こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
トレンドマイクロ株式会社は6月22日、官公庁や市町村の「偽サイト騒動」について、背後に不審なWebプロキシサイトを確認したと同社ブログで発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】最近、世間を騒がせている官公庁や市町村の「偽サイト」について、調査結果が発表されています。先週金曜日の配信でもお届けした官公庁や市町村の偽サイトの詳細について説明します。
官公庁や市町村のWebページの「偽サイト」が検索上位に登場する等の報告が6月から相次いでおり、6月15日には内閣サイバーセキュリティセンター(NISC)から注意喚起が出されています。セキュリティベンダーの調査によると、当該サイトは過去から何度も繰り返されている「プロキシ回避システム」の一種であるということです。
今回問題となったサイトは、基本的には指定されたURLのWebページの内容を中継するものでしたが、要求された接続先の内容に別のJava Scriptコードを挿入する挙動を確認しています。また、Java Scriptコードの挿入で、本来の表示が崩れて表示される、広告のポップアップが表示される等の機能が追加されている場合があることを確認しているということです。
今回の偽サイトは、別のサーバを経由してオリジナルのWebサイトを表示し、同時に攻撃者の意図したスクリプトを挿入しています。少し技術的な内容になりますが、できるだけわかりやすく説明します。
まず、別のサーバを経由してオリジナルのWebサイトを表示する方法ですが、基本的には指定されたWebページを中継して表示するだけなので、それだけで不正な存在とは言えません。通常の目的としては、接続元のIPアドレスを接続先のWebサーバに知られるのを防ぐことが挙げられますが、セキュリティ対策であるURLフィルタリングの迂回方法として利用される場合があります。
URLフィルタリングとは、管理者がアクセスすることが不適切であると考えるWebサイトに対して、ユーザのアクセスをブロックするセキュリティ対策です。アクセスできるURLを登録するホワイトリスト形式や、アクセスできないURLを登録するブラックリスト形式があります。
今回、プロキシ回避システムで、官公庁や市町村のWebサイトを表示しながら、別のJavaScriptを表示させているということです。具体的には、要求された接続先の内容にinject.jsというファイル名のJava Scriptコードを挿入していることが調査結果で挙げられています。inject.jsの中身について、現在は広告のポップアップが表示される機能が追加されているということですが、今後は攻撃者が自由に変更することができると考えられますので注意が必要です。
調査結果を発表したセキュリティベンダーも、オリジナルのWebページとは異なる挙動を差しはさむことについて、プロキシ回避システムの範疇を外れる「不審な行為」と指摘しています。
攻撃者が偽サイトを作成した現在の目的は、広告収入が主であると考えられますが、今後についてはランサムウェアなどの感染にも注意が必要です。また、官公庁や市町村の偽サイトが作られている理由は、アクセスした相手を信用させるためであると考えられます。
先ほど説明した通り、偽サイトを作成した攻撃者は任意のJava Scriptを偽サイトに挿入できるため、アクセスしたブラウザ上でスクリプトが実行されたり、ブラウザの脆弱性がつかれる可能性があります。前回、IEのサポート終了についてもお届けしましたが、使っているブラウザのバージョンが古かったりすると、思わぬ被害を生む可能性があります。
また、官公庁や市町村が偽サイトのオリジナルとして選ばれている理由は、アクセスした相手を信用させることであると考えられます。このことについては前回2022年6月24日の記事内でも触れた内容がおおむね該当していますので詳細については割愛しますが、広告だけでなくランサムウェアであったとしても、クリックされる確率が高いことを攻撃者が狙ってのものであることが考えられます。
今回は、2022年6月24日にも取り上げました一連の偽サイト騒動についての続報をお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
