仮想通貨採掘スクリプト、英米政府機関含む4千以上のサイトに埋め込まれる

headless曰く、　英国や米国の政府機関を含む4千以上のWebサイトで、仮想通貨採掘スクリプトが埋め込まれる問題が11日に発生したそうだ（Texthelpのブログ、発見者Scott Helme氏のブログ、Register、The Guardianの記事1、記事2）。

　原因は英Texthelpがサイバー攻撃を受け、Webページの読み上げ機能などを提供する「Browsealoud」のJavaScriptファイル（ba.js）が改変されたことだ。そのため、Browsealoudを使用するWebサイトが軒並み被害にあう結果となった。改変により追加されたコードはCoinhiveの仮想通貨採掘スクリプトを実行するものだったようだ。

　TexthelpではBrowsealoudをオフラインにして問題を修正したが、日本時間13日21時までサービスは再開しないと述べている。なお、攻撃者が顧客データにアクセスした形跡はなく、Browsealoud以外の製品への影響もないとのこと。

　ba.jsを使用していたドメインはPublicWWWで確認できる。Browsealoudは日本語の読み上げにも対応しているが、.jpドメインはリストに含まれていなかった。セキュリティリサーチャーで発見者のScott Helme氏はWeb管理者に対し、改変された外部スクリプトの読み込みを防ぐため、SRI（Subresource Integrity）の使用を推奨している。

　スラドのコメントを読む | セキュリティセクション | 犯罪 | セキュリティ | インターネット | 暗号 | 政府 | お金

　関連ストーリー：
DoubleClickの広告経由で仮想通貨採掘スクリプトが配信される 2018年01月27日
Opera 50、仮想通貨採掘スクリプトブロック機能を搭載へ 2017年12月26日
ブラウザーのポップアップウィンドウで仮想通貨採掘スクリプトを実行し、閉じられにくいようにする手法 2017年12月02日
裏でこっそりと仮想通貨のマイニングを行うスマホアプリ、Google Playで確認される 2017年11月03日