So-netのセキュリティ通信が素晴らしい件

「JSRedir-R」(GENO/ZlKon/Gumblar/Martuz)、HP改竄、Adobeの脆弱性関連情報の続きです。

初出は「So-net セキュリティ通信」

今回の一連の騒動を経て、国内ISPが提供するセキュリティ情報で最も信頼が高まったのは So-net だろう。同社サイト「So-net セキュリティ通信」に掲載される記事は情報が迅速かつ正確で、他のニュースサイトや国内ISPが情報を掴みきれず右往左往している間に、独自の調査にて精度の高い情報をユーザに提供し続けた。特に注目されるのは2009年4月14日に掲載された「多数サイトが改ざん(1)(2)」の記事だ。

2009年4月14日多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ
2009年4月14日多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」

この時点で、サイト改竄の原因が「Adobe ReaderAdobe Flash Player の脆弱性を狙ったものである」と断定した記事を掲載したサイトは他になかった*1。大手ニュースサイト(とわざわざ肩書きを入れなくてもよいと思うけれど)「IT media」でさえ、単なる改竄のみの話としてではなくAdobeの脆弱性という背景込みで掲載したのは2009年5月19日「Webに感染するマルウェア『JSRedir-R』が猛威」が初出。JPCERT/CCがアドバイザリーを出した同日だ*2。そのくせ、被害状況が急拡大していると見るや、翌日の記事で「ますます巧妙化するJSRedir-Rの攻撃手法」とのタイトルで追加記事を掲載し、まるで「以前からずっとアラート出してたけどね」風な体裁を装う始末。まあいいんですけども。

国内ISP各社のユーザ向け情報提供の状況

さて、会員向けのホームページサービスを提供している国内ISP各社は、多数のサイトが改竄されている事実をかなり早くから掴んでいた。2008年11月頃から改竄が行われていたとの情報もある。しかしながら、その原因がAdobeの脆弱性と判明し、対策に動き出したのはそれから数ヶ月経ってからのこと。最も早く情報を出したのがSo-netで2009年4月。それから1カ月以上遅れてBIGLOBE、OCNと続く。その他のISPは本件のアラートすら出しておらず、ユーザ向けの注意喚起や啓蒙活動は完全に後手に回っている。
以下に主なISPの対応状況をまとめたが、情報を掲載した3社以外は、少なくとも本件については見る価値がない。掲載されている情報も、「ニュース」「速報」といいながら、Microsoftの定例パッチの情報しか掲載していなかったり、単なるセキュリティ製品のプロモーションの場としてしか機能していなかったりするサイトもあり、本当にユーザが必要としている情報を提供できるISPはまだまだ少ないと感じる。

<追記>
上記記事を6/4に書いたら、6/5に各社一斉に掲載し出しました。ここ見てるわけではないとは思いますがすごいタイミングだなあ。というわけで、各ISPの情報掲載状況を更新しました。

◆ISPごとのユーザ告知の状況(2009/6/9現在で、本件の掲載が早かった順)

ISP 掲載日 サイト名
So-net 2009年4月14日 So-net セキュリティ通信
BIGLOBE 2009年5月21日 BIGLOBEセキュリティニュース
OCN 2009年6月1日 OCNからのお知らせ
NIFTY 2009年6月5日 会員サポート>お知らせ
IIJ 2009年6月5日 IIJからのお知らせ
ODN 2009年6月5日 ODN最新情報
au one net 2009年6月9日 お知らせ
Yahoo!BB × BBセキュリティ
ぷらら × plala セキュリティ対策

ゼロデイ攻撃が行われていた

Adobe Reader の脆弱性に関する注意喚起は2009年3月及び5月に公開されたが、前述の通り昨年末時点で既にWEBサイトの改竄が行われていたとすると、Adobe社の情報公開より数ヶ月も前からゼロデイ攻撃が行われていた可能性がある。いま、実際にWEBサイト改竄という「目に見える被害」が起きているため、4月5月に初めて起きた問題のように見えているけれど、こうした目に見える被害が始まる前に静かに潜行して収集されたインターネットユーザの個人情報は一体どれほどの数に及ぶのだろう。そして、これからその被害がどれだけ表面化していくのだろう。想像するだけでぞっとする。
もっとも、昨年から行われていたWEBサイトの改竄が、今年4月以降爆発的に広がったWEBサイトの改竄のきっかけと同じ Adobe Reader の脆弱性を利用して行われたものかどうかは明確な裏付けがない。とはいいつつ、現在起きている混乱がまだ序章であるという疑いは一向に晴れないのだ。
そう、「こ れ か ら が 本 当 の 地 獄 だ」 と言ってもいいかも知れない。

*1:当サイト調べ。あったらごめんなさい。

*2:HP改竄の情報自体は5月15日にも出ているが、その記事ではAdobeの脆弱性に触れられていない。