サイトから当選詐欺にリダイレクト

あるサイトにアクセスすると、当選詐欺サイトにリダイレクトされるようになったとのことで主催者は困惑していました。

いろいろ調べましたが、記事はたくさんあるけれど、内容は似たり寄ったりで解決にはつながりませんでした。おおかたは、ブラウザでブロックするURLを登録せよのような内容が多いです。

詳しい知人に問い合わせたところ、下記のサイトを教えてもらいました。このサイトが一番、的確な情報を乗せているように思いました。

https://tohaz.com/anti-hacking/

このサイトでは、URLを入力するとサイトの安全性などをチェックしてくれるサービスへのリンクもあったので、わがサイトをチェックしてみました。

https://sitecheck.sucuri.net/

ここで、怪しいとなると500ドルで除去してもらえるようですが、どうなのかは不明です。

表示が英語なのでGoogle翻訳で日本語にしたら、とりあえず「マルウェア」には汚染されていないようですが、セキュリティは中間でした。ちなみに、TOYOTAも「中程度のセキュリリスク」でした。

リダイレクトで困っているサイトをチェックする前にシステムの人が中身をチェックしたところ、「JSファイル（action.js、jquery-1.7.1.min.js）に 不審なコードが付与されていました」とのことで、手を打ってしまったので、チェックをしても上記のサイトと同じような結果になってしまいました。

詐欺サイト側で、どうやったのかは不明ですが、JSファイルが書き換えられていたようです。

知人の指摘では「ちなみにサーバーのコンテンツが改ざんできれば１日１回だけリダイレクトさせることもできると思います」といわれてもいました。

1日1回だけ当選詐欺にリダイレクトされるような場合は、JSファイルを疑うと解決につながるかもしれません。

ちなみに、改ざんは、このような感じだそうです。

https://internet.watch.impress.co.jp/docs/news/1190567.html

どうしてJSファイルが書き換えられるかというと、
・脆弱なパスワードでサーバーに入られたとか、
・WEBサーバーに脆弱性があってファイルを書き換えられたとか、
・内部犯行とか。

が考えられるようです。おそらくは、webサーバーで使用しているOSやアパッチなどのソフト類の脆弱性を破られたのではないかと思っています。

webは、このように性善説は成り立たない道具なので、静的なHTMLだけの情報発信にするのが安心、安全になりつつあるようです。JabaScriptのみならず様々な仕組みを組み込むほどに脆弱性が上がっていくことになるようです。