Apache狙いの攻撃横行、48カ国で2万超のWebサイトが感染か

攻撃ツールキットの「Darkleech」はApacheを使ったWebサーバに感染し、Webサイトを見たユーザーをマルウェアに感染させるという。

　広く普及しているWebサーバソフトのApacheを狙った攻撃が横行し、過去数週間だけで推定2万を超すWebサイトが被害に遭っているという。IT情報サイトのArs Technicaや米Cisco Systemsのブログが4月3日までに伝えた。

　それによると、この攻撃ではApacheを使ったWebサーバが「Darkleech」という攻撃ツールキットに感染。被害は米国や英国を中心とする48カ国に及んでいる。これまでに感染が確認された中にはLos Angeles TimesやSeagateなどの大手企業が運営しているWebサイトも含まれるという。なお、この両社はArs Technicaに対し、感染が発覚した時点で対処済みだと説明している。

　DarkleechはApache 2.2.2以降を使っているWebサーバに感染し、攻撃者がSSHバックドアを通じてリモートから悪質なApacheモジュールをアップロードできる状態にしてしまう。このモジュールによって感染先サイトに不正なiFrameを仕込み、そのWebサイトを見たユーザーを気づかれないように別のWebサイトに誘導してマルウェアに感染させる。

攻撃発生国の状況。日本は1％（Ciscoより）

　この攻撃は2012年8月ごろから確認され、さまざまなセキュリティ企業や専門家などに指摘されてきた。しかし、どのような脆弱性を使ってApacheベースのマシンを制御しているのかはいまだに不明。「Plesk」や「Cpanel」といったソフトウェアの脆弱性が利用されている可能性のほか、パスワードクラッキングやソーシャルエンジニアリング攻撃などの可能性も指摘されている。

　不正なiFrameはWebページがアクセスされた時にのみ動的に挿入されるため、発見して対処するのが極めて難しいとCiscoの研究者は指摘する。そのほかにも攻撃側は、検出を免れるために各種の高度な手口を使っているという。