パスワードを忘れた? アカウント作成
13527485 story
犯罪

英米政府機関を含む4千以上のWebサイトに仮想通貨採掘スクリプトが埋め込まれる 2

ストーリー by hylom
サイバー攻撃の新たなマネタイズ手法に 部門より
headless曰く、

英国や米国の政府機関を含む4千以上のWebサイトで、仮想通貨採掘スクリプトが埋め込まれる問題が11日に発生したそうだ(Texthelpのブログ発見者Scott Helme氏のブログRegisterThe Guardianの記事1記事2)。

原因は英Texthelpがサイバー攻撃を受け、Webページの読み上げ機能などを提供する「Browsealoud」のJavaScriptファイル(ba.js)が改変されたことだ。そのため、Browsealoudを使用するWebサイトが軒並み被害にあう結果となった。改変により追加されたコードはCoinhiveの仮想通貨採掘スクリプトを実行するものだったようだ。

TexthelpではBrowsealoudをオフラインにして問題を修正したが、日本時間13日21時までサービスは再開しないと述べている。なお、攻撃者が顧客データにアクセスした形跡はなく、Browsealoud以外の製品への影響もないとのこと。

ba.jsを使用していたドメインはPublicWWWで確認できる。Browsealoudは日本語の読み上げにも対応しているが、.jpドメインはリストに含まれていなかった。セキュリティリサーチャーで発見者のScott Helme氏はWeb管理者に対し、改変された外部スクリプトの読み込みを防ぐため、SRI(Subresource Integrity)の使用を推奨している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年02月15日 21時31分 (#3362168)

    ブラウザに音声読み上げ機能あるのに、目が見えない人でもそれを使えば税金でこんなの必要ないじゃん

  • by Anonymous Coward on 2018年02月15日 23時56分 (#3362232)

    カネになるんだから
    こういうのはなくならないよね
    面白がってハックする時代から
    金儲け中心に
    世界中がつながってるんだからきりないよね

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...