アカウント名:
パスワード:
そんな丸ごとマルウエアなWEBサイトってどこなんだ、と思ったら
都によると、感染経路は朝日新聞や読売新聞のニュースサイトに表示されたバナー広告のほか、厚生労働省の外郭団体「安全衛生技術試験協会」のホームページ(HP)など。
広告掲載する際に内容は精査しないのか、できないのか、しなくてもいいのか。実際広告を表示させてるのはまた別の会社なんでしょうけど、そっちをなんとかしとかないとダメだと思うけど、やっぱりできないんすかね。Googleとかはどうしてんのかな。#Flashはやっぱりもうダメか。
広告掲載する際に内容は精査しないのか、できないのか、しなくてもいいのか。
改ざんされたと書かれている。
協会のHPは閲覧時にウイルス感染するよう何者かに改竄(かいざん)されており、現在は閉鎖している。
読む限り、改竄されたのは「協会のHP」で、「バナー広告」は改竄されていない様に読めますが?
つまりは朝日新聞や読売新聞はバナー広告から感染し協会はバナー広告以外から感染するのか?
たぶんそれで正解【改ざんされたURL】hxxp://www.exam.or[dot]jp/movie.swf
公益財団法人 安全衛生技術試験協会 皆様へのお詫びとお知らせ(更新第二版) [exam.or.jp]
1 マルウェアのファイル名 Rdws.exe movie.swf 2 マルウェア感染の条件 【Flash Player のバージョン】 Adobe Flash Player 18.0.0.194及びそれ以前のバージョン 【ブラウザの種類】 Internet Explorer 【改ざんされた当協会HPのURL】 http://www.exam.ordotjp/movie.swf [www.exam.ordotjp]
1 マルウェアのファイル名 Rdws.exe movie.swf
2 マルウェア感染の条件 【Flash Player のバージョン】 Adobe Flash Player 18.0.0.194及びそれ以前のバージョン
【ブラウザの種類】 Internet Explorer
【改ざんされた当協会HPのURL】 http://www.exam.ordotjp/movie.swf [www.exam.ordotjp]
Rdws.exe でググると、トレンドマイクロ曰く「継続中の大規模な同時多発Web改ざん攻撃」 [trendmicro.co.jp]だそうだ。
JP RTL では、本件について 7月24日時点で数十ドメインの改ざん事例を確認しています。そのうち約半数が日本に関連する Webサイトでした。さらに、これらの攻撃の内容を確認したところ、以下のような特徴が見えます。 * 現在までに確認された国内の改ざんサイトは、特定のクラウドホスティングサービスに集中している * 改ざんの犠牲になった Webサイトのほとんどが非営利団体のものである(外郭団体など) * 不正に設置された HTMLファイルと SWFファイルは全てのケースでほぼ同一のファイル名と構成を持つ * Adobe Flash Player の脆弱性「CVE-2015-5119」と「CVE-2015-5122」を利用した攻撃を行う * 最終的に感染する不正プログラムのファイル名は全てのケースで同一の “Rdws.exe” である * 不正プログラム「Rdws.exe」は、かねてから日本を狙う標的型攻撃で利用されている遠隔操作ツール(RAT)の、「EMDIVI」ファミリーもしくは「PLUGX」ファミリーである
JP RTL では、本件について 7月24日時点で数十ドメインの改ざん事例を確認しています。そのうち約半数が日本に関連する Webサイトでした。
さらに、これらの攻撃の内容を確認したところ、以下のような特徴が見えます。
* 現在までに確認された国内の改ざんサイトは、特定のクラウドホスティングサービスに集中している * 改ざんの犠牲になった Webサイトのほとんどが非営利団体のものである(外郭団体など) * 不正に設置された HTMLファイルと SWFファイルは全てのケースでほぼ同一のファイル名と構成を持つ * Adobe Flash Player の脆弱性「CVE-2015-5119」と「CVE-2015-5122」を利用した攻撃を行う * 最終的に感染する不正プログラムのファイル名は全てのケースで同一の “Rdws.exe” である * 不正プログラム「Rdws.exe」は、かねてから日本を狙う標的型攻撃で利用されている遠隔操作ツール(RAT)の、「EMDIVI」ファミリーもしくは「PLUGX」ファミリーである
つまり「安全衛生技術試験協会」に限らず攻撃は拡大する恐れがあるとのこと。
とりあえずこのニュースに触れたら、今一度手元の環境のアップデート状況やマルウェアが仕込まれていないか確認する必要があるだろう。
感染urlのリンクを貼るのはやめたほうが。
「皆様へのお詫びとお知らせ(更新第二版)」と入れたから察してもらえるかと思ったのですが、すでに対策済みです。ただしマルウェアに感染する URL は他にもあるので、引き続き注意は要します。
Googleの広告でも、昨年同じ事が起こりました。
<Googleの広告サーバ「DoubleClick」がマルウェアを配信していた>http://gigazine.net/news/20140922-google-doubleclick-malware/ [gigazine.net]
広告審査に際し、ウイルススキャンくらいはかけているでしょうが、zero-day脆弱性を利用していた場合は検出が難しいかも知れませんね。
出稿した人の身元が分かっているなら、起訴できないの?
金銭のやりとりもあるし、広告主の身元はわかっているはず。広告会社はそういう悪い広告主を突っぱねるべき。それとも大口で金積まれて文句言えない立場なのか。
クライアント>広告会社>マスコミ様→発表できない・・・
たぶん、名目上の広告主は、乗っ取られたPCを持ってるだけなんじゃないかな。真犯人はbotnetから、そのPCをリモート操作して広告出してて、追跡困難みたいな。
この間逮捕された17歳の少年は、盗み出したクレジットカード情報で決済してたが?GoogleAdsなんて、クレジットカードさえもっていれば、出稿できるよね。
それが的確な事実だとしたら、もっと大々的な感染騒動になってもおかしくないと思うんだけど・・・・・・・・なぜ東京都職員のPCが感染などという規模の話題になっているのだろう。
今回の件がそうだったかはわかりませんが、特定のIPアドレス帯にのみマルウェアをダウンロードさせる手口はありますよ。
こういうの [atmarkit.co.jp]ですね。
しかし今回の攻撃では、攻撃者がサーバに仕込んだスクリプトによって、特定のIPアドレス(ラックによると、約20の官公庁や組織のIPアドレス)からアクセスしたときにしかマルウェアをダウンロードさせないようになっていた。これには、標的を絞って感染させ、かつセキュリティベンダによる解析を逃れる狙いがあったものと見られる。
東京都職員のPCでしか見られない新聞社の記事だったりして。
実際、日本の大手新聞社ニュースサイトの広告で見ただけで感染するならものすごく広範囲に被害出てそうだけどそうだないというのは関係者の誰かがホントのことを言ってないか、新聞社がホントのことを報道してないか。どっちもありそうで真贋不明。もしかしたら新聞社のニュースサイトなんて一般人はほとんど誰も見ていないのがしんそうだったりして。
自分もGoogle newsとかの経由でしか新聞社のニュース記事なんて見ないしなぁ。
どのユーザーにも同じ広告を出してるわけじゃないですし
今どきのWEB広告はそうでした。
嗜好にあったアレな広告クリックしたんすかね。#ドレ?
3k新聞のサイトを見ていたら、動作が異常になりました。(win7)復元ポイントで巻き戻して処置をしましたがそれ以来そのサイトには怖くていっていません。
実際のところ、東京都職員以外にも被害が出ていると報じられているよ?民間に対しては総務省から個別に連絡するわけではないし、公表するかは被害を受けた組織の判断だ。
サードパーティの広告ブロック使うにも申請が必要でなんしょう役目を考えれば日々不審な挙動がないかチェックしないとあかん # そこまで意識有とこなら不祥事続かんわな
リスティング広告だと民間でもチェックしきれない攻撃にも踏み台にもなりえる
病原体や毒なんかは撒いた側の責任なのに、Web広告はそういうのがないんですよね。責任無いからやりたい放題
郵送でバイオテロやられたときに郵便局に責任はあるのかって話かと。
やっぱ広告クライアントはかねもってるからお咎め無しなんでしょうね。
郵便と違って、ウェブ広告はいらないのに送りつけてくるのが大半なので違う話かと。
# 無理に例えないで普通に考えましょう。
その認識はもう古い。他者が広告配信しているのはその通りだが、単純に代理店に任せているだけではない。
アドテクノロジーの基礎知識 http://www.optimizer.co.jp/column/%E3%82%A2%E3%83%89%E3%83%86%E3%82%AF... [optimizer.co.jp]
↑にもあるが、配信される広告が都度入札で決まるような仕組み↓さえある。
5分で完璧に理解できる!SSPの仕組みと最適な活用法 http://webbu.jp/ssp-mechanism-568 [webbu.jp]
配信元やADサーバーだけでなく、SSPとかDSPとかの新たな登場人物が増えている。こいつらが改ざんされても、攻略Flashとか、妙なjsのコードが降
法整備して広告で他のシステムや個人に損失が出る恐れがあれば、そのシステム管理者にでもペナルティを与えるようにしないと無理でしょうね。信用はどうあれ、金が絡まないと絶対に動かない世界でしょうし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
表示されるだけで感染する (スコア:1)
そんな丸ごとマルウエアなWEBサイトってどこなんだ、と思ったら
広告掲載する際に内容は精査しないのか、できないのか、しなくてもいいのか。
実際広告を表示させてるのはまた別の会社なんでしょうけど、そっちをなんとかしとかないとダメだと思うけど、やっぱりできないんすかね。
Googleとかはどうしてんのかな。
#Flashはやっぱりもうダメか。
Re:表示されるだけで感染する (スコア:2)
そんな丸ごとマルウエアなWEBサイトってどこなんだ、と思ったら
広告掲載する際に内容は精査しないのか、できないのか、しなくてもいいのか。
改ざんされたと書かれている。
協会のHPは閲覧時にウイルス感染するよう何者かに改竄(かいざん)されており、現在は閉鎖している。
Re: (スコア:0)
読む限り、改竄されたのは「協会のHP」で、「バナー広告」は改竄されていない様に読めますが?
Re: (スコア:0)
読む限り、改竄されたのは「協会のHP」で、「バナー広告」は改竄されていない様に読めますが?
つまりは朝日新聞や読売新聞はバナー広告から感染し
協会はバナー広告以外から感染するのか?
Re:表示されるだけで感染する (スコア:1)
たぶんそれで正解
【改ざんされたURL】
hxxp://www.exam.or[dot]jp/movie.swf
大規模な同時多発Web改ざん攻撃、継続中 (スコア:2)
公益財団法人 安全衛生技術試験協会 皆様へのお詫びとお知らせ(更新第二版) [exam.or.jp]
Rdws.exe でググると、トレンドマイクロ曰く「継続中の大規模な同時多発Web改ざん攻撃」 [trendmicro.co.jp]だそうだ。
つまり「安全衛生技術試験協会」に限らず攻撃は拡大する恐れがあるとのこと。
とりあえずこのニュースに触れたら、今一度手元の環境のアップデート状況やマルウェアが仕込まれていないか確認する必要があるだろう。
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
感染urlのリンクを貼るのはやめたほうが。
Re:大規模な同時多発Web改ざん攻撃、継続中 (スコア:1)
「皆様へのお詫びとお知らせ(更新第二版)」と入れたから察してもらえるかと思ったのですが、すでに対策済みです。ただしマルウェアに感染する URL は他にもあるので、引き続き注意は要します。
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
Googleの広告でも、昨年同じ事が起こりました。
<Googleの広告サーバ「DoubleClick」がマルウェアを配信していた>
http://gigazine.net/news/20140922-google-doubleclick-malware/ [gigazine.net]
広告審査に際し、ウイルススキャンくらいはかけているでしょうが、
zero-day脆弱性を利用していた場合は検出が難しいかも知れませんね。
Re: (スコア:0)
出稿した人の身元が分かっているなら、起訴できないの?
Re:表示されるだけで感染する (スコア:1)
金銭のやりとりもあるし、広告主の身元はわかっているはず。
広告会社はそういう悪い広告主を突っぱねるべき。それとも大口で金積まれて文句言えない立場なのか。
Re:表示されるだけで感染する (スコア:1)
クライアント>広告会社>マスコミ様→発表できない・・・
Re: (スコア:0)
たぶん、名目上の広告主は、乗っ取られたPCを持ってるだけなんじゃないかな。
真犯人はbotnetから、そのPCをリモート操作して広告出してて、追跡困難みたいな。
Re: (スコア:0)
この間逮捕された17歳の少年は、盗み出したクレジットカード情報で決済してたが?
GoogleAdsなんて、クレジットカードさえもっていれば、出稿できるよね。
Re: (スコア:0)
それが的確な事実だとしたら、もっと大々的な感染騒動になってもおかしくないと思うんだけど・・・・・・・・
なぜ東京都職員のPCが感染などという規模の話題になっているのだろう。
Re:表示されるだけで感染する (スコア:3, 興味深い)
今回の件がそうだったかはわかりませんが、特定のIPアドレス帯にのみマルウェアをダウンロードさせる手口はありますよ。
Re: (スコア:0)
こういうの [atmarkit.co.jp]ですね。
Re:表示されるだけで感染する (スコア:1)
東京都職員のPCでしか見られない新聞社の記事だったりして。
実際、日本の大手新聞社ニュースサイトの広告で見ただけで感染するならものすごく広範囲に被害出てそうだけどそうだないというのは
関係者の誰かがホントのことを言ってないか、新聞社がホントのことを報道してないか。
どっちもありそうで真贋不明。
もしかしたら新聞社のニュースサイトなんて一般人はほとんど誰も見ていないのがしんそうだったりして。
自分もGoogle newsとかの経由でしか新聞社のニュース記事なんて見ないしなぁ。
Re: (スコア:0)
どのユーザーにも同じ広告を出してるわけじゃないですし
Re:表示されるだけで感染する (スコア:1)
今どきのWEB広告はそうでした。
嗜好にあったアレな広告クリックしたんすかね。
#ドレ?
Re: (スコア:0)
3k新聞のサイトを見ていたら、動作が異常になりました。(win7)
復元ポイントで巻き戻して処置をしましたがそれ以来
そのサイトには怖くていっていません。
Re: (スコア:0)
実際のところ、東京都職員以外にも被害が出ていると報じられているよ?
民間に対しては総務省から個別に連絡するわけではないし、公表するかは被害を受けた組織の判断だ。
Re: (スコア:0)
サードパーティの広告ブロック使うにも申請が必要でなんしょう
役目を考えれば日々不審な挙動がないかチェックしないとあかん
# そこまで意識有とこなら不祥事続かんわな
Re: (スコア:0)
リスティング広告だと民間でもチェックしきれない
攻撃にも踏み台にもなりえる
Re: (スコア:0)
病原体や毒なんかは撒いた側の責任なのに、Web広告はそういうのがないんですよね。
責任無いからやりたい放題
Re: (スコア:0)
郵送でバイオテロやられたときに郵便局に責任はあるのかって話かと。
Re:表示されるだけで感染する (スコア:1)
やっぱ広告クライアントはかねもってるからお咎め無しなんでしょうね。
Re: (スコア:0)
郵便と違って、ウェブ広告はいらないのに送りつけてくるのが大半なので違う話かと。
# 無理に例えないで普通に考えましょう。
Re: (スコア:0)
その認識はもう古い。
他者が広告配信しているのはその通りだが、単純に代理店に任せているだけではない。
アドテクノロジーの基礎知識
http://www.optimizer.co.jp/column/%E3%82%A2%E3%83%89%E3%83%86%E3%82%AF... [optimizer.co.jp]
↑にもあるが、配信される広告が都度入札で決まるような仕組み↓さえある。
5分で完璧に理解できる!SSPの仕組みと最適な活用法
http://webbu.jp/ssp-mechanism-568 [webbu.jp]
配信元やADサーバーだけでなく、SSPとかDSPとかの新たな登場人物が増えている。
こいつらが改ざんされても、攻略Flashとか、妙なjsのコードが降
Re:表示されるだけで感染する (スコア:1)
法整備して広告で他のシステムや個人に損失が出る恐れがあれば、そのシステム管理者にでもペナルティを与えるようにしないと無理でしょうね。
信用はどうあれ、金が絡まないと絶対に動かない世界でしょうし。