2017年7月13日

株式会社Doctor Web Pacific

ロシア連邦政府ポータル(gosuslugi.ru)内に、未知のソースからの、悪意のある可能性のあるコードが埋め込まれているということが、Doctor Webのスペシャリストによって発見されました。当該サイト(gosuslugi.ru)管理者からの返答がないため、やむを得ず脅威についての情報を公開する運びとなりました。

攻撃が発生した日付や、攻撃ベクターのこれまでの活動については現時点で特定することができません。少なくとも15のドメインアドレスが未知の個人によって登録されており、悪意のあるコードが政府ポータル訪問者のブラウザをそれらの1つに密かに接続させます。これらのドメインは、クレジットカード情報を入力させる偽の入力フォームから、訪問者のコンピューターへのアクセス取得を目的とした脆弱性に対するブルートフォース攻撃まであらゆるドキュメントを応答として返します。

ユーザーによって要求されたWebサイトのページが動的に生成される際、Webサイトコードに <iframe> コンテナが追加されます。これにより、あらゆる外部データをダウンロードしたり、ユーザーのブラウザからリクエストしたりすることが可能になります。現時点で、セキュリティリサーチャーは少なくとも15のドメインを確認しています。それらの中には m3oxem1nip48.ru や m81jmqmn.ru のほか、故意に意味をなさないようにした名前が含まれています。そのうちの少なくとも5つは、オランダで登録されている企業のアドレス範囲に属するものです。これらのドメイン所有者に対するリクエストは、これらWebサイトの多くでセキュリティ証明書の有効期限が切れているために不成功に終わるか、またはその応答に悪意のあるコードを含んでいませんでした。しかしながら、ドメイン所有者がいつ証明書を更新し、ドメイン上に悪意のあるコードを置いたとしてもおかしくはありません。

現時点で、gosuslugi.ruは未だ感染した状態となっています。Webサイトのテクニカルサポートサービスに対して情報が送られましたが、調査を開始したという報告や再発防止のための措置を講じたという報告は未だありません。ユーザーの皆様は、問題が解決するまでロシア連邦政府ポータルの使用に十分気を付けるようにしてください。また、gosuslugi.ruの管理者および関係当局には、Webサイトのセキュリティチェックを行っていただきますようお願い申し上げます。

ユーザーの方は、検索ツールを使用してご自身でコードの有無をチェックすることが可能です。以下のリクエストを作成してください：

site:gosuslugi.ru "A1996667054"

最新情報：悪意のある可能性のあるコードは、本記事掲載(ロシア語版)の約3時間後にgosuslugi.ruから削除されました。