JR東日本のサイトが2週間改ざん、ページ内検索でウイルス感染も -INTERNET Watch

JR東日本のサイトが2週間改ざん、ページ内検索でウイルス感染も -INTERNET Watch JR東日本のサイトの一部ページが不正アクセスにより改ざんされ、閲覧者のPCがウイルスに感染した恐れがあることが判明した。JR東日本によれば、改ざんされていた期間で該当ページに約5万件のアクセスがあったという。
 改ざんされていたのは、JR東日本のサイト内のキーワード検索の検索結果ページが12月8日21時40分から21日23時55分まで、「大人の休日倶楽部」内の「東京講座」ページが18日11時から22日21時まで。
 なお、キーワード検索はトップページのほかにも、「Suica」や「ビューカード」などのページにも設けられているが、キーワードを入力して検索結果ページを表示させなければウイルスに感染する恐れはなかったという。
 改ざんされたページは、いずれも「Gumblar」ウイルスの亜種に感染する不正なページへリダイレクトするスクリプトが埋め込まれていた。改ざんされたサイトは表面上の変化がないため、ユーザーは知らない間にウイルス感染の危険性にさらされることになる。
 JR東日本は改ざんされたページを修正した上で、23日1時40分にサイトの一部ページを閉鎖。その後、調査を行った上で、23日19時にサイトを再開した。同社は現在、ウイルス感染の有無を確認したり、駆除を行う方法として、トレンドマイクロのオンラインスキャンツールをサイト上で紹介している。
情報処理推進機構:情報セキュリティ:ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起 一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起(1) ウェブサイト改ざんの概要と主な原因
 ウェブサイト改ざんの原因として、ftp※のアカウント情報を盗まれた事例がありました。盗んだ ftp アカウント(ID/パスワード)を使い、正規のユーザになりすまして、改ざんしたページをウェブサーバに公開(アップロード)するというものです。
 ftp のアカウント情報を盗む手口としては、スパイウェアをターゲットのパソコンに送り込むなどの方法が一般的です。
 ※File Transfer Protocol の略。ネットワークでファイルを転送するためのプロトコル。
 改ざんされたウェブページには不正なスクリプトが埋め込まれ、そのページを閲覧した一般利用者を、ウイルスが仕掛けられた悪意あるウェブサイトにアクセスさせます。一般利用者が悪意あるウェブサイトを閲覧した場合、利用者のパソコンに脆弱性があると、それを悪用されウイルスに感染させられてしまいます(図1-1参照)。

Citibankでman-in-the-browserにより預金詐取?

シティバンクに対するハッカー被害が話題になっている。
FBIが、Citibankで数十億円単位のハッカー被害の調査をしているとのこと。
Citibankからの声明では、シティではそんな被害はないと言っているらしいが。
そうなのかな: シティ ハッカー被害なしか

 シティグループは、傘下の銀行に対するハッカー攻撃で数千万ドル
(数十億円)の損害が出た恐れがあるとする報道は誤りだとする声明を
発表した。
 FBIがシティグループ傘下の銀行に対するハッカー攻撃を捜査している
と報じていた。

こちらの記事
FBI Reportedly Investigating Hack and Theft at Citibank – Web Hosting Industry News | Daily Web Hosting News and Web Host Interviews”
によると、Wall Street Journalの記事でCitibankの顧客の話が紹介されていて、百万ドル(=~1億円)以上がラトビアとウクライナの口座に知らないうちに送金されていた、とのこと。
Wall Street Journalの記事は購読していないと読めない。
また、犯行手段について、ボットネットで操作されたトロイの木馬がブラウザで不正な操作を行ったのではないかという意見を紹介。 クライアント側の操作ではあるが、ウェブサイト管理者は、このようなman-in-the-browser攻撃の防止手段を持つべきだと言っている。

In a statement sent to the WHIR by email, Amichai Shulman, CEO of security company Imperva says, “my analysis of this report is that we are talking about a man-in-the-browser attack. That is, a Trojan controlled through a botnet that operates from within the browser and inserts false transactions into a user’s sessions. In view of this it is clear why Citibank did not report or ‘notice’ any breach. The breach is not on Citi’s side but rather on the consumer side.”

“It does point to the growing sophistication of the attacker as we’ve mentioned in our list of predicted trends for next year,” says Shulman. “While this is presumably an end-point security issue, I think that application owners should look for solutions that would protect their users against man-in-the-browser attacks during a session with the specific application.”

Man-in-the-browserは2007年に報告されている。
正規銀行サイトで入力した個人情報を奪う「Man in the Browser」攻撃