寿司屋のホームページ見たらウイルス感染! ハッキングサイト閲覧で被害
 
どこぞのお寿司屋さんのホームページが悪意のある第三者によってハッキングされてたので突撃アクセスしてみました。
 
イメージ 1
普通の寿司屋のホームページだけど…
 
見た目では別に異変は分からないけど、HTMLソースコードを確認してみると外部サイトを裏でヒッソリ読み込む不正な<iframe>タグが挿入されてます!
 
イメージ 2
ソースコードを確認すると怪しい<iframe>タグが確認できる
 
Windowsパソコンの ウイルス感染経路の1つになってる Adobe Flash Player を更新しないで旧バージョンのまま放置してる危険な状況を再現して、ウイルスが強制的に起動し感染した瞬間がコチラ!
 
イメージ 3
右側はプロセスの状況を表示するツール Process Explorer
 
《ドライブバイ・ダウンロードによるウイルス強制感染の流れ》

http //www.******.jp/ ← 寿司屋
 ↓ <iframe>タグで強制読み込み
http //******.co.jp/ *****.php ← リダイレクター (清掃業やってる企業サイトがハッキングされファイル置き場になってる)
 ↓ 強制転送
http //grh.janbanki[.]net/? ~ ... エクスプロイトキット ランディングページ
http //grh.janbanki[.]net/ index.php? ~ ... 不正なFlashファイル
http //grh.janbanki[.]net/ index.php? ~ ... Windows向け実行ファイル
 
プロセスの様子を見ると、ブラウザ iexplore.exe の傘下に謎のファイル 3AA6.tmp が存在してることが分かります。
 
この正体はWindows向け実行ファイルであり、起動して感染してしまったウイルスなのです。 <ダウンロードウィンドウや起動の確認場面はいっさい無く

怪しいサイトにアクセスしない、は無理

ウイルス対策と称して『怪しいサイトにアクセスしない♪』というのを見かけるけど、リアル世界で起こってる脅威と相反して、けっこう無謀なことを要求してることが分かるはず。
このような改ざん被害は日本も含めて世界中で日常的に発生していて、そこがアダルトサイトや企業サイトや個人運営サイトやブログだったりして、何だかんだコンテンツの中身はさして関係ないよぅ。
関連するブログ記事
・ 偽FlashPlayer.exeを起動させる巧妙な手口 正規サイトがウイルス配布?
・ 要注意 不正広告からウイルス感染被害! 唯一の対策と影響環境は?