Webサイト改ざん被害時に見つかる様々な拡張子の不正ファイルについて

WebRepairではすべてのファイル検査を実施しています。 PHPやjsだけでなく、画像ファイルやCSS、テキストファイルも含め、すべてです。 そして、これを明言している被害復旧サービスはWebRepairだけです。 […]

WebRepairではすべてのファイル検査を実施しています。

PHPやjsだけでなく、画像ファイルやCSS、テキストファイルも含め、すべてです。

そして、これを明言している被害復旧サービスはWebRepairだけです。

では具体的にどのような不正ファイルが見つかるのか、簡単にご紹介します。

画像ファイル(jpg)を偽装したもの

以下の画像は、ある画像ファイル(jpg)をテキストエディタで開いたスクリーンショットです。

拡張子もjpgですが、テキストエディタで開いてみると難読化されたコードが埋め込まれています。

これは今年(2022年)よく見かけるタイプのものです。

Flash動画ファイル(swf)を偽装したもの

こちらも2022年、今年見かけるものです。

あるswfファイル(flash)をテキストエディタで開くと、phpのコードが書かれているのが確認できます。

動画ファイル(mkv)を偽装したもの

動画ファイルのフォーマットとして、mkvというものがあります。

下の画像は、mkv拡張子になっているがphpのコードが書かれているパターンです。

これも2022年、今年のものです。

アイコンファイル(ico)を偽装したもの

これは最近減っていますが、一時期は本当に多くのケースで見かけました。

今は時々ですね。

テキストファイル(txt)形式

これはテキストファイル形式(txt拡張子)のファイルですが、phpのコードが書かれています。

このほかにも、CSSにPHPのコードを書いてあったり、Wordのdocファイルにコードがあったり、というケースもあります。

これを読み込んで実際のphpファイルを生成するなどの目的を持ったものもありますし、そのままコードを読みこんだりといった使い方も。

ファイルの内容も、不正なサイトへ遷移させるためのものだったり、バックドアそのものだったりと様々です。

なお、これらのファイルはすべて、セキュリティソフト(当社でテストしたのはESET)では反応しないものです。

すべてのファイルを検査することは重要です

一部のお客様、特に制作会社のお客様の中には、画像まで見る必要はないんじゃないか、という方が最近数社ありましたので事例を記事化しました。

なお、90年代後半から2000年代にかけてのネット黎明期には、隠しリンクを作ったりといった延長線で、画像の中にコードを埋めるという手法は割とポピュラーな手法でした。web改ざんではそうした手法もまだまだ使われており、WordPressが主流になってからエンジニアになった若い人や制作会社ではあまりこうした手法に馴染みがないのかもしれませんが、元来それほど珍しいものではありません。

よって、WebRepairでは必ず画像も含めすべてのファイルを検査しています。

 


カテゴリ:
タグ: