H.I.S.のサイト閲覧者がマルウェア感染した恐れ、銀行の口座情報盗み取る

ブログサービス「JUGEM」のサイトで発生していたのと同じマルウェア攻撃が、旅行会社の株式会社エイチ・アイ・エス(H.I.S.)のウェブサイトや、動画サイト「PANDORA.TV」でもあったことが分かった。株式会社シマンテックが30日、公式ブログで伝えた。

 この攻撃は、Flash Playerの脆弱性(CVE-2014-0515)を突くもの。ただし、すでにAdobe Systemsが4月末に公開したセキュリティパッチで修正済みであるほか、シマンテックなどのセキュリティソフトでもこの脆弱性を突く攻撃の検知に対応している。最新バージョンのFlash Playerを使用し、セキュリティソフトを適切に使用している環境では、攻撃は遮断できたもとのみられる。

 一方、Flash Playerが古いバージョンのままで、セキュリティソフトも適切に使用していない場合には、上記のサイトを閲覧することで悪質なコードが実行され、インターネットバンキングの口座情報を盗み取るマルウェアに感染した可能性がある。

 JUGEMを運営するGMOペパボ株式会社ではすでに28日の時点で、このような攻撃が仕掛けられていたことを発表(本誌5月28日付関連記事を参照)。30日までに対処を完了したとしている。

 H.I.S.でも30日付で告知を出した。5月24日から26日の期間に「his-j.com」のサイトを閲覧した人に対して、セキュリティソフトを最新状態にした上でスキャンを行うよう呼び掛けている。

 H.I.S.によると、同サイトで使用していた外部サービスのJavaScriptが改ざんを受けていたことが原因。H.I.S.では、この外部サービスを提供していた株式会社リクルートマーケティングパートナーズから29日に報告を受け、30日に公表に至った。

 なお、H.I.S.ではリクルートマーケティングパートナーズから報告を受けるより前の段階で、サイト閲覧時にセキュリティソフトの警告が出る原因がこのJavaScriptであることを特定。これを呼び出すタグを、26日18時の時点でサイトから除去していたという。

 シマンテックによると、CVE-2014-0515を突く攻撃は4月当初、標的を特定組織・業界に絞り込んだ"水飲み場型攻撃"に悪用されていた。しかし、4月末にセキュリティパッチが公開され、さらに数週間経過すると、インターネットユーザーを幅広く狙う攻撃に用いられるよう変わってきたという。

 しかも9割以上が日本を標的としている。シマンテックのセキュリティ製品のユーザーにおいて、5月16日ごろからこの攻撃の遮断が検知され始め、5月24日ごろから急激に増加。5月26日には7000件を超えた。5月27日までの検知数は累積で1万9000件を超えている。

 最初はPANDORA.TVあたりが悪用されたことで少しずつ攻撃を受けたユーザーが現れ、5月24日ごろからはJUGEMやH.I.S.といったユーザーの多いサイト経由でも攻撃が仕掛けられ、一気に攻撃の検知件数が増加したものとみられる。
日本のユーザーを狙う攻撃件数の推移(シマンテック公式ブログより)

 なお、前述のようにH.I.S.のサイト経由の攻撃は、リクルートマーケティングパートナーズが提供する外部サービスのJavaScriptが改ざんを受けていたことが原因だ。JUGEMでも同様に、使用していた外部サービスのJavaScriptが改ざんされ、悪意のあるサイトからコードを読み込むようになっていたという。GMOペパボではセキュリティの観点からこの外部サービスの具体名を公表していないが、リクルートマーケティングパートナーズではないとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140530_651100.html