関連記事
仮想通貨採掘スクリプト、英米政府機関含む4千以上のサイトに埋め込まれる
headless曰く、 英国や米国の政府機関を含む4千以上のWebサイトで、仮想通貨採掘スクリプトが埋め込まれる問題が11日に発生したそうだ(Texthelpのブログ、発見者Scott Helme氏のブログ、Register、The Guardianの記事1、記事2)。
原因は英Texthelpがサイバー攻撃を受け、Webページの読み上げ機能などを提供する「Browsealoud」のJavaScriptファイル(ba.js)が改変されたことだ。そのため、Browsealoudを使用するWebサイトが軒並み被害にあう結果となった。改変により追加されたコードはCoinhiveの仮想通貨採掘スクリプトを実行するものだったようだ。
TexthelpではBrowsealoudをオフラインにして問題を修正したが、日本時間13日21時までサービスは再開しないと述べている。なお、攻撃者が顧客データにアクセスした形跡はなく、Browsealoud以外の製品への影響もないとのこと。
ba.jsを使用していたドメインはPublicWWWで確認できる。Browsealoudは日本語の読み上げにも対応しているが、.jpドメインはリストに含まれていなかった。セキュリティリサーチャーで発見者のScott Helme氏はWeb管理者に対し、改変された外部スクリプトの読み込みを防ぐため、SRI(Subresource Integrity)の使用を推奨している。
スラドのコメントを読む | セキュリティセクション | 犯罪 | セキュリティ | インターネット | 暗号 | 政府 | お金
関連ストーリー:
DoubleClickの広告経由で仮想通貨採掘スクリプトが配信される 2018年01月27日
Opera 50、仮想通貨採掘スクリプトブロック機能を搭載へ 2017年12月26日
ブラウザーのポップアップウィンドウで仮想通貨採掘スクリプトを実行し、閉じられにくいようにする手法 2017年12月02日
裏でこっそりと仮想通貨のマイニングを行うスマホアプリ、Google Playで確認される 2017年11月03日
※この記事はスラドから提供を受けて配信しています。
スポンサードリンク
スポンサードリンク
- 英警察のサブドメイン、海賊版ストリーミングに悪用される 1/29 10:26
- Microsoft、重大なサイバーセキュリティインシデントを米証券取引委員会に報告 1/24 09:07
- 北京市司法局、AirDropによる違法文書配布者を特定可能に 1/17 16:04
- YouTube経由で広がるマルウェアが増加 1/16 17:11
- GoogleとBingが有名人の顔合成したポルノ動画へのアクセス容易にとの指摘 1/15 17:50