インフォメーション

【重要】サイト閲覧時におけるマルウェア「Security Tool」の不正インストールについて

2010年09月26日

掲載:9月26日 18:30
更新:9月27日 11:00(他社影響サイト追記)
更新:9月27日 11:30(MicroAd社 相談窓口設置追記)
更新:9月27日 13:00(他社影響サイト追記)
更新:9月28日 14:30(一部報道機関による誤った報道に対するご案内を追記)

【重要】サイト閲覧時におけるマルウェア「Security Tool」の不正インストールについて
―――――――――――――――――――――――――――――――――――――――――

『みんなの株式』で利用中の情報配信システム「VASCO」(MicroAd社)にて配信された情報の中に、不正なサイトへ誘導されるコードが混入し、これに起因して24日の午後9時頃から25日の1時頃にかけて『みんなの株式』にアクセスされたお客様のうち、一部のお客様に「Security Tool」に感染した可能性があることが判明いたしました。
この度は『みんなの株式』をご利用の皆様に大変なご迷惑とご心配をお掛けしておりますこと、深くお詫び申し上げます。

また本情報開示につきまして、情報が氾濫することを防ぐために事実の正確な確認をする必要があったこと、及びMicroAd社と影響範囲に関する協議が必須であったことにより皆様へのご案内が遅れてしまいましたこと、併せて深くお詫び申し上げます。


■1.事象
9 月24 日 21:00 頃~9 月25 日 1:10 頃にかけて、『みんなの株式』が情報配信システムとして利用しているMicroAd社「VASCO」の一部バージョンにおいて、マルウェア「Security Tool」の不正インストールを目的とした悪意ある不正なサイトへ誘導されるコードが混入した事を起因とし、一部のユーザが同マルウェアに感染する問題が発生いたしました。
現時点での調査結果では、不正なサイトへの誘導が確認されておりますのは、9 月24 日 21:30 頃~9 月24 日 23:30 頃との調査結果となっております。


■2.影響サイト(弊社運営サイト)
・『みんなの株式』(http://minkabu.jp/
・その他「VASCO」を採用していたサブドメインサイト
  *『みんなの金運』(http://minfeng.minkabu.jp/
  *「みんかぶマネー講座」(http://money.minkabu.jp/
  *「みんかぶSHOP」(http://shop.minkabu.jp/

 ※ 上記サイトも、下記「3」の通り既に問題は解消されております。

 ※ 『みんなの外為』(http://fx.minkabu.jp)、及び
   『みんなの株式 Mobile』(http://mobile.minkabu.jp)では
   「VASCO」を採用しておりませんので影響はございません。


■3.現在の状況
上記が確認された事を受け、上記影響サイト全てにおいて「VASCO」の利用を停止しております。
現時点においては、『みんなの株式』へのアクセスによって悪意あるサイトへの誘導、及びマルウェアへの感染は発生いたしません。
また、現在表示されている広告や情報配信サービスにつきましても「VASCO」からの配信は全て停止されておりますことから、広告や『みんなの株式』公式コンテンツへのリンクをクリックすることによる問題はございません。
なお、「VASCO」に関しましては、今後、安全性が確認されるまで利用することはございません。
また、ユーザー様が日記等に記載しているリンクにつきましては、今まで通りURLそれ自体や日記等の記述を確認してからのクリックをお勧め致します。


(28日 14:30追記)<ここから>

9月28日(火)付けで一部報道機関におきまして、個別のサイト自体が改ざんされ、弊社運営サイト(及び本現象に関係した他社サイト)に原因があったかのような報道がなされておりますが、その様な事実は全くございません。


詳細は下記をご覧下さい。

==MicroAd社による報道内容の訂正文書=====================

掲載文書:http://www.microad.jp/press/20100928/
(以下、原文掲載)

     弊社サービスの改ざんに関する影響範囲の一部報道について

 この度、弊社サービス”アドサーバーVASCOの一部バージョン“におきまして、第三者による悪意的な攻撃を受け、一部データが改ざんされました。この件に関しては本日一部の報道機関にて、約800万人に影響が上るとの記事が掲載されました。

 弊社の調査による改ざん時間帯における最大の閲覧者数は、68万人であることが判明しております。 これら報道は、不用意にインターネットユーザーの皆様の不安を煽るものであり、上記のように訂正させていただきます。
 また、個別のサイト自体が改ざんされ、サイト側に原因があったかのような報道がなされております。悪意あるサイトへの誘導の原因は弊社サーバーが改ざんされたことにあり、個別のサイトが改ざんされた事実はありません。

 本件におきましては、弊社サービスをご利用いただいているお客様、また直接広告をご覧いただいているユーザー様に大変ご迷惑をお掛けしましたことをお詫び申し上げます。 今後、二度とこのようなことが起きぬよう体制の強化を図ってまいります。

【本件に関するお問い合わせ】
  user-support@microad.jp までお問い合わせください。
=======================================

(28日 14:30追記)<ここまで>


■4.「Security Tool」の感染の確認について
下記をご確認いただき、ページの中段に掲載されております「Security Tool」(薄青い背景のウィルス駆除ソフトに見せかけたツール)と同様の画面が表示された方は不正に同マルウェアがインストールされております。
・トレンドマイクロ社による説明
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_FAKEAV.STL&VSect=T
※ このマルウェアには多種の亜種が存在しますので上記画面イメージに限らない場合がございます。

なお、
 ★ 「SecurityTool」で検知される大量のウイルスは虚偽です。絶対にその先に進まないでください。
    ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
 ★ 金融機関情報等を要求される場合がありますが、絶対に入力しないでください。
    ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
 ★ マルウェアが要求する「除去」や「アップグレード」を促す選択は全て無視してください。
    ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄


■5.「Security Tool」の感染条件について
当該マルウェアに関連する挙動として、不正に誘導されたサイト内において拡張子が「PDF」「RAM」「JAR」「SWF」等のファイルを開こうとし、そこで起動されたアプリケーションなどのセキュリティホール(脆弱性)を不正利用することで感染する可能性があるとの情報がございます。
上記に関連するソフトウェアやアプリケーションをご利用になっており、また最新のバージョンをお使いでない場合には、各社により提供されております最新版へのアップデートを強くお勧めいたします。
また、Windowsをご利用の場合は、MicrosoftWindowsUpdateによる感染抑止効果も見込めます為、そちらも最新版への更新を強くお勧めいたします。


なお、今回の不正なサイトへの誘導の原因となった「VASCO」は『みんなの株式』以外の多くのサイトでも導入されている事が確認されておりますため、『みんなの株式』をご利用になっていないPCや情報端末であっても、感染の確認及び上記の対応を行っていただくことを強くお勧めいたします。

加えまして、2010年07月27日のMicroAd社報道発表によりますと、2010年7月時点で導入社が50社を超えているとの事です。

   *http://www.microad.jp/press/20100727/
    (以下抜粋)
   | 「VASCO(ヴァスコ)」は、2009年11月のリリース以降、
   |大手法人メディアを中心に導入され、月間法人メディア導入数50社、
   |月間インプレッション数は20億インプレッション(いずれも2010年7月時点)
   |に拡大いたしました。

現時点での感染の可能性があるサイト一覧は同社より提示されておりませんが、既に下記大手サイトにて影響可能性が告知されております事からも、同マルウェアの感染確認、及び上記セキュリティ対策を行う事をお勧めいたします。

ーー(ご参考)ーー
弊社関連サイト以外で、影響可能性を告知した大手サイト(27日13:00時点)
・毎日jp:http://mainichi.jp/etc/20100925/index.html
・Impress:http://www.watch.impress.co.jp/headline/docs/notice/20100926_396275.html
・Slashdot:http://slashdot.jp/slash/article.pl?sid=10/09/24/1641224
・GIGAZINE:http://gigazine.net/index.php?/news/comments/20100927_security_tool/
・みんカラ:http://minkara.carview.co.jp/userid/194136/blog/19805018/
・日刊工業新聞:http://www.nikkan.co.jp/info/20100926index.html
・ALBA.net:http://www.alba.co.jp/notice/20100927.php
・newsing:http://announce.newsing.jp/2010/09/post_62.html
・J-CASTニュース:http://www.j-cast.com/2010/09/27076735.html
・オートスポーツweb:http://as-web.jp/news/info.php?c_id=4&no=29479
・価格.com:http://corporate.kakaku.com/press/topics/20100927.html
・マピオン:http://blog.mapion.co.jp/release/2010/09/100927_14434.html
・Think IT:http://thinkit.co.jp/page/1779
・朝日放送:http://asahi.co.jp/information/20100927.html
ーーーーーーーーー


■6.マルウェア「Security Tool」の駆除方法について
下記ウィルス駆除方法(感染の確認方法)記載をご参照のうえご対応をお願い申し上げます。

・ソースネクスト社
http://sec.sourcenext.info/support/securitytool.html

・シマンテック社
http://jp.norton.com/security_response/writeup.jsp?docid=2009-100913-4833-99&tabid=3

・マカフィー社
http://www.mcafee.com/japan/security/virF2009.asp?v=FakeAlert-KW

・トレンドマイクロ社
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_FAKEAV.STL&VSect=T

・駆除ツール「ノートンパワーイレイサー」(日本語版)
http://security.symantec.com/nbrt/overview.asp?lcid=1041&serviceid=181&pname=nav&pversion=na&origin=thankyou&env=beta&layout=esd&osver=5.1&vendorid=na&ispid=na
 → ご利用方法を必ず確認ください。

・駆除ツール(英語版)
http://www.bleepingcomputer.com/virus-removal/remove-security-tool
 → ご利用方法を必ず確認ください。

・(ご参考)その他一般サイトによる情報や、駆除説明等
   *http://chibanikki.kinokodo.net/?eid=987224
   *http://ameblo.jp/lreport/entry-10422831125.html
   *http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1247602362
   *http://wxy117.seesaa.net/article/137968518.html
   *http://blogs.yahoo.co.jp/noooo_spam/60190012.html
   *http://ameblo.jp/tokyosoccer/entry-10433831640.html
   *http://w44swalker.blog13.fc2.com/blog-entry-2.html
    → 一般サイトであり、本お知らせ掲載後に情報の更新が行われる場合があります。
      それゆえ、あくまでもご参考としてご参照下さい。


■7.『みんなの株式』の現状のセキュリティーに関して
『みんなの株式』サービス自体のセキュリティにつきましては万全を期させていただいており問題はございませんが、当社サービスに採用している情報配信サービスにつきまして、全て改めて検査・精査し、より万全なセキュリティ確保に努めさせていただきます。


■8.その他、本件に関するお問い合わせ先
本件に関するお問い合わせは、下記にて承っております。

  *『みんなの株式』お客様お問い合わせ窓口
    ---------------------------
    http://minkabu.jp/top/contact
    ---------------------------

  *株式会社マイクロアド【本件の対応窓口】
    ---------------------------
    電話受付:03-5459-6344
    メール :user-support@microad.jp
    ---------------------------


=「MicroAd社における本件に対する発表内容」====================

本件に関する発表:http://www.microad.jp/press/20100925/20100925.pdf
(会社サイト:http://www.microad.jp/

ーー以下原文掲載ーー

  この度、弊社サービス”アドサーバーVASCO の一部バージョン“におきまして、
  第三者による悪意的な攻撃を受け、一部データが改ざんされました。
  これにより、当該期間に弊社サーバーより配信されたHTML を閲覧したユーザーの皆様が、
  悪意あるサイトにアクセスしてしまう事象が発生いたしました。
  このサイトではウィルスに感染する恐れがあったことが判明いたしました。
  該当のユーザの皆様には、ご迷惑をお掛けしましたことを深くお詫びいたしますと共に、
  ウィルススキャン/駆除の実施をお願い致します。
  尚、弊社サービス”MicroAd アドネットワーク“においては本件の影響はございませんでした。

  1. 期間
    弊社による調査の結果、 9 月24 日 21:30 頃~9 月24 日 23:30 頃
    弊社サイトから悪意あるサイトへ転送されることにより、今回の事象が発生して
    おりますので、詳細な時間については判明しておりません。
    弊社にて確認したところ、9 月24 日23:30 頃には悪意あるサイトへの転送は
    停止しておりました。

  2. 事象の詳細について
   ・弊社プログラムが改ざんされたことによりHTML 内のappend カラムに第三者の外部WEB へ
    アクセスする1x1 ピクセルのiframe タグが挿入されました。
   ・iframe タグ内に、URL 短縮サービスを利用して、悪意あるサイトへ誘導リンクが
    挿入されていました。
   ・当該誘導リンクは、9/24 23:30 には転送中止の措置が取られていました。(弊社確認)
   ・誘導リンクにより悪意あるサイトへアクセスした場合には、
    マルウェア「security tool」が設置してありました。
   ・このマルウェアは、ユーザが誤ってダウンロードすることによりインストールされてしまう
    可能性があるものでありました。
   ・弊社プログラムの改ざんを9 月25 日1:07 に修正し、対応を完了いたしました。

  3. 感染した可能性のあるお客様へのお願い事項
    お手数ですが、お手持ちのウィルス対策ソフトを最新の状態にして、
    ウィルススキャンの実施をお願い致します。
    お持ちでない場合は、各セキュリティ会社のホームページにあるオンラインスキャンを
    お試しください。
    弊社サービスをご利用いただいているお客様に大変ご迷惑をお掛けしましたことを
    重ねてお詫びいたします。

  ※追記(9/26 01:11)
    「security tool」がインストールされてしまった場合に、ブラウザが起動せず、
    オンラインスキャンが実行できない場合がございます。
    そのような場合に、以下URL のような情報が提供されておりますので、
    そちらをお試し頂きますよう、お願い申し上げます。
    http://sec.sourcenext.info/support/securitytool.html

  4. 本件における連絡先
    user-support@microad.jp までお問い合わせください。
    なお、弊社と致しましては第三者からの不正アクセスの被害を確認したとして、
    今後警察に被害届を提出し、対応を進めてります。
    
    敬具

========================================

この度は、『みんなの株式』をご利用いただいております皆様に大変なご迷惑とご心配をおかけいたしましたこと、深くお詫び申し上げます。

みんかぶ運営事務局

ネット証券比較

検索
お知らせ
みんかぶからのお知らせ
新着お知らせ