JavaScriptを悪用したWebサイト改ざんの実態
サイバーセキュリティラボの2024年1月・2月のマルウェアレポートでは、不正なリダイレクトや別のマルウェアをダウンロードさせるよう改ざんされたJavaScriptについて解説されている。本記事では、その改ざんが施されたWebサイトを、ソースコード検索を活用して調査した結果を紹介する。
サイバーセキュリティラボは、2024年1月・2月のマルウェアレポートにて、不正なリダイレクトや別のマルウェアをダウンロードさせるように改ざんされたJavaScriptについて解説した。この改ざんJavaScriptを利用するWebサーバー群によって、悪意のあるコンテンツを配信するインフラが構築されている。このインフラは「Parrot TDS」と呼ばれ、過去にFAKEUPDATEマルウェアキャンペーンで使用されていた。この記事では、ソースコード検索を活用し、2024年11月21日時点で改ざんされたWebサイトがどの程度存在するのかを調査した結果を紹介する。
ソースコード検索について
「PublicWWW」や「NerdyData」は、特定のソースコードが含まれるWebサイトを検索できるサービスである。これにより、検討中の関数やCSSが実際にどのWebサイトで使用されているかを調査できる。有償ライセンスを利用すればすべての機能を活用できるが、無償ライセンスでも利用可能だ。また、セキュリティ調査にも活用でき、特定の関数や文字列を含むWebサイトを検索できる。ただし、改ざんされたWebサイトの調査を行う際は、検索結果に表示されたURLに誤ってアクセスしないよう十分注意が必要である。
改ざんされたWebサイト調査について
2024年1月・2月のマルウェアレポートで解説した改ざんJavaScriptには、改ざん時に追加される特徴的な文字列が含まれていた。コードの先頭部分には「ndsw===undefined」や「ndsj===undefined」が確認された。今回は、「ndsw===undefined」をキーワードとして検索を行った。
PublicWWWで「ndsw===undefined」を含むWebサイトを検索したところ、2024年11月21日時点で850件が見つかった。ただし、検索結果に表示されるだけでは必ずしも改ざんされているとは限らず、また検索結果と現在のWebサイトの状態が異なる可能性がある点に注意が必要だ。とはいえ、最大で850件のWebサイトが改ざんされていた可能性がある。
なお、2024年1月・2月のマルウェアレポートを公開直後の3月29日時点では3,538件が確認されていた。PublicWWWでは、検索結果のURLをCSVファイルやテキストファイルとしてエクスポートできるが、無償ライセンスでは取得できるURLは5件までに制限されている。
PublicWWWの検索結果によると、2024年11月21日時点で「ndsw===undefined」を含むWebサイトは850件確認された。ただし、検索結果に表示されたサイトが必ずしも改ざんされているわけではなく、また検索結果と現在のサイトの状態に違いがある可能性がある点には注意が必要だ。それでも、最大で850件のWebサイトが改ざんの影響を受けていた可能性がある。
なお、2024年1月・2月のマルウェアレポート公開直後の3月29日時点では、3,538件のWebサイトが該当していた。PublicWWWでは検索結果のURLをCSVやテキストファイルとしてエクスポートできるが、無償ライセンスでは5件までの取得に制限されている。
Webサイトの改ざん対策
ソースコードを元に、Webサイトを検索できるサービスを用いて、改ざんされたWebサイトを調査した。サービスごとに検索結果が異なる要因としては、Webサイトをクロールするタイミングが異なることや、サービスごとのポリシーによって不適切なサイトとしてクロール対象から除外されていることが考えられる。改ざんの可能性があるWebサイト数から規模の推定やURL取得ができるため、調査の1つとして活用することができるだろう。検索キーワードによっては、改ざんされていないサイトを含む可能性もあるため、改ざんの特徴を探す必要がある。また、検索結果から得たURLの扱いにも注意していただきたい。今回の検索結果から、過去に3,000件以上の Webサイトがも改ざんされた可能性が考えられる。
このような被害に遭わないためにも、サーバー管理者とユーザーへ推奨する対策を紹介する。
サーバー管理者へ推奨する対策
・CMSやプラグインなどのツールを常に最新バージョンに保つ
・Webサイトを管理するCMSのほか、サーバー全体の管理者権限を適切に管理し、強固な管理者パスワードを設定する
・脆弱性情報を収集し、速やかにセキュリティパッチを適用するWAF(Webアプリケーションファイアウォール)を導入し、検出ルールを継続的に改善する
・改ざん検知ツールを導入し、監視体制を強化するWebサーバーやネットワークログの監視を行う
・脆弱性診断やペネトレーションテストなどのサービスを利用し、新たな脅威や潜在的なリスクに備える
ユーザーへ推奨する対策
・Webブラウザー、OS、セキュリティ製品を常に最新の状態に保つ
・セキュリティ製品が提供するセキュアブラウザー機能を積極的に利用する
・Webブラウザーからの警告には不用意に許可を与えない
・Webブラウジング中に遭遇する脅威がどのように感染するかを理解する
前述のとおり、ユーザーが取れる対策はサーバー管理者ほど多くはない。正規のWebサイトが改ざんされている以上、ブックマークからのアクセスだけでは十分な対策にならない可能性がある。これまで紹介した対策に加え、Webサイトへのアクセスを代理で行うAguseなどのサービスを利用することも検討してほしい。
