関連記事
仮想通貨採掘スクリプト、英米政府機関含む4千以上のサイトに埋め込まれる
headless曰く、 英国や米国の政府機関を含む4千以上のWebサイトで、仮想通貨採掘スクリプトが埋め込まれる問題が11日に発生したそうだ(Texthelpのブログ、発見者Scott Helme氏のブログ、Register、The Guardianの記事1、記事2)。
原因は英Texthelpがサイバー攻撃を受け、Webページの読み上げ機能などを提供する「Browsealoud」のJavaScriptファイル(ba.js)が改変されたことだ。そのため、Browsealoudを使用するWebサイトが軒並み被害にあう結果となった。改変により追加されたコードはCoinhiveの仮想通貨採掘スクリプトを実行するものだったようだ。
TexthelpではBrowsealoudをオフラインにして問題を修正したが、日本時間13日21時までサービスは再開しないと述べている。なお、攻撃者が顧客データにアクセスした形跡はなく、Browsealoud以外の製品への影響もないとのこと。
ba.jsを使用していたドメインはPublicWWWで確認できる。Browsealoudは日本語の読み上げにも対応しているが、.jpドメインはリストに含まれていなかった。セキュリティリサーチャーで発見者のScott Helme氏はWeb管理者に対し、改変された外部スクリプトの読み込みを防ぐため、SRI(Subresource Integrity)の使用を推奨している。
スラドのコメントを読む | セキュリティセクション | 犯罪 | セキュリティ | インターネット | 暗号 | 政府 | お金
関連ストーリー:
DoubleClickの広告経由で仮想通貨採掘スクリプトが配信される 2018年01月27日
Opera 50、仮想通貨採掘スクリプトブロック機能を搭載へ 2017年12月26日
ブラウザーのポップアップウィンドウで仮想通貨採掘スクリプトを実行し、閉じられにくいようにする手法 2017年12月02日
裏でこっそりと仮想通貨のマイニングを行うスマホアプリ、Google Playで確認される 2017年11月03日
※この記事はスラドから提供を受けて配信しています。
スポンサードリンク