カカクコム事件-続報2

静岡新聞社 告知 2005/05/16
2005年5月16日午後5時 静岡新聞社ネット事業開発室

ゴールデンウィークに弊社が運営する就職サイト「新卒のかんづめ」に対する不正アクセスがあり、一時サイトを停止しておりましたが、5月16日(月)、「新卒のかんづめ」サイトを媒介として、悪意ある第三者のサイトからウィルスソフトを送りつけるプログラムが、「新卒のかんづめ」トップページに埋め込まれていることが判明しました。
この結果、5月6日(金)から5月16日(月)午後3時の間に「新卒のかんづめ」を閲覧された学生や企業の皆様のパソコンに、ウィルスが感染された可能性があります。


カカクコムと同種のアタックのようだ。
どうもここ数日、サイト改変アタックが増えているようで、

05月16日 20件を超える大量のWebサイト改竄被害が発生 セキュリティ情報専門メールマガジン SCANシリーズの「Scan Daily Express」より転載
5月13日から15日の3日間、国内サイトをターゲットとしたWebサイト改竄が20件以上集中して発生した。Windowsサーバをターゲットとするものが多く、改竄を行ったのは「iskorpitx」「PcDelisi」「Tz4r」「SPYKIDS」「Noturnos Crimez」「Base64」「DragonZ I」「Arabian-FighterZ」「AodTurus」など複数のグループのようだ。「iskorpitx」と名乗るクラッカーは、「Good Bye」という文字とFlashファイルを改竄したサイトに残している。
また、いくつかの改ざんされたサイトにはアニメ「攻殻機動隊」に登場する「笑い男」のマークが残され、自動翻訳で翻訳されたと思われる奇妙な日本語のメッセージが残されていた。なお、復旧していないWebサイトには、危険なトラップが仕掛けられている可能性もあるため注意が必要だ。改竄されたWebサイトは以下の通り。


という記事もある。
カカクコムと同じj4sbへのリンクが、セキュリティの甘いWeb掲示板などに仕込まれているケースもあるようなのだ(Googleのキャッシュでいくつか確認できる)、まだ注意が必要と思う。

 カカクコムに仕込まれた木馬はMMORPG「リネージュ」ユーザをターゲットにしたものだという話は、「Lineage (Vega) Lv50+の殿堂」で詳細に報告されている(アドレスはvegalv50.nyx.bne.jp/misc/security/?id=case-site。ただし、このURLを開くと、中に記述されている木馬のコードにアンチウィルスソフトが反応するかもしれないので直リンクはやめておく)。
 「リネージュ」ユーザをターゲットにしたものであることをsymantecが公式に確認したようだ。

価格.comのウイルス、MMORPG「リネージュ」起動中に活動することが判明 シマンテックが発表 Impress インターネットウォッチ 2005/05/17
シマンテックによれば、Trojan.JasbomはPC用MMORPG「リネージュ」を起動している時のみ、ゲーム内でタイプされた情報やマウスクリック情報、アプリケーションメモリ上にある情報を保存し、j4sb.comドメインにあるWebサイトに送信するという。

 ところで、またしても別種のトロイの木馬が登場。

シマンテック Trojan.Esteems.D 発見日 2005年05月16日 (米国時間)

 キーロギングしてリモートサーバ(またしても中国のサーバだよ)に送信。なにやら怪しげな画像ファイル(20050315095144d41d8.jpg)を表示するらしい(現物未確認)。
 シマンテックのサイトにモザイク処理したものはあるが、このオッサンたち、何をしてるのだろう? 背中にしょってるのは太極旗のように見えるので、韓国のなんらかの政治活動を写したものと思われるが…

もしかして韓国名物・指つめ抗議の写真かな?
[PR]
by SIGNAL-9 | 2005-05-18 15:49 | 情報保護・セキュリティ
<< カカクコム事件-続報3 カカクコム事件-続報1 >>