読者です 読者をやめる 読者になる 読者になる

サーバと無関係に2500のサイトにスクリプトを注入

「新しいタイプのハッキングは、いかに2500のギャンブルサイトを汚染したか」

www.theverge.com

もう最終日のBlack Hatのブリーフィングで、2500弱のサイトへの一括汚染についての発表がある(あった)ようです。

「現実のTCPインジェクション ― 大規模研究」

https://www.blackhat.com/us-16/briefings.html#tcp-injection-attacks-in-the-wild-a-large-scale-study

ギャンブルサイトの管理者の協会GPWA(Gambling Professional Webmasters Associtation)というのがあり、ここが認定バッジ(画像)を協会加盟サイトに出しています。

(下記サイトに実例があります。今は攻撃はないとのことなので紹介します)

世界基準へ!「ブックメーカー情報局」がGPWAの認証獲得!! http://bookmaker-info.com/gpwa

このバッジが汚染され、それ表示する2500弱のサイトで影響が出たそうです。もっとも、実際の中身はアフィリエイトを書き換える程度のものだったようですが。

ここで興味深いのは、GPWAのサイトも、加盟サイトも、一切侵入されていないこと。このためログでの分析ができなかったようです。どうやら、GPWAのサーバを格納する業者のネットワーク内に、GPWA.orgへのアクセスに対して偽サイト(QPWA.org)を先に返すサーバがあったらしいのですが、詳細は不明です。

この手の「サードパーティのサーバの内容を使って攻撃する」手法としては、不正な広告を送出するmalvatisingが有名ですが、こちらは技術的には全く別物といえそうです。技術的難易度が高いので普及はあまりしないのでは……という気もしますが。