政府系サイトも被害多数! 暗号通貨のマイニングコードがプラグイン経由で仕込まれる

『Security Affairs』

February 16, 2018 11:00
by 『Security Affairs』

侵害されたウェブサイト(4275件)のリストには、英国のNHS、英国のデータ保護機関の情報コミッショナーオフィス(Information Commissioner’s Office、ICO/ico.org.uk)、英国の学生ローンカンパニー(Student Loans Company/slc.co.uk)、ニューヨーク市立大学(The City University of New York/cuny.edu )、そして米国政府の裁判システムなどが含まれている。

いくつかのウェブサイトのダウンが確認されたのち、ICOも自身のウェブサイトをダウンさせた。

被害にあったウェブサイトは、全盲のユーザーや視覚障害のあるユーザーでもコンテンツを読めるようにするためのプラグイン「Browsealoud」を利用していた。

Browsealoudを利用しているすべてのウェブサイトは7時間(3:00〜11:45 UTC)ほどにわたり、暗号通貨「Monero」のマイニングコードを意図せず実行することとなった。

攻撃者は、そのプラグインに「難読化バージョン」のマイニングコードを挿入した。それは16進数からASCIIに変換されると(戻されると)、ウェブページ上にマイニングコードをロードできるようになる。

難読化された暗号通貨のマイニングコード

この問題について警報を鳴らしたのは、セキュリティ専門家のScott Helmeだった。彼の友人のひとりが英ICOのウェブサイトを訪問した際、アンチウイルスのソフトウェアから警告を受けたため、それをHelmeに連絡した。

「こういったタイプの攻撃は新しくはない──しかし、これまでに見たものの中で最大だ。ひとつの企業に対するハッキングが、英国、アイルランド、米国の各地で何千ものサイトに影響を及ぼすことになった」とHelmeは述べた

「つい先ほども、ある人物から『地元のオーストラリア政府のウェブサイトも同じソフトウェアを使っている』というメッセージを受けとった」


上記ツイート翻訳:うーん、そうだね、これは「まずい」状況だ。@ICOnewsのサイトに暗号通貨マイナーがインストールされていることを@phat_hobbit に指摘されたばかりだ……
— Scott Helme (@Scott_Helme) February 11, 2018

改ざんされたウェブサイトに注入された「望まれないコード」をブロックするため、SRI(Subresource Integrity)の技術を利用することをHelmeは推奨している。

問題のプラグイン「Browsealoud」を開発した企業Texthelpは、暗号通貨のマイニング活動を中止させるために、ウェブサイトからBrowsealoudのコードを削除した。

「昨今の世界中で発生しているサイバー攻撃を考慮した我々は、昨年から『そのような攻撃』に備えてきた。そして我々のデータセキュリティ対策の計画は、ただちに実行された」と、Texthelpの最高技術責任者Martin McKayは声明で語った。

「Texthelpでは、Browsealoudの適所に対して『継続的なセキュリティ検査』を自動的に行っている。その検査により、改ざんされたファイルが検出されたので、結果として製品(Browsealoud)はオフラインになった」

Texthelpは「(他者に)アクセスされたり、失われたりした顧客のデータはない」ということ、そして「セキュリティ調査が完了したあとで、顧客は(現行バージョンよりも新しい)最新版を受け取ることになる」ということを確証した。


上記ツイート翻訳:現行のTexthelpのデータセキュリティ調査について、我々のウェブサイトに記した声明:https://t.co/KEXFbmDyZE これに応じて、すべてのお客様のウェブサイトからBrowsealoudは自動的に取り除かれました。お客様が何かをする必要はありません。
— Texthelp for Edu (@texthelp) February 11, 2018

問題の悪性コードは、16:00(UTC)に取り除かれた。英国ICOは現在のところ予防措置として、最小限の「メンテナンス」モードでの運営を行っている。
 
翻訳:編集部
原文:Thousands of websites worldwide hijacked by cryptocurrency mining code due Browsealoud plugin hack
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

全盲のユーザーや視覚障害のあるユーザーを補助するためのプラグイン「Browsealoud」に、何者かが仮想通貨の発掘コードをこっそりと忍ばせた。その結果、このプラグインを利用している多数のWebサイトにアクセスした人は、知らない間に自身のパソコンで仮想通貨採掘のマイニングが行われるという事件が発生した。

今回プラグインが利用されたが、広告の配信システムを悪用してマルウェアを配布するMalvertising(マルバタイジング)は以前から問題となっている。そしてMalvertisingを利用して、仮想通貨採掘コードを配布する事例も注目されている。以前、THE ZERO/ONEで紹介した「Coinhive」も、現在はMalvertisingを利用して拡散されている事例を、トレンドマイクロが報告している

自身のパソコンで勝手にマイニングさせないためには、アンチウイルスソフトの導入はもちろん、もし可能であればブラウザーのJavaScript利用停止(もしくは必要なときだけ利用)、アドブロックの拡張機能追加を行って対処するしかない。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…

刑務所をハッキングして友人の刑期を書き換えた男

May 11, 2018 08:00

by 江添 佳代子

2018年4月26日、刑務所のシステムをハッキングした罪で逮捕されていた米国人男性、Konrads Voits(27歳)に7年3ヵ月の禁固刑が下った。彼がミシガン州ウォッシュトノー郡のコンピューターシステムに侵入しようとした動機は、服役中の友人の刑期を短くするためだった。この「受刑者記録を改ざんすれ…

「事故前提の中国無人運転車」の公道走行試験

May 8, 2018 08:00

by 牧野武文

中国工信部、公安部、交通運輸部は連合して、「スマートネット自動車公道試験管理規範(試行)」を発表したと『中間村在線』が報じた。いわゆる無人運転車の公道走行試験の方法を国として定めたもので、中国はドライバレースカーの実用開発で他国を一歩リードすることになる。 無人運転の6要件 このガイドラインは、国と…