ギリシャのソニー・ミュージックエンタテインメントのウェブサイト「SonyMusic.gr」がSQLインジェクションによる攻撃 / インドネシアのソニー・ミュージックエンタテインメントのウェブサイトが改ざん  

SQLインジェクションによる正規ウェブサイトを改ざんする新たな攻撃、通称「LizaMoon(ライザムーン)」 / 転送されるウェブサイトのURLの末尾がすべて「/ur.php」となっていることが特徴  

不正改ざんサイトの情報が売買され、複数からの攻撃が行われている可能性や、テストサイトとして利用されている可能性が高い → Webページ改竄もソーシャルな時代  

Gumblar は、細部の変化を伴いつつ、2010年10月現在も攻撃活動を継続しているという  

特定のサイトの閲覧数を増やすクリッカーや偽セキュリティソフトがダウンロードされる事例が確認 / 偽セキュリティソフトも巧妙化 / 国内の企業100社以上から感染被害報告  

感染報告の大半が日本国内に集中しており、日本を標的としたターゲット攻撃の可能性 / 改ざんされたウェブサイトを閲覧すると、Javaの脆弱性を悪用するマルウェアがダウンロードされる  

2010年3月にアメリカの赤十字社のサイトが攻撃(iframeインジェクション)され、今度(2010年8月)はセルビアの赤十字社のサイトが攻撃された / Webページ改竄によるJavaScript埋め込み  

対象のWebサイト: Think IT, Web担当者Forum, IT Leaders, データセンター完全ガイド, レンタルサーバー完全ガイド / 7月19日23時22分から7月20日0時25分までの約1時間 / 広告配信システムが外部からの攻撃  

結構あちこちのサイトがやられてますねぇ  

最新版は、24日から飛来しているAmazon.comを装った注文確認メール / 怪しい薬局キャンペーンと同様に、最終的には怪しい薬局や時計屋サイトに連れて行かれるかれるのだが、その過程で8080系の攻撃サイトに立ち寄る  

国内のISP 1社が、全ユーザーのFTPパスワードを強制的に変更する対策を実施 / どうやらこれが功を奏したようで、悪用されるサイトの1〜2割を占めていた国内サイトが3%にまで減少  

題の部分。何かがリンクされています‥‥ / というわけで経産省が応援しているのは特撮ヒーローでした → 外部から改竄されたのか、内部で何かがあったのか、どっちだろう?  

「2010年4月23日 夕刻頃（日本時間）より、正規Webサイトを改ざんし、不正なプログラムが自動でダウンロードされるようにする「Webからの攻撃」に分類される脅威が相次いで確認されています」  

計6件の「侵入」被害があり、そのうち3件はGumblarの手口だと推測 / 感染したPCが特定できなかったため、再び被害にあった / 「なりすまし」はオンラインゲーム3件、ブログで2件など7件  

Apacheの設定ファイルである「.htaccess」の不正アップロードを行うGumblarウイルスを確認 / FTP転送のログから、少なくとも2010年1月27日にはこの攻撃が発生していたと推測  

新しい攻撃事例: .htaccess を(上書き)アップロードされて、攻撃者のサイトへリダイレクトさせられてしまう  

mixiアプリを開発するソーシャルアプリ専業ベンチャー「空飛ぶ」が、2月25日夜からすべてのmixiアプリの運用を停止 / 開発用サーバなどで第三者による改ざんが判明したためで、会社の公式サイトも閉鎖  

以前と同じ検索ページが改ざん / 昨年の12月に改ざんされたばかりで、それからわずか2か月で再び被害に遭った格好 → 前回の教訓が生きてないのか、対策がぬるすぎるのか。ひどい  

そもそもガンブラーとは、2009年5月に話題になった攻撃手法。誘導先のサイトのドメイン名が「gumblar.cn」だったために、この名前が付けられた  

「実際はGumblar.xでも8080でもない、まったく別の種類の改ざんが行われていたことが判明したという事例がある」