス」モードでの運営を行っている。
翻訳:編集部
原文:Thousands of websites worldwide hijacked by cryptocurrency mining code due Browsealoud plugin hack
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。
全盲のユーザーや視覚障害のあるユーザーを補助するためのプラグイン「Browsealoud」に、何者かが仮想通貨の発掘コードをこっそりと忍ばせた。その結果、このプラグインを利用している多数のWebサイトにアクセスした人は、知らない間に自身のパソコンで仮想通貨採掘のマイニングが行われるという事件が発生した。
今回プラグインが利用されたが、広告の配信システムを悪用してマルウェアを配布するMalvertising(マルバタイジング)は以前から問題となっている。そしてMalvertisingを利用して、仮想通貨採掘コードを配布する事例も注目されている。以前、THE ZERO/ONEで紹介した「Coinhive」も、現在はMalvertisingを利用して拡散されている事例を、トレンドマイクロが報告している。
自身のパソコンで勝手にマイニングさせないためには、アンチウイルスソフトの導入はもちろん、もし可能であればブラウザーのJavaScript利用停止(もしくは必要なときだけ利用)、アドブロックの拡張機能追加を行って対処するしかない。
1
悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(後編)
February 9, 2018
2
公衆無線LANを悪用した暗号通貨マイニング術
January 19, 2018
3
連載「セキュリティエンジニアの道」 #01 はせがわようすけ氏世界平和のためにセキュリティをやっています
December 8, 2017
4
ハッキングスキルはお金で解決 サイバー犯罪のコストと利益
November 22, 2017
5
就活はハッキング!? 伝説になった中国人ハッカーの就職活動
November 27, 2017
6
5キロ先のAPに接続を試みる無線LANハッカー
November 20, 2017
7
海底情報戦争──海底ケーブルに対するロシアの脅威の危険性
December 28, 2017
8
連載「IoTのセキュリティリスクを考える」#03 重要生活機器連携セキュリティ協議会 伊藤公祐事務局長、緒方日佐男氏(ATM-SWG主査)、三上清一氏(車載器SWG主査)生活関連IoT機器のセキュリティをどう守るか(後編)
December 26, 2017
9
ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍
January 15, 2018
10
サイバー犯罪者に狙われる銀行間通信網「SWIFT」(前編)
November 17, 2017