読者です 読者をやめる 読者になる 読者になる

「Darkleech Apache Module」と「Blackhole」マルウェアがヤバそうな雰囲気

セキュリティ

日本国内において、「Darkleech Apache Module」によりサイトが改ざんされる事例が多数見つかっているようです。

0day.jp (ゼロデイ.JP): #OCJP-098: 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されています!

詳細については記事を読んでもらった方が良いと思いますが、改ざんされたサイトにIEでアクセスすると「Blackhole」という別のマルウェアに感染させられるサイトに転送、Java、Flash、PDF(Adobe Reader?)の脆弱性を利用してマルウェアを大量に仕込まれます。昨年、Twitterでもこれを利用したスパムメールが出回ったことがある模様。

この報告を受けて、IIJの方が独自に調査したところ、かなり大規模なマルウェア感染事例になる可能性があるとのこと。

IIJ Security Diary: BHEK2 による大量改ざん

その結果、本日夕方の時点でこれらの Web サイトの少なくとも 40 件以上に、マルウェアに感染させる不正なサーバへ転送を行う、悪意のあるコードが残されていました。このような入口となる改ざんされたサイトも多数存在しますが、マルウェアに感染させるサーバも世界中に 30 件以上存在しています。別の情報によると、本日だけでも世界中にマルウェアに感染させるサーバが少なくとも 400 台以上存在するため、世界的な大規模マルウェア感染事件である可能性があります。

0day.jpとIIJのどちらの記事も書かれたのは3月15日なので、現在は更に感染したサイトが増えている可能性もあります。やっかいなのは、サイトそのものがやられてしまっているので、知らずにアクセスしてしまう可能性が高いということ。感染しているサイトの中には公的機関と思われるものも含まれており、既に被害にあっている人もいる可能性が。

とりあえずできる対応策とすれば、IEを使用しないこと、Java、Flash、PDFなどがインストールされていたら最新版にするか、削除するくらいでしょうか。サーバー管理者の方はもちろん、一般の人も感染したサイトの一覧を見てみた方が良いかもしれません。

2013年3月19日追記

トレンドマイクロでも本件について言及した記事が出されました。文字が小さいのでちょっと読みにくいですが、改ざんの内容や、管理者と一般の人、両方の立場からどう対処すべきかについて整理して書かれているので、こちらも参考に。

国内外におけるWebサーバ(Apache)の不正モジュールを使った改ざん被害 | トレンドマイクロ セキュリティ ブログ