５月から多発しているＨＰ改ざんインシデントをまとめてみた。代理投稿１

５月から多発しているＨＰ改ざんインシデントをまとめてみた。
http://www.asyura2.com/09/it11/msg/816.html
投稿者代理投稿１日時 2013 年 8 月 11 日 00:30:41: IgficZuAves4c

(回答先: ＨＰ改ざん多発、狙われる企業＝閲覧者知らぬ間にウイルス感染投稿者代理投稿１日時 2013 年 8 月 11 日 00:05:11)

http://d.hatena.ne.jp/Kango/20130604/1370353242

概要

5月に入ってから複数の組織でホームページの改ざんが発生していると報じられています。この件に直接関連しているかは不明ですが、IPAや警察庁、トレンドマイクロもホームページの改ざんに関して注意喚起や情報を掲載しています。IPAは2008年に猛威を振るったGumblarによるものや2012年9月18日前後に多発したHP改ざんの規模に匹敵すると発表しています。ここでは5月以降発生している改ざんインシデントについてついてまとめます。

（PDF）外見上変化のないウェブサイト改ざん事案の多発について - @police(警察庁)
（PDF）ウェブサイト改ざん事案の多発に係る注意喚起について - @police(警察庁)
2013年6月の呼びかけ「ウェブサイトが改ざんされないように対策を！」- IPA
JPCERT/CC Alert 2013-06-07 Web サイト改ざんに関する注意喚起 - JPCERT/CC
日本を標的とするハクティビズム的 Web 改ざん攻撃を確認：今後の攻撃拡大に注意 - TrendMicro
日本のWebサイト改ざんを複数確認：PCは常に最新状態に！ | トレンドマイクロセキュリティブログ（ウイルス解析担当者による Trend Micro Security Blog）
国内Webサイト改ざん事例続報：攻撃手法の詳細と得られる対策の教訓 | トレンドマイクロセキュリティブログ（ウイルス解析担当者による Trend Micro Security Blog）

改ざんの概要イメージ

現時点で判明している情報、及びそこから推測される内容を踏まえて一連の流れを図にしました。(改ざんが行われるまでの流れは推測部分が多く含まれます。)

f:id:Kango:20130622121834p:image:w800

　
改ざんされる内容

複数の方の報告によればWebサーバー上に配置されている次の拡張子のファイルの全部、または一部に対して、第三者による改ざんが行われています。改ざん方法にはいくつかの種類があり、確認されているものの多くは共通して「0c0896」等の文字列が埋め込まれています。改ざんサイトを閲覧した際、悪性サイトへリダイレクトをさせ、そこでマルウェア(以下のese_adminさんのBlogによればFakeAV系)に感染させることを目的としているように見受けられるものの、wakatonoさんが分析されているように書き換えはできたものの埋め込みをしたJavaScriptが動作しない(いわゆる毒入れに失敗したかの)ようなケースもあるようです。*1

HTMLファイル(.html)
JSPファイル(.jsp)
PHPファイル(.php)
JavaScriptファイル(.js)
JSONファイル(.json)
テンプレートファイル(.tpl)
分散設定ファイル(.htaccess)

今回の改ざんについて調査・考察されている方の記事

あちこちで改ざん？ - wakatonoの戯れメモ
似非管理者の寂しい夜:JavaScriptの実行コードをねじ込むWebウィルス - livedoor Blog（ブログ）
相次ぐWeb改ざん被害遅れる対応-ばびぶべぼBlog

尚、JPCERT/CCは埋め込まれる固定文字列が16進数6桁であることから一連の改ざんを「コードネーム COLOR」と呼称して調査しているようです。

jpcert_ac

ここ最近の Web サイト改ざんですが、そのシグネチャである 6桁の 16進数からコードネーム: COLOR として我々は調査・分析を進めています。 ^HT

2013-06-10 12:44:26 via web

jpcert_ac

Color 改ざんですが、現在確認できているパターンは画像のとおりです。他にも情報があれば是非ともご報告ください。 ^HT URL

2013-06-14 09:54:37 via web

静的コンテンツへの改ざん

静的コンテンツへの改ざんは難読化されたJavaScript（数字の羅列の様な文字列）が埋め込まれます。トレンドマイクロによりJS_BLACOLE.SMTTとして検知される実体は埋め込まれたJavaScriptです。実際に実行されるのは次のようなコードです。変数名等、一部は改ざん先によって異なる場合があるようです。悪性サイトへリダイレクトする1pxのIFRAMEが埋め込まれることになります。

改ざんされた原因

現在進行形で起きているためか、改ざん原因について詳細を公表している組織はあまり多くありませんが、改ざん原因を発表している組織がいくつかあり、以下に抜粋します。

情報ネットワーク法学会

改ざんは、管理者アカウントを何らかの方法で入手してFTPあるいはSSHにより外部から実行されたものと判断しており
http://in-law.jp/

神奈川県保険医協会

本サイトの管理・運営委託会社のパソコンを経由して、サイト用サーバーに不正アクセスがあり、改ざんされるという被害を受けました
http://www.hoken-i.co.jp/outline/cat272/post_102.html

東京大学医学部付属病院

当院がホームページのコンテンツ管理（CMS）を委託している企業側のパソコンがコンピュータウイルスに感染した事が原因でした。
http://www.h.u-tokyo.ac.jp/oshirase/archives/20130604.html

また、IPAやJPCERT/CCの注意喚起によるとFTPやSSHアカウント情報を窃取するウィルスの存在に触れられています。

IPA

“パソコンのJavaのバージョンが古いままだったためにFTPアカウント情報を漏えいさせるウイルスに感染した”というウイルス感染のケース※もありました。
http://www.ipa.go.jp/security/txt/2013/06outline.html

JPCERT/CC

また、攻撃に使用されている一部のマルウエアには、FTP/SSH クライアントや Web ブラウザなどに保存されている過去に入力したアカウント情報などを窃取する機能を有しているものがあり、Web コンテンツ更新に使用されるアカウント情報がマルウエアにより窃取されている可能性があります。
http://www.jpcert.or.jp/at/2013/at130027.html

さらにこの件に関連していると思われる質問がYahoo知恵袋に投稿されています。この被害を受けた方はFTPサーバーを使っていたようです。

FTPサーバーのhtmlファイル等に勝手にjavascriptが記述されているんですがウイルスでしょうか。。。 - Yahoo!知恵袋

これらから、今回多発している改ざんは、Gumblarのようなマルウェア、あるいは情報を窃取するマルウェアを通じて管理用ID、パスワードが盗まれた*2ことが原因で改ざんされたのではないかと考えられます。他には「サーバーやソフトウェアの脆弱性が放置されていた」、「単純なID、パスワードを使っていた」、「そもそも認証等必要なく誰でも更新できる状況だった」も原因として考えられるでしょう。

　
改ざんを受けた場合の対策

改ざん被害を受けたサイトはID、パスワードの変更だけにとどまるのではなく、次の点に対応漏れがないか確認してください。

Webサイト管理用のアプリケーション（CMSや管理ソフト）が最新の状態かどうか
Webサイトのメンテナンスは管理端末のみに接続が制限されているか
管理端末でウィルス対策ソフトによるスキャンが行われているか
サーバー、管理端末のOS、ウィルス対策ソフト、ドキュメントソフト等がすべて最新の状態か

また今回の事例ではトップページではなく、その配下のWebページが改ざんされているケースも見受けられることから、改ざんされた事実に気づいていない可能性もあり、FTPログや管理するコンテンツに差分が発生していないかも確認したほうが良いでしょう。

あわせて読みたい
改ざんを受けた際の対策／改ざんされてないサイトの要確認内容 - wakatonoの戯れメモ

　
改ざんされていたことを報告したWebサイト一覧

5月以降、ホームページが改ざんされたことを公表しているサイトを以下に掲載します。全ての組織がこのように公表することはないと考えられるため、これらサイトも多発している改ざんの一部だと思われます。また以下のリストは「HPが改ざん」されたことを共通点としているだけであり、これら一連の改ざんが関連したものであるかは不明です。

以下一覧。割愛。１２５件も載っている。
　

　　拍手はせず、拍手一覧を見る

フォローアップ:

Apache狙いの攻撃横行、48カ国で2万超のWebサイトが感染か 代理投稿１ 2013/8/11 00:35:27 (2)
- 国内Webサイトで相次ぐ改ざん 代理投稿１ 2013/8/11 00:42:06 (1)
  - Re: 国内Webサイトで相次ぐ改ざん 代理投稿１ 2013/8/11 00:46:33 (0)

この記事を読んだ人はこんな記事も読んでいます（表示まで20秒程度時間がかかります。）
★登録無しでコメント可能。今すぐ反映　通常｜動画・ツイッター等｜htmltag可（熟練者向）
（タグCheck ｜タグに'だけを使っている場合のcheck ｜checkしない）（各説明）

（←ペンネーム新規登録ならチェック）
↓ペンネーム（2023/11/26から必須）

↓パスワード（ペンネームに必須）

（ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。）
↓画像認証

（上画像文字を入力）
ルール確認＆失敗対策
画像の URL (任意):
　削除対象コメントを見つけたら「管理人に報告する？」をクリックお願いします。２４時間程度で確認し違反が確認できたものは全て削除します。　最新投稿・コメント全文リスト

　次へ　前へ

▲上へ　　　　　 ★阿修羅♪ > ＩＴ11掲示板

★阿修羅♪　http://www.asyura2.com/ since 1995

スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。
すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。

▲上へ　　　　　 ★阿修羅♪ > ＩＴ11掲示板

　
▲上へ　　　　　　
★阿修羅♪ 　
この板投稿一覧　
　
　