政府系サイトも被害多数! 暗号通貨のマイニングコードがプラグイン経由で仕込まれる

『Security Affairs』

February 16, 2018 11:00
by 『Security Affairs』

侵害されたウェブサイト(4275件)のリストには、英国のNHS、英国のデータ保護機関の情報コミッショナーオフィス(Information Commissioner’s Office、ICO/ico.org.uk)、英国の学生ローンカンパニー(Student Loans Company/slc.co.uk)、ニューヨーク市立大学(The City University of New York/cuny.edu )、そして米国政府の裁判システムなどが含まれている。

いくつかのウェブサイトのダウンが確認されたのち、ICOも自身のウェブサイトをダウンさせた。

被害にあったウェブサイトは、全盲のユーザーや視覚障害のあるユーザーでもコンテンツを読めるようにするためのプラグイン「Browsealoud」を利用していた。

Browsealoudを利用しているすべてのウェブサイトは7時間(3:00〜11:45 UTC)ほどにわたり、暗号通貨「Monero」のマイニングコードを意図せず実行することとなった。

攻撃者は、そのプラグインに「難読化バージョン」のマイニングコードを挿入した。それは16進数からASCIIに変換されると(戻されると)、ウェブページ上にマイニングコードをロードできるようになる。

難読化された暗号通貨のマイニングコード

この問題について警報を鳴らしたのは、セキュリティ専門家のScott Helmeだった。彼の友人のひとりが英ICOのウェブサイトを訪問した際、アンチウイルスのソフトウェアから警告を受けたため、それをHelmeに連絡した。

「こういったタイプの攻撃は新しくはない──しかし、これまでに見たものの中で最大だ。ひとつの企業に対するハッキングが、英国、アイルランド、米国の各地で何千ものサイトに影響を及ぼすことになった」とHelmeは述べた

「つい先ほども、ある人物から『地元のオーストラリア政府のウェブサイトも同じソフトウェアを使っている』というメッセージを受けとった」


上記ツイート翻訳:うーん、そうだね、これは「まずい」状況だ。@ICOnewsのサイトに暗号通貨マイナーがインストールされていることを@phat_hobbit に指摘されたばかりだ……
— Scott Helme (@Scott_Helme) February 11, 2018

改ざんされたウェブサイトに注入された「望まれないコード」をブロックするため、SRI(Subresource Integrity)の技術を利用することをHelmeは推奨している。

問題のプラグイン「Browsealoud」を開発した企業Texthelpは、暗号通貨のマイニング活動を中止させるために、ウェブサイトからBrowsealoudのコードを削除した。

「昨今の世界中で発生しているサイバー攻撃を考慮した我々は、昨年から『そのような攻撃』に備えてきた。そして我々のデータセキュリティ対策の計画は、ただちに実行された」と、Texthelpの最高技術責任者Martin McKayは声明で語った。

「Texthelpでは、Browsealoudの適所に対して『継続的なセキュリティ検査』を自動的に行っている。その検査により、改ざんされたファイルが検出されたので、結果として製品(Browsealoud)はオフラインになった」

Texthelpは「(他者に)アクセスされたり、失われたりした顧客のデータはない」ということ、そして「セキュリティ調査が完了したあとで、顧客は(現行バージョンよりも新しい)最新版を受け取ることになる」ということを確証した。


上記ツイート翻訳:現行のTexthelpのデータセキュリティ調査について、我々のウェブサイトに記した声明:https://t.co/KEXFbmDyZE これに応じて、すべてのお客様のウェブサイトからBrowsealoudは自動的に取り除かれました。お客様が何かをする必要はありません。
— Texthelp for Edu (@texthelp) February 11, 2018

問題の悪性コードは、16:00(UTC)に取り除かれた。英国ICOは現在のところ予防措置として、最小限の「メンテナンス」モードでの運営を行っている。
 
翻訳:編集部
原文:Thousands of websites worldwide hijacked by cryptocurrency mining code due Browsealoud plugin hack
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

全盲のユーザーや視覚障害のあるユーザーを補助するためのプラグイン「Browsealoud」に、何者かが仮想通貨の発掘コードをこっそりと忍ばせた。その結果、このプラグインを利用している多数のWebサイトにアクセスした人は、知らない間に自身のパソコンで仮想通貨採掘のマイニングが行われるという事件が発生した。

今回プラグインが利用されたが、広告の配信システムを悪用してマルウェアを配布するMalvertising(マルバタイジング)は以前から問題となっている。そしてMalvertisingを利用して、仮想通貨採掘コードを配布する事例も注目されている。以前、THE ZERO/ONEで紹介した「Coinhive」も、現在はMalvertisingを利用して拡散されている事例を、トレンドマイクロが報告している

自身のパソコンで勝手にマイニングさせないためには、アンチウイルスソフトの導入はもちろん、もし可能であればブラウザーのJavaScript利用停止(もしくは必要なときだけ利用)、アドブロックの拡張機能追加を行って対処するしかない。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

「教科書アダルトリンク事件」の犯人が逮捕される

February 13, 2018 08:00

by 牧野武文

中国の中学高校用副教材『中国古代詩歌散文鑑賞』の中に、参考用としてアダルトサイトのURLが掲載されて教育界が大騒ぎになった事件を以前にお伝えした。このアダルトサイトの運営者が逮捕されたことを『騰訊新聞』が報じた。 「あぶれ組」による犯行 中国の人口は約14億人。中国政府は伝統的に教育に力を入れており…

悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(後編)

February 9, 2018 08:00

by 江添 佳代子

→前編はこちら 人々の「動き」が伝える情報 Global Heatmapによって引き起こされた問題について、英語圏のメディアの多くは「Stravaのマップで世界の軍用基地が発見された」などの見出しをつけて伝えている。しかし、それは誤解を招きやすい表現かもしれない。なぜなら人々が報告した「場所」そのも…

悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(前編)

February 8, 2018 14:08

by 江添 佳代子

フィットネストラッキングの人気サービス「Strava」(ストラバ)が、世界中のユーザーによる活動状況のマップを公開した。そのマップが、米軍の基地をはじめとした複数の国々の「軍事拠点における人々たちの動き」まで示していたことが判明し、国家安全保障を巡るコミュニティに新たな討論が引き起こされている。 自…

スマートフォンの指紋認証をセロハンテープでハッキング

February 5, 2018 08:00

by 牧野武文

スマートフォンで使われている指紋認証。中国江蘇省の匿名エンジニアが、身近な文房具でハックするお手軽な方法を公開して話題になっていると、『中国日報網』が報じた。 指紋認証突破は難しい 指紋認証はいろいろな方法でハッキングできる。ミシガン大学の研究チームは、指紋をスキャンし、これをプリントしたシートで指…