東海地方の複数のスーパーマーケットがトロイの木馬に狙われる事案が発生しています

228

版次最終編集：2023年11月17日 21:14

筆者：かぴばら

今回はいつもと違う記事になりますが、2023年の11月に入り、2つのスーパーマーケットにおいて、いわゆるトロイの木馬というマルウェアに感染する事例が発生しています。

筆者自身が体験した結果でもあり、何があったのか？記事にしてみることにしました。

目次

1. ことの発端はウイルス検知ソフトからの警告です
2. トロイの木馬でした
3. 結局今回のウイルスは？！
4. トロイの木馬から実行型に変わるまで
5. 見ている人に安全なサイトに！

ことの発端はウイルス検知ソフトからの警告です

(スーパーマーケット)

ことの発端は11月7日、とある愛知県のスーパーマーケットのホームページにおいて、筆者が閲覧している時。
使用中のウイルス検知ソフトESETが「JS/ScrInject.B」に感染していると警告を出したことが発端でした。

普通に「JS/ScrInject.B」を検索すると、誤検知の類のホームページがいくつか出てくるのです。
はじめは誤検知かと思っていました。

トロイの木馬でした

(トロイの木馬)

「JS/ScrInject.B」と呼ばれるこのウイルスは、最初は気づかれにくいですが、10日後に別の形に「変化」します。
これにより、通常のウェブサイトを見ているように思えても、実は詐欺を目的とした「フィッシングサイト」へと無意識に誘導される問題が発生しました。


フィッシングサイトとは、個人情報や銀行のログイン情報を盗もうとする偽のウェブサイトのことです。

ウイルス名も「JS/Agent.NSD」に変わったのです。



※補足

トロイの木馬とはコンピューターウイルスの一種で、有用なソフトウェアのように見えるが、実際には悪意のある動作をするプログラムです。

フィッシングとは偽のウェブサイトやメールを使って、ユーザーの個人情報やパスワードなどを盗み取る詐欺行為です。

結局今回のウイルスは？！

(発火のイメージ)

一昔まえのコンピューターウイルスと言えば、パソコンのデータを消したり、ハードを傷つけたりするようなウイルスをイメージしてしまいます。

今回の目的は、ユーザーをフィッシングサイトへ誘導することだったようです。




(フィッシングサイト)

いつものようにチラシやホームページのお知らせを確認しようと思った所、まったく見た事の無いサイトに誘導されます。

アクセスしてきたユーザーから個人情報やログイン認証情報を詐取する詐欺行為が行われるサイトに誘導される可能性があります。

トロイの木馬から実行型に変わるまで

私自身も過去にフィッシングサイトに騙された経験があります。
運営しているサーバー、ウイルスが感染した事がある経験者側の方であります。

その結果、今に至っています。


今回のケースは

1．初期の段階では、ユーザーの行動を分析するトラッカーを埋め込みます。
2．トラッカーから、サイトの仕組みを分析します。
3．運営に使っているサイトの管理システム（CMS)を判断し、脆弱性があるのか判断します。
4．脆弱性から、フィッシングへ誘導するコードを埋め込みます

という流れだったようです。

1のトラッカーを埋め込んだ方法は、私にも分かりませんが、2つ目のスーパーマーケットの改変状況から、JSファイルを何らかの方法で、書き加えているコードを見つけることができました。

見ている人に安全なサイトに！

(サイトの閲覧)

決して脅しているわけではありませんが、サイトを書き換える為に。

何かのボットを使用して脆弱性を発見し、次の脆弱性を見つけ出して攻撃する、いわばこじ開けるような方法が取られています。


今回は幸いな事に、閲覧しただけでは、何か破壊される・抜き取られることは無いのです。
もし、いつものサイトにアクセスしたのに、いきなり見た事もないホームページが開いてしまったら、一呼吸おいて、ブラウザを閉じることをおすすめします。

スーパーマーケットのホームページなので、クレジットカード番号を入力する人は少ないかと思いますが、今一度ご注意ください。