アカウント名:
パスワード:
そんな丸ごとマルウエアなWEBサイトってどこなんだ、と思ったら
都によると、感染経路は朝日新聞や読売新聞のニュースサイトに表示されたバナー広告のほか、厚生労働省の外郭団体「安全衛生技術試験協会」のホームページ(HP)など。
広告掲載する際に内容は精査しないのか、できないのか、しなくてもいいのか。実際広告を表示させてるのはまた別の会社なんでしょうけど、そっちをなんとかしとかないとダメだと思うけど、やっぱりできないんすかね。Googleとかはどうしてんのかな。#Flashはやっぱりもうダメか。
広告掲載する際に内容は精査しないのか、できないのか、しなくてもいいのか。
改ざんされたと書かれている。
協会のHPは閲覧時にウイルス感染するよう何者かに改竄(かいざん)されており、現在は閉鎖している。
読む限り、改竄されたのは「協会のHP」で、「バナー広告」は改竄されていない様に読めますが?
つまりは朝日新聞や読売新聞はバナー広告から感染し協会はバナー広告以外から感染するのか?
たぶんそれで正解【改ざんされたURL】hxxp://www.exam.or[dot]jp/movie.swf
公益財団法人 安全衛生技術試験協会 皆様へのお詫びとお知らせ(更新第二版) [exam.or.jp]
1 マルウェアのファイル名 Rdws.exe movie.swf 2 マルウェア感染の条件 【Flash Player のバージョン】 Adobe Flash Player 18.0.0.194及びそれ以前のバージョン 【ブラウザの種類】 Internet Explorer 【改ざんされた当協会HPのURL】 http://www.exam.ordotjp/movie.swf [www.exam.ordotjp]
1 マルウェアのファイル名 Rdws.exe movie.swf
2 マルウェア感染の条件 【Flash Player のバージョン】 Adobe Flash Player 18.0.0.194及びそれ以前のバージョン
【ブラウザの種類】 Internet Explorer
【改ざんされた当協会HPのURL】 http://www.exam.ordotjp/movie.swf [www.exam.ordotjp]
Rdws.exe でググると、トレンドマイクロ曰く「継続中の大規模な同時多発Web改ざん攻撃」 [trendmicro.co.jp]だそうだ。
JP RTL では、本件について 7月24日時点で数十ドメインの改ざん事例を確認しています。そのうち約半数が日本に関連する Webサイトでした。さらに、これらの攻撃の内容を確認したところ、以下のような特徴が見えます。 * 現在までに確認された国内の改ざんサイトは、特定のクラウドホスティングサービスに集中している * 改ざんの犠牲になった Webサイトのほとんどが非営利団体のものである(外郭団体など) * 不正に設置された HTMLファイルと SWFファイルは全てのケースでほぼ同一のファイル名と構成を持つ * Adobe Flash Player の脆弱性「CVE-2015-5119」と「CVE-2015-5122」を利用した攻撃を行う * 最終的に感染する不正プログラムのファイル名は全てのケースで同一の “Rdws.exe” である * 不正プログラム「Rdws.exe」は、かねてから日本を狙う標的型攻撃で利用されている遠隔操作ツール(RAT)の、「EMDIVI」ファミリーもしくは「PLUGX」ファミリーである
JP RTL では、本件について 7月24日時点で数十ドメインの改ざん事例を確認しています。そのうち約半数が日本に関連する Webサイトでした。
さらに、これらの攻撃の内容を確認したところ、以下のような特徴が見えます。
* 現在までに確認された国内の改ざんサイトは、特定のクラウドホスティングサービスに集中している * 改ざんの犠牲になった Webサイトのほとんどが非営利団体のものである(外郭団体など) * 不正に設置された HTMLファイルと SWFファイルは全てのケースでほぼ同一のファイル名と構成を持つ * Adobe Flash Player の脆弱性「CVE-2015-5119」と「CVE-2015-5122」を利用した攻撃を行う * 最終的に感染する不正プログラムのファイル名は全てのケースで同一の “Rdws.exe” である * 不正プログラム「Rdws.exe」は、かねてから日本を狙う標的型攻撃で利用されている遠隔操作ツール(RAT)の、「EMDIVI」ファミリーもしくは「PLUGX」ファミリーである
つまり「安全衛生技術試験協会」に限らず攻撃は拡大する恐れがあるとのこと。
とりあえずこのニュースに触れたら、今一度手元の環境のアップデート状況やマルウェアが仕込まれていないか確認する必要があるだろう。
感染urlのリンクを貼るのはやめたほうが。
「皆様へのお詫びとお知らせ(更新第二版)」と入れたから察してもらえるかと思ったのですが、すでに対策済みです。ただしマルウェアに感染する URL は他にもあるので、引き続き注意は要します。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
表示されるだけで感染する (スコア:1)
そんな丸ごとマルウエアなWEBサイトってどこなんだ、と思ったら
広告掲載する際に内容は精査しないのか、できないのか、しなくてもいいのか。
実際広告を表示させてるのはまた別の会社なんでしょうけど、そっちをなんとかしとかないとダメだと思うけど、やっぱりできないんすかね。
Googleとかはどうしてんのかな。
#Flashはやっぱりもうダメか。
Re:表示されるだけで感染する (スコア:2)
そんな丸ごとマルウエアなWEBサイトってどこなんだ、と思ったら
広告掲載する際に内容は精査しないのか、できないのか、しなくてもいいのか。
改ざんされたと書かれている。
協会のHPは閲覧時にウイルス感染するよう何者かに改竄(かいざん)されており、現在は閉鎖している。
Re: (スコア:0)
読む限り、改竄されたのは「協会のHP」で、「バナー広告」は改竄されていない様に読めますが?
Re: (スコア:0)
読む限り、改竄されたのは「協会のHP」で、「バナー広告」は改竄されていない様に読めますが?
つまりは朝日新聞や読売新聞はバナー広告から感染し
協会はバナー広告以外から感染するのか?
Re:表示されるだけで感染する (スコア:1)
たぶんそれで正解
【改ざんされたURL】
hxxp://www.exam.or[dot]jp/movie.swf
大規模な同時多発Web改ざん攻撃、継続中 (スコア:2)
公益財団法人 安全衛生技術試験協会 皆様へのお詫びとお知らせ(更新第二版) [exam.or.jp]
Rdws.exe でググると、トレンドマイクロ曰く「継続中の大規模な同時多発Web改ざん攻撃」 [trendmicro.co.jp]だそうだ。
つまり「安全衛生技術試験協会」に限らず攻撃は拡大する恐れがあるとのこと。
とりあえずこのニュースに触れたら、今一度手元の環境のアップデート状況やマルウェアが仕込まれていないか確認する必要があるだろう。
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
感染urlのリンクを貼るのはやめたほうが。
Re:大規模な同時多発Web改ざん攻撃、継続中 (スコア:1)
「皆様へのお詫びとお知らせ(更新第二版)」と入れたから察してもらえるかと思ったのですが、すでに対策済みです。ただしマルウェアに感染する URL は他にもあるので、引き続き注意は要します。
モデレータは基本役立たずなの気にしてないよ