(cache) 5月から多発しているHP改ざんインシデントをまとめてみた。

概要

5月に入ってから複数の組織でホームページの改ざんが発生していると報じられています。この件に直接関連しているかは不明ですが、IPAや警察庁、トレンドマイクロもホームページの改ざんに関して注意喚起や情報を掲載しています。IPAは2008年に猛威を振るったGumblerによるものや2012年9月18日前後に多発したHP改ざんの規模に匹敵すると発表しています。ここでは5月以降発生している改ざんインシデントについてついてまとめます。

改ざんされたサイト

5月以降、ホームページが改ざんされたことを公表しているサイトを以下に掲載します。全ての組織がこのように公表することはないと考えられるため、これらサイトも多発している改ざんの一部だと思われます。また以下のリストは「HPが改ざん」されたことを共通点としているだけであり、これら一連の改ざんが関連したものであるかは不明です。

No	改ざんされたサイト	URL	改ざん期間*1	改ざん原因	改ざん内容	掲載文
1	アウンコンサルティング株式会社	www.auncon.co.jp	05/01～05/07	サーバーへの不正アクセス	ウィルスに感染する可能性 HEUR:Trojan.Script.Generic	*2
2	日本産業廃棄物処理振興センター	www.jwnet.or.jp/whatsnew/index.php www.jwnet.or.jp/oshirase/index.php www.jwnet.or.jp/workshop/index.php	掲載無(修正は05/17)	掲載無	ウィルスに感染する可能性 TROJ_FAKEAV亜種	*3
3	リコージャパン	プリントアウトファクトリー www.printout.jp	05/25 7時頃～05/31 22時半頃	掲載無	ウィルスに感染する可能性トロイの木馬型マルウェア	*4
4	神奈川県保険医協会	「いい医療.com」の一部	05/27 0:00～14:00	PC経由による不正アクセス	悪性サイトへ誘導される可能性	5 6
5	株式会社アーク	京のすっぴんさん www.suppinsan.com	05/28 15:17～05/29 14:00	掲載無	ウィルスに感染する可能性	*7
6	ワタナベランド	LAND et vous landetvous.com	掲載無(掲載日付は05/29)	掲載無	ウィルスに感染する可能性	*8
7	山梨県立塩山高等学校	塩山高校商業研究部 www.enzanh.kai.ed.jp/ENZAN business research club WEB/配下のページ塩山高校女子ソフトボール部 www.enzanh.kai.ed.jp/ENZAN softball club WEB/配下のページ	05/29～05/30	掲載無	ウィルスに感染する可能性	*9
8	日比谷アミューズメントプランニング	らんの里堂ヶ島 www.dogashima.com	05/30 14:16～18:22	掲載無	ウィルスに感染する可能性悪性サイトへ誘導される可能性	*10
9	ときめきドットコム	シンニチプレミアムストア njpw-p.jp	05/30 19時～06/03 14時	掲載無	ウィルスに感染する可能性 JS_BLACOLE.SMTT	*11
10	科学技術振興機構	crds.jst.go.jp/5th/ crds.jst.go.jp/about_sympo/ crds.jst.go.jp/access/ crds.jst.go.jp/GIES/ crds.jst.go.jp/daily/	05/25～05/27 10時頃 2013/06/01～2013/06/03 11時55分	掲載無	悪性サイトへ誘導される可能性	*12
11	情報ネットワーク法学会	in-law.jp配下のWebページ全て	05/29 19時～05/30 12時	FTPあるいはSSH	悪性サイトへ誘導	*13
12	エフエム群馬	fmgunma.com	06/01 5時～06/03 13時	外部から不正アクセス	ウィルスに感染する可能性	*14
13	仙台市農作物有害鳥獣対策協議会	www.inocc.jpの一部	06/01～06/03アクセス	掲載無	ウィルスに感染する可能性	*15
14	田原総一郎	www.taharasoichiro.comの一部	05/28～05/29 13時	掲載無	悪性サイトへ誘導	*16
15	北海道文教大学	www.do-bunkyodai.ac.jp	掲載無(06/02に判明)	掲載無	ウィルスに感染する可能性	*17
16	美浜町	www.town.mihama.aichi.jp	05/28 13:00～16:00	掲載無	ウィルスに感染する可能性	*18
17	ミツミ電機株式会社	www.mitsumi.co.jp	5/29 7:20～13:37	3回にわたり不正アクセス	ウィルスに感染する可能性	*19
18	姫路市まちづくり振興機構	himeji-machishin.jp	05/31 4:30～17:00	掲載無	ウィルスに感染する可能性	*20
19	赤髭亭	akahigetei.extrem.ne.jp	掲載無 (05/18に判明、その後6/2に復旧するも再度改ざん)	掲載無	ウィルスに感染する可能性 JS:IFrame-BLN[Trj] JS:IFrame-AHU[Trj]	21 22
20	有限会社APCブレーン	APCブレーン及び所属アーティスト含む関連ページ www.apc-brain.co.jp レディバード www.apc-brain.co.jp/ladybird	05/22 19:37～05:26 1:27	掲載無	ウィルスに感染する可能性 Trojan:JS/Rediredtor.MB	*23
21	世界人権問題研究センター	www.mmjp.or.jp/jinken	05/21～05/28午後	デンマークからの不正アクセス	ウィルスに感染する可能性	24 25
22	神戸市立桃山台児童館	www.eonet.ne.jp/~momoyamadai/	06/02～06/03	掲載無	ウィルスに感染する可能性	*26

この他福知山市HPでもアクセス不可の問題が発生していた模様。*27

その他下記サイトも今回の被害を受けていた可能性があります。(一部サイトはまだブラウザによる警告が表示されます。不用意にアクセスはしないでください。)*28

www.nifa.co.jp

www.nodapg.or.jp

www.heaven-luxu.jp

www.eiraitei.jp

teramoto-law.jp

www.jagra.or.jp

www.cleaningcoco.jp

toshei.jp

agc.bunka758.or.jp

arcwet.jp

www.dorf.co.jp

www.ostec.or.jp

www.chabai.jp

www.popcycle.co.jp

www.tohot.jp

www.videofes.jp

minikiti.wiki2.jp

www.ruri-diet.jp

tokyo.cafemix.jp

改ざんされる内容

wakatonoさんが今回の件についてどのような改ざんが行われているかを調べて下さっています。

あちこちで改ざん？ - wakatonoの戯れメモ

改ざんはJavaScriptが埋め込まれるパターンでいくつかの種類があるとのことですが、「0c0896」という文字列が埋め込まれることがあるようです。またJavaScriptが埋め込まれる対象もHTMLだけでなく、JSPファイルも改ざんされている模様。

改ざんされた原因

現在進行形で起きているためか、改ざん原因について詳細を公表している組織はほとんどありません。

原因を発表している組織としては情報ネットワーク法学会と神奈川県保険医協会、赤髭亭があります。

情報ネットワーク法学会

改ざんは、管理者アカウントを何らかの方法で入手してFTPあるいはSSHにより外部から実行されたものと判断しており
http://in-law.jp/

神奈川県保険医協会

本サイトの管理・運営委託会社のパソコンを経由して、サイト用サーバーに不正アクセスがあり、改ざんされるという被害を受けました
http://www.hoken-i.co.jp/outline/cat272/post_102.html

赤髭亭

先ほど赤髭亭をUPしているサーバーフォルダ内より観察のためHTMLファイルをダウンロードしソースを確認しようとした所、ウィルス駆除ソフトがDL対象のHTMLを

JS:IFrame-AHU[Trj]

であると判断し隔離駆除を行うという事態が発生いたしました。

よって、上記ウィルスが再UpしたHTMLに再度感染し何らかの改ざんを行った可能性を考え
http://sengoku.gflag.biz/?eid=1547350

また、IPAが行った6月の呼びかけには『“パソコンのJavaのバージョンが古いままだったためにFTP アカウント情報を漏えいさせるウイルスに感染した”というウイルス感染のケース※もありました。』ともありました。

さらにこの件に関連していると思われる質問がYahoo知恵袋に投稿されています。この被害を受けた方はFTP サーバーを使っていたようです。