2013-06-04
5月から多発しているHP改ざんインシデントをまとめてみた。
インシデントまとめ | |
概要
5月に入ってから複数の組織でホームページの改ざんが発生していると報じられています。この件に直接関連しているかは不明ですが、IPAや警察庁、トレンドマイクロもホームページの改ざんに関して注意喚起や情報を掲載しています。IPAは2008年に猛威を振るったGumblerによるものや2012年9月18日前後に多発したHP改ざんの規模に匹敵すると発表しています。ここでは5月以降発生している改ざんインシデントについてついてまとめます。
- (PDF)ウェブサイト改ざん事案の多発に係る注意喚起について - @police(警察庁)
- 2013年6月の呼びかけ「 ウェブサイトが改ざんされないように対策を! 」- IPA
- 日本を標的とするハクティビズム的 Web 改ざん攻撃を確認:今後の攻撃拡大に注意 - TrendMicro
- 日本のWebサイト改ざんを複数確認:PCは常に最新状態に! | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
改ざんされたサイト
5月以降、ホームページが改ざんされたことを公表しているサイトを以下に掲載します。全ての組織がこのように公表することはないと考えられるため、これらサイトも多発している改ざんの一部だと思われます。また以下のリストは「HPが改ざん」されたことを共通点としているだけであり、これら一連の改ざんが関連したものであるかは不明です。
| No | 改ざんされたサイト | URL | 改ざん期間*1 | 改ざん原因 | 改ざん内容 | 掲載文 |
| 1 | アウンコンサルティング株式会社 | www.auncon.co.jp | 05/01〜05/07 | サーバーへの不正アクセス | ウィルスに感染する可能性 HEUR:Trojan.Script.Generic | *2 |
| 2 | 日本産業廃棄物処理振興センター | www.jwnet.or.jp/whatsnew/index.php www.jwnet.or.jp/oshirase/index.php www.jwnet.or.jp/workshop/index.php | 掲載無(修正は05/17) | 掲載無 | ウィルスに感染する可能性 TROJ_FAKEAV亜種 | *3 |
| 3 | リコージャパン | プリントアウトファクトリー www.printout.jp | 05/25 7時頃〜05/31 22時半頃 | 掲載無 | ウィルスに感染する可能性 トロイの木馬型マルウェア | *4 |
| 4 | 神奈川県保険医協会 | 「いい医療.com」の一部 | 05/27 0:00〜14:00 | PC経由による不正アクセス | 悪性サイトへ誘導される可能性 | *5 *6 |
| 5 | 株式会社アーク | 京のすっぴんさん www.suppinsan.com | 05/28 15:17〜05/29 14:00 | 掲載無 | ウィルスに感染する可能性 | *7 |
| 6 | ワタナベ ランド | LAND et vous landetvous.com | 掲載無(掲載日付は05/29) | 掲載無 | ウィルスに感染する可能性 | *8 |
| 7 | 山梨県立塩山高等学校 | 塩山高校商業研究部 www.enzanh.kai.ed.jp/ENZAN business research club WEB/配下のページ塩山高校女子ソフトボール部 www.enzanh.kai.ed.jp/ENZAN softball club WEB/配下のページ | 05/29〜05/30 | 掲載無 | ウィルスに感染する可能性 | *9 |
| 8 | 日比谷アミューズメントプランニング | らんの里 堂ヶ島 www.dogashima.com | 05/30 14:16〜18:22 | 掲載無 | ウィルスに感染する可能性 悪性サイトへ誘導される可能性 | *10 |
| 9 | ときめきドットコム | シンニチプレミアムストア njpw-p.jp | 05/30 19時〜06/03 14時 | 掲載無 | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *11 |
| 10 | 科学技術振興機構 | crds.jst.go.jp/5th/ crds.jst.go.jp/about_sympo/crds.jst.go.jp/access/crds.jst.go.jp/GIES/crds.jst.go.jp/daily/ | 05/25〜05/27 10時頃 2013/06/01〜2013/06/03 11時55分 | 掲載無 | 悪性サイトへ誘導される可能性 | *12 |
| 11 | 情報ネットワーク法学会 | in-law.jp配下のWebページ全て | 05/29 19時〜05/30 12時 | FTPあるいはSSH | 悪性サイトへ誘導 | *13 |
| 12 | エフエム群馬 | fmgunma.com | 06/01 5時〜06/03 13時 | 外部から不正アクセス | ウィルスに感染する可能性 | *14 |
| 13 | 仙台市農作物有害鳥獣対策協議会 | www.inocc.jpの一部 | 06/01〜06/03アクセス | 掲載無 | ウィルスに感染する可能性 | *15 |
| 14 | 田原総一郎 | www.taharasoichiro.comの一部 | 05/28〜05/29 13時 | 掲載無 | 悪性サイトへ誘導 | *16 |
| 15 | 北海道文教大学 | www.do-bunkyodai.ac.jp | 掲載無(06/02に判明) | 掲載無 | ウィルスに感染する可能性 | *17 |
| 16 | 美浜町 | www.town.mihama.aichi.jp | 05/28 13:00〜16:00 | 掲載無 | ウィルスに感染する可能性 | *18 |
| 17 | ミツミ電機株式会社 | www.mitsumi.co.jp | 5/29 7:20〜13:37 | 3回にわたり不正アクセス | ウィルスに感染する可能性 | *19 |
| 18 | 姫路市まちづくり振興機構 | himeji-machishin.jp | 05/31 4:30〜17:00 | 掲載無 | ウィルスに感染する可能性 | *20 |
| 19 | 赤髭亭 | akahigetei.extrem.ne.jp | 掲載無 (05/18に判明、その後6/2に復旧するも再度改ざん) | 掲載無 | ウィルスに感染する可能性 JS:IFrame-BLN[Trj] JS:IFrame-AHU[Trj] | *21 *22 |
| 20 | 有限会社APCブレーン | APCブレーン及び所属アーティスト含む関連ページ www.apc-brain.co.jp レディバード www.apc-brain.co.jp/ladybird | 05/22 19:37〜05:26 1:27 | 掲載無 | ウィルスに感染する可能性 Trojan:JS/Rediredtor.MB | *23 |
| 21 | 世界人権問題研究センター | www.mmjp.or.jp/jinken | 05/21〜05/28午後 | デンマークからの不正アクセス | ウィルスに感染する可能性 | *24 *25 |
| 22 | 神戸市立桃山台児童館 | www.eonet.ne.jp/~momoyamadai/ | 06/02〜06/03 | 掲載無 | ウィルスに感染する可能性 | *26 |
| 23 | 東京大学医学部付属病院 | www.h.u-tokyo.ac.jp | 05/30 20:00〜05/31 2:30 | 管理業者PC感染による改ざん | ウィルスに感染する可能性 | *27 |
| 24 | 愛知県バドミントン協会 | www.badminton-aichi.comの一部 | 05/30 17:13〜06/01 17:30 | 掲載無 | ウィルスに感染する可能性 | *28 |
| 25 | 有限会社ゆたぷろ | www.yutapro.comの一部 | 06/04 17:00〜06/05 11:45 | 掲載無 | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *29 |
| 26 | ☆脱!カラオケコンプレックス | www.arcadia.gr.jp | 5月末〜06/04 AM | 掲載無 | ウィルスに感染する可能性 HEUR:Trojan.Script.Generic | *30 |
| 27 | 日本馬術連盟 | www.equitation-japan.comの一部 | 06/04 15:47〜17:25 | 掲載無 | 掲載無 | *31 |
| 28 | 株式会社テレワークマネジメント | www.telework-management.co.jpの一部 | 05/31未明〜11時頃 | 掲載無 | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *32 |
| 29 | 横浜市 | www.kuraki-noh.jp | 05/30 10:00〜06/04 12:10 | 掲載無 | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *33 |
この他改ざんによるものかは不明ながら福知山市HPでも5月末にアクセス不可の問題が発生していた模様。*34
01: 08.hanatoweb.jp
02: agc.bunka758.or.jp
03: arcwet.jp
04: asunaro-higashiosaka.jp
05: baseball.h01.jp
06: blog.willcare.jp
07: bellezza8.sakura.ne.jp
08: cdvnet.jp
09: finaledge.jp
10: fuchu.shogaigakushu.jp
11: jci763.or.jp
12: jqkk.jp
13: karilab.jp
14: miharagumi.jp
15: minikiti.wiki2.jp
16: mirai.sa-ba.jp
17: netrunner.sakura.ne.jp
18: nihongo-online.jp
19: soho.h01.jp
20: soulnote.jp
21: teramoto-law.jp
22: tokyo.cafemix.jp
23: toshei.jp
24: www.cdvnet.jp
25: www.chabai.jp
26: www.cleaningcoco.jp
27: www.coolspot-osaka.jp
28: www.dorf.co.jp
29: www.eiraitei.jp
30: www.fuzoku-watch.com
31: www.ginzado.ne.jp
32: www.hakkosya.co.jp
33: www.heaven-luxu.jp
34: www.hokudai.ac.jp
35: www.hosu-gogo.jp
36: www.ibiz.jp
37: www.jagra.or.jp
38: www.japanprimo.gr.jp
39: www.jicc.co.jp
40: www.k-amity.jp
41: www.ksbnet.co.jp
42: www.lcy.jp
43: www.maguchi.co.jp
44: www.naniwa-kenma.co.jp
45: www.nanbunoyu.jp
46: www.niccori-maccori.jp
47: www.nifa.co.jp
48: www.nodapg.or.jp
49: www.ostec.or.jp
50: www.plan-inc.jp
51: www.popcycle.co.jp
52: www.ruri-diet.jp
53: www.select.jp
54: www.shogakkan.jp
55: www.tohot.jp
56: www.videofes.jp
57: ベンツパーツ.jp
58: cattleya.sitemix.jp
59: www.technis.jp
改ざんされる内容
wakatonoさんが今回の件についてどのような改ざんが行われているかを調べて下さっています。
改ざんはJavaScriptが埋め込まれるパターンでいくつかの種類があるとのことですが、「0c0896」という文字列が埋め込まれることがあるようです。またJavaScriptが埋め込まれる対象もHTMLだけでなく、JSPファイルも改ざんされている模様。
以下の記事でも今回の改ざんについて、どのように行われているかを考察されています。
改ざんされた原因
現在進行形で起きているためか、改ざん原因について詳細を公表している組織はあまり多くありませんが、改ざん原因を発表している組織がいくつかあり、以下に抜粋します。
- 情報ネットワーク法学会
改ざんは、管理者アカウントを何らかの方法で入手してFTPあるいはSSHにより外部から実行されたものと判断しており
http://in-law.jp/
- 神奈川県保険医協会
本サイトの管理・運営委託会社のパソコンを経由して、サイト用サーバーに不正アクセスがあり、改ざんされるという被害を受けました
http://www.hoken-i.co.jp/outline/cat272/post_102.html
- 赤髭亭
先ほど赤髭亭をUPしているサーバーフォルダ内より観察のためHTMLファイルをダウンロードしソースを確認しようとした所、ウィルス駆除ソフトがDL対象のHTMLを
JS:IFrame-AHU[Trj]
であると判断し隔離駆除を行うという事態が発生いたしました。
よって、上記ウィルスが再UpしたHTMLに再度感染し何らかの改ざんを行った可能性を考え
http://sengoku.gflag.biz/?eid=1547350
- 東京大学医学部付属病院
当院がホームページのコンテンツ管理(CMS)を委託している企業側のパソコンがコンピュータウイルスに感染した事が原因でした。
http://www.h.u-tokyo.ac.jp/oshirase/archives/20130604.html
また、IPAが行った6月の呼びかけには『“パソコンのJavaのバージョンが古いままだったためにFTPアカウント情報を漏えいさせるウイルスに感染した”というウイルス感染のケース※もありました。』ともありました。
さらにこの件に関連していると思われる質問がYahoo知恵袋に投稿されています。この被害を受けた方はFTPサーバーを使っていたようです。
これらから、今回多発している改ざんは、Gumblerのようなマルウェア、あるいは情報を窃取するマルウェアを通じて管理用ID、パスワードが盗まれた*36ことが原因で改ざんされたのではないかと考えられます。*37
改ざんを受けた場合の対策
改ざん被害を受けたサイトはID、パスワードの変更だけにとどまるのではなく、次の点に対応漏れがないか確認してください。
- Webサイト管理用のアプリケーション(CMSや管理ソフト)が最新の状態かどうか
- Webサイトのメンテナンスは管理端末のみに接続が制限されているか
- 管理端末でウィルス対策ソフトによるスキャンが行われているか
- サーバー、管理端末のOS、ウィルス対策ソフト、ドキュメントソフト等がすべて最新の状態か
また今回の事例ではトップページではなく、その配下のWebページが改ざんされているケースも見受けられることから、改ざんされた事実に気づいていない可能性もあり、FTPログや管理するコンテンツに差分が発生していないかも確認したほうが良いでしょう。
関連
- トレンドマイクロは「ハクティビズム」目的の改ざんを警告:国内Webサイトで相次ぐ改ざん - @IT
- 「ガンブラー」事件に匹敵するWeb改ざん報告、IPAが対策徹底を呼び掛け - ITmedia エンタープライズ
更新履歴
- 2013/06/04 PM 新規作成
- 2013/06/05 AM 北河さんから頂いた情報を反映
- 2013/06/05 AM @wakatonoさんのBlogを元に改ざんされていそうなサイトを列挙
- 2013/06/05 PM @yousukezanさんの情報等を元に最新情報を反映
- 2013/06/05 PM 最新情報を反映
- 2013/06/05 PM 最新情報を反映
*1:表記は全て2013年発生
*2:コンピュータウイルス感染の報告とお詫び,アウンコンサルティング,2013/06/04アクセス:魚拓
*3:当センターホームページの改ざんに関するお詫び,日本産業廃棄物処理振興センター,2013/06/04アクセス:魚拓
*4:「プリントアウトファクトリー」サイト改ざんに関するお知らせ,リコージャパン,2013/06/04アクセス:魚拓
*5:神奈川県保険医協会ホームページ「いい医療.com」の改ざん発生について,神奈川県保険医協会,2013/06/04アクセス:魚拓
*6:(重要)本ウェブサイトの復旧のお知らせとお願い,神奈川県保険医協会,2013/06/04/アクセス:魚拓
*7:ホームページ改ざんに関するお知らせとお詫び,アーク,2013/06/04アクセス:魚拓
*8:【Night on the Planet および LAND et vous より重要なお知らせ】,ワタナベランド,2013/06/04アクセス:魚拓
*9:本校ウェブサイトへの不正アクセスについて,山崎県立塩山高等学校,2013/06/04アクセス:魚拓
*10:らんの里堂ヶ島ホームページに関するお詫びとお知らせ,日比谷アミューズメントプランニング,2013/06/04アクセス:魚拓
*11:シンニチプレミアムストアご利用のお客様へ改ざんに関するお詫びとお知らせ,ときめきドットコム,2013/06/04アクセス:魚拓
*12:ホームページ改ざんに関するお知らせとお詫び,科学技術振興機構,2013/06/04アクセス:魚拓
*13:ウェブサイト改ざんのご報告とお詫び,情報ネットワーク法学会,2013/06/04アクセス:魚拓
*14:ホームページ不正改ざんについてのお詫び,エフエム群馬,2013/06/04アクセス:魚拓
*15:仙台市農作物有害鳥獣対策協議会ホームページの一部が改ざんされました,仙台市,2013/06/04アクセス:魚拓
*16:ホームページ改ざんに関するお知らせとお詫び,田原総一郎,2013/06/04アクセス:魚拓
*17:本学「ホームページ」に関するお詫びとお知らせ,北海道文教大学,2013/06/04アクセス:魚拓
*18:美浜町ホームページを閲覧された皆様へ、ホームページ改ざんに関するお詫び,美浜町,2013/06/04アクセス:魚拓
*19:<重要なお知らせ>不正アクセスによる障害のお知らせとウィルスチェックのお願い,ミツミ電機,2013/06/04アクセス:魚拓
*20:当機構ホームページの改ざんについて,姫路市まちづくり振興機構,2013/06/04アクセス:魚拓
*21:【重要】赤髭亭HP復旧延期についてのお知らせ,赤髭亭,2013/06/04アクセス:魚拓
*22:【重要】赤髭亭が表示されない件およびサーバー移転の御案内,赤髭亭,2013/06/04アクセス:魚拓
*23:当社ホームページ及び関連ページの改ざんに関するお詫びとご報告,APCブレーン,2013/06/04アクセス
*24:世界人権問題研究センターからのお知らせ,世界人権問題研究センター,2013/06/04アクセス:魚拓
*25:HPがウイルス感染 世界人権問題研究センター 京都,MSN産経,2013/06/04アクセス:魚拓
*26:神戸市立桃山台児童館のホームページを閲覧された方へ,神戸市,2013/06/05アクセス:魚拓
*27:当院ホームページの不正な改変事案に関する注意喚起とお詫びとお願い,東京大学医学部付属病院,2013/06/05アクセス:魚拓
*28:公式サイト改ざんに関するお詫びとご報告,愛知県バドミントン協会,2013/06/05アクセス:魚拓
*29:弊社ホームページの改ざんに関するお詫び,ゆたぷろ,2013/06/05アクセス:魚拓
*30:改ざん被害が発生しました…申し訳ございません。[カラオケスクールお知らせ],☆脱!カラオケコンプレックス,2013/06/04アクセス:魚拓
*31:日本馬術連盟ホームページの改ざん被害と復旧のご報告,日本馬術連盟,2013/06/05アクセス:魚拓
*32:弊社ホームページの改ざんに関するお詫び,テレワークマネジメント,2013/06/05アクセス:魚拓
*33:久良岐 お詫び,シグマコミュニケーションズ,2013/06/05アクセス:魚拓
*34:福知山市のホームページがダウン 5時前に復旧,両丹日日新聞,2013/06/04アクセス:魚拓
*35:今回の改ざんで埋め込まれるJavaScriptとして報告されている特定の文字列の一部(『0c0896』や『catch(d21vd12v)』『ps="split";asd=function』)がGoogleの検索履歴に表示されるキャッシュに残っていたサイト
*36:ただし相当数のサイトで改ざんされた時期が重なっており、人為的に行うのは相応の人数がいなければ難しいように思います。
*37:他には「ソフトウェアの脆弱性が放置されていた」、「単純なID、パスワードを使っていた」、「そもそも誰でも更新できる状況だった」も原因として考えられるでしょう。
- Twitter / @matcha445
- wakatonoの戯れメモ - あちこちで改ざん?
- Twitter / @Keisuke1234567
- Twitter / @hack_japan
- Twitter / @sotaromi8
- Twitter / @msaitotypeR
- Twitter / @RC31E
- Twitter / @kat21
- Twitter / @maplefish
- Twitter / @maida01
- Twitter / @tspeedstar
- まっちゃだいふくの日記★とれんどふりーく★ - 日本のWebサイト改...
- Twitter / @YoshihideMayumi
- Twitter / @ham68616d
- Twitter / @hirogoro62
- Twitter / @girigiribauer
- Twitter / @ys_masa
- Twitter / @takasi_sns
- Twitter / @Jitensha_sougyo
- Twitter / @sigh_too
- Twitter / @hannin_yasu
- Twitter / @merio_h
追記内容は以下の通りです。
#0c0896#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://転送先URL [R=301,L]
</IfModule>
#/0c0896#