Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

英大手紙のサイトが改ざん - 一時「vvvランサムウェア」へ誘導か

イギリス大手新聞「The Independent」の一部ウェブサイトが改ざんされ、閲覧者が「vvvランサムウェア」に感染するよう不正サイトへ誘導されていたことがわかった。これまで被害は限定的との見方だったが、海外大手メディアの改ざんが判明し、被害の拡大が懸念される。

20151209_ti_001.jpg
改ざんされた「The INDEPENDENT BLOGS」

米Trend Microが改ざん被害を明らかにしたもの。同社がエクスプロイトキット「Angler」の動向を調査している際に改ざんを発見した。

日本時間12月9日12時の時点でウェブサイトは改ざんされた状態にあり、同社では運営者へ事態を報告。サイト側では被害の拡大防止に向けた対応を進めているという。

改ざんが発生したのは、コンテンツマネジメントシステムの「WordPress」を用いた同紙のブログコーナー「The INDEPENDENT BLOGS」。一部コンテンツが、パソコン内のファイルを暗号化し、復号にあたって金銭を要求するランサムウェア「Cryptesla 2.2.0」に感染させるため、「Angler EK」へ誘導する状態だった。他コンテンツは影響受けないという。

「Cryptesla 2.2.0」は、拡張子を「vvv」に変更することで知られる「Cryptesla 2.0」の亜種。SNSへ被害報告が投稿されたことを機に、国内で注目が高まっている。

同サイトでは、少なくとも11月21日より改ざんされ、「Angler EK」によりマルウェアへ感染させるサイトへ誘導される状態だったと見られる。同社が確認した時点では、「Adobe Flash Player」の既知の脆弱性「CVE-2015-7645」を悪用しており、脆弱性を修正していないと「Cryptesla 2.2.0」に感染する状態だった。

これまで同マルウェアの感染経路について、「メール添付ファイル」と「脆弱性攻撃サイト」のふたつが確認されていたが、今回あらたに「正規サイトの改ざん」が加わったかたちだ。

複数のセキュリティベンダーが、12月8日の時点で被害は限定的との見方を示していたが、今回、あらたに海外大手メディアの改ざんが明らかとなったことで、被害の拡大も懸念される。

「Angler EK」への誘導は、米Trend Microが把握しているだけでも、1日あたり4000ユーザーに及ぶとしており、今回の「The Independent」に限らず、多くの正規サイトが被害にあっていると指摘。注意を呼びかけている。

(Security NEXT - 2015/12/09 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「ごめん!」TeslaCrypt開発者が復号キー公開 - 無償復号化ツールも登場
ランサムウェア対策、被害に備えて定期的なバックアップを
「CryptoWall」の感染狙うDBD攻撃が12月中旬より増加 - 「vvvランサムウェア」感染活動も断続的に
12月修正の「Flash Player」脆弱性が攻撃対象に - 確実にアップデートを
闇市場で取り引きされる「vvvランサム」 - 購入者ごとにID
請求書の偽装メールで「vvvランサム」が国内に拡散 - 複数ベンダーが検知
「vvvランサム」、国内で攻撃メールを検知 - 日本IBM
vvvランサムウェア、「差し迫った脅威ではない」 - トレンド見解
「vvvランサムウェア」、感染経路は「スパム」と「脆弱性攻撃サイト」
「vvvランサムウェア」はFlash脆弱性で感染、「Angler EK」で拡散 - カスペが分析