「配信されたHTMLファイルを閲覧したユーザーがウイルスに感染した可能性がある」ということです。最近、この手の攻撃・トラブルを何回か見たような気がします。管理会社にはしっかり管理してもらいたい。「SecurityTool」に感染というのは、前に このブログで取り上げ ています。

マイクロアド広告サーバーが改ざん、Impress Watchほか複数メディアで影響 -INTERNET Watch

　株式会社マイクロアドは25日、同社の広告配信サーバー「VASCO」の一部バージョンが外部からの攻撃を受けて改ざんされ、配信されたHTMLファイルを閲覧したユーザーがウイルスに感染した可能性があると発表した。

　マイクロアドによると、該当する広告配信サーバーは100社以上が導入しているが、影響を受けた企業やユーザー数については現在調査中であるという。また、導入企業については非公開としているが、27日午後1時現在、毎日.jp、Impress Watch、GIGAZINE、Slashdotなどのウェブメディアが改ざんの影響を受けたと発表している。

　広告配信サーバーが改ざんされていたのは9月24日21時半ごろから9月25日1時過ぎごろまで。この間、広告が含まれるページを閲覧したユーザーは、悪意のあるサイトに誘導され、偽セキュリティソフト「SecurityTool」に感染した恐れがあるという。

　SecurityToolはインストールされると、正規のセキュリティソフトのような画面を表示し、大量のウイルスが検出されたように見せかける。駆除しようとするユーザーに対しては有料会員への登録を促し、クレジットカード情報などを入力させようとする。

　マイクロアドは該当するユーザーに対して、ウイルス対策ソフトを最新の状態にしてスキャンを実施するか、セキュリティ各社のホームページにあるオンラインスキャンを利用するよう呼びかけている。

　例えば、トレンドマイクロではSecurityToolを「TROJ_FAKEAV.STL」として検出しており、対応方法を以下のように説明している。なお、対応方法にはレジストリの編集が含まれているため、レジストリの編集前には必ずバックアップを作成することを推奨している。

　1）この不正プログラムのファイル名を確認します｡
　最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TROJ_FAKEAV.STL」で検出したファイル名を確認し、メモ等をとってください。ここで確認したファイル名を以下の手順で使用します。

　2）メモリ上で実行されている不正プログラムのプロセスを終了します｡
　下記方法でタスクマネージャーを起動し、手順1）で確認した名称のプロセスを終了します｡
　　・Windows 98/ME の場合CTRL+ALT+DELETEを押します。
　　・Windows NT/2000/XP/Server 2003 の場合CTRL+SHIFT+ESCを押します。

　3）タスクマネージャを終了します。

　4）不正プログラムが追加したレジストリキーを削除します。
　以下のレジストリキーを削除してください。レジストリキーの削除方法はこちらをご覧ください。
　　キー：HKEY_LOCAL_MACHINESOFTWARE＜不正プログラムのファイル名＞

　5）不正プログラムの変更したレジストリ値を修正します。
　以下のレジストリの値を修正してください。レジストリ値の修正方法はこちらをご覧ください。
　場所：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
　値（修正前）:＜不正プログラムのファイル名＞= “＜Application Data＞＜不正プログラムのファイル名＞＜不正プログラムのファイル名＞.exe”
　値（修正後）:＜不正プログラムのファイル名＞= “”

　6）Windowsの検索機能（[スタート] → [検索] → [ファイルとフォルダすべて] を選択）などを使用して、この不正プログラムが作成した以下の不要なフォルダを検索し、検出した場合は削除してください。
　* ＜Application Data＞＜不正プログラムのファイル名＞

　7）Windowsの検索機能（[スタート] → [検索] → [ファイルとフォルダすべて]を選択）などを使用して、この不正プログラムが作成した以下の不要なファイルを検索し、検出した場合は削除してください。
　* ＜デスクトップ＞フォルダSecurity Tool.lnk -自身のコピーへのリンク
　* ＜User Profile＞Start MenuProgramsSecurity Tool.lnk – 自身のコピーへのリンク

　（註： ＜デスクトップ＞フォルダは、Windows 98 および MEの場合、通常 “”C:Documents and Settings＜ユーザ名＞デスクトップ”” です。 Windows NTの場合、””C:WINNTProfiles＜ユーザ名＞Desktop””、Windows 2000, XP, Server 2003の場合は “”C:Documents and Settings＜ユーザ名＞Desktop”” です。）

　（註：＜User Profile＞フォルダは、Windows 98 および MEの場合、”C:WindowsProfiles＜ユーザ名＞”、Windows NTでは、”C:WINNTProfiles＜ユーザ名＞”、Windows 2000, XP, Server 2003の場合は、”C:Documents and Settings＜ユーザ名＞” です。）

　8）最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。この不正プログラムは「TROJ_FAKEAV.STL」と検出されます。検出したファイルはすべて削除してください。

　9）全ドライブ検索を行い何も検出されなければ、処理は完了です。

９８サイト改ざん被害、広告配信通じウイルス （読売新聞） – Yahoo!ニュース

読売新聞 9月28日(火)3時2分配信
　毎日新聞のニュースサイトなど国内９８サイトが２４日夜、ネット広告会社の広告配信を通じて改ざんされ、コンピューターウイルスを埋め込まれていたことが分かった。

　サイトを閲覧すると別の不正サイトに自動的に移動、偽のウイルス対策ソフトによってクレジットカード番号などの個人情報を盗まれた恐れがある。延べ閲覧者数は約８００万人に上るとみられる。

　ほかに改ざんが確認されたのは、口コミでグルメ情報を紹介する「食べログ」や家電などの価格を比較する「価格．ｃｏｍ」、ニュースを配信する「Ｊ―ＣＡＳＴニュース」など。

　これらのサイトにバナー広告を配信しているネット広告会社「マイクロアド」（東京）のサーバーが海外からのサイバー攻撃を受けてプログラムを書き換えられ、契約している各サイトへの広告配信を通じて次々と感染を広げたとみられる。同社によると、２４日午後９時半頃改ざんされ、午後１１時半頃に修復した。同社はその間の延べ閲覧者数は約８００万人に上るとみている。

最終更新:9月28日(火)3時2分