パスワードを忘れた? アカウント作成
13765095 story
お金

StatCounterへのサイバー攻撃でビットコインを盗むコードが暗号通貨取引サイトに埋め込まれる 3

ストーリー by headless
攻撃 部門より
世界200万件以上のWebサイトにトラッキングコードを設置してブラウザーやOSのシェアを集計するStatCounterがサイバー攻撃を受け、暗号通貨取引サイトGate.ioのユーザーをターゲットにするスクリプト改変が行われていたそうだ(WeLiveSecurityの記事Gate.ioの発表The Registerの記事Softpediaの記事)。

改変されたのは「www.statcounter.com/counter/counter.js」というファイルで、悪意あるコードが追加されていたという。悪意あるコードの内容としては、表示中のURLに「myaccount/withdraw/BTC」が含まれている場合、StatCounterと似たドメイン名の「statconuter.com」からビットコインを盗み出すスクリプトを追加するといったものだ。

悪意あるコードはStatCounterのトラッキングコードを使用するサイトに埋め込まれただけでなく、StatCounterのWebサイトにも埋め込まれていたとみられるが、「myaccount/withdraw/BTC」を含まないURLへのアクセス時にユーザーが攻撃を受けることはない。ESETの調べによると、「myaccount/withdraw/BTC」を含むURLがある暗号通貨取引サイトはGate.ioのみだという。そのため、Gate.ioのユーザーをターゲットにした攻撃とみられている。

ESETによれば改変が行われたのは11月3日で、6日にESETから報告を受けたGate.ioはStatCounterの使用を中止した。悪意あるコードは既にcounter.jsから削除されているが、現在のところStatCounterからの発表は特に出ていないようだ。
  • by Anonymous Coward on 2018年11月10日 14時50分 (#3513387)

    Googleアナリティクス、Google AdWords、jQueryをGoogleやMSから引っ張って使っている、TwitterやFacebook等のSNSツールを張っている人。
    それだけに限りませんが、第三者が管理するサーバー上にあるスクリプト使っていたら、今回と同じ攻撃を食らう可能性はあります。
    ちゃんと監視して、素早くサービスを切り離す手順を用意しておきましょう。

    最低でもログインページや個人情報といったセンシティブな情報を扱うページに第三者が管理するスクリプトを使うのは止めるべきです。
    何も考えずにログインページにもアクセス解析や広告といったスクリプトを張りっぱなしのサイトが現状あまりにも多すぎます。

    例えばSMBCはFraudAlert [fraudalert.jp]やYahoo!のアクセス解析といった第三者スクリプトをログインページに仕込んでます。
    これで暗証番号が流出して被害を受けても当然補償してくれるんだよね?>SMBC

    ここに返信
  • blogで使ってますけど、そういう事態があったとは、知らなかったなぁ

    ここに返信
typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...