Hatena::ブログ(Diary)

piyolog RSSフィード

2013-06-04

5月から多発しているHP改ざんインシデントをまとめてみた。

| 22:40 | 5月から多発しているHP改ざんインシデントをまとめてみた。を含むブックマーク

概要

5月に入ってから複数の組織でホームページの改ざんが発生していると報じられています。この件に直接関連しているかは不明ですが、IPA警察庁トレンドマイクロホームページの改ざんに関して注意喚起や情報を掲載しています。IPAは2008年に猛威を振るったGumblerによるものや2012年9月18日前後に多発したHP改ざんの規模に匹敵すると発表しています。ここでは5月以降発生している改ざんインシデントについてついてまとめます。

改ざんされたサイト

5月以降、ホームページが改ざんされたことを公表しているサイトを以下に掲載します。全ての組織がこのように公表することはないと考えられるため、これらサイトも多発している改ざんの一部だと思われます。また以下のリストは「HPが改ざん」されたことを共通点としているだけであり、これら一連の改ざんが関連したものであるかは不明です。

No改ざんされたサイトURL改ざん期間*1改ざん原因改ざん内容掲載文
1アウンコンサルティング株式会社www.auncon.co.jp05/01〜05/07サーバーへの不正アクセスウィルスに感染する可能性
HEUR:Trojan.Script.Generic
*2
2日本産業廃棄物処理振興センターwww.jwnet.or.jp/whatsnew/index.php
www.jwnet.or.jp/oshirase/index.php
www.jwnet.or.jp/workshop/index.php
掲載無(修正は05/17)掲載無ウィルスに感染する可能性
TROJ_FAKEAV亜種
*3
3リコージャパンプリントアウトファクトリー
www.printout.jp
05/25 7時頃〜05/31 22時半頃掲載無ウィルスに感染する可能性
トロイの木馬マルウェア
*4
4神奈川県保険医協会「いい医療.com」の一部05/27 0:00〜14:00PC経由による不正アクセス悪性サイトへ誘導される可能性*5 *6
5株式会社アーク京のすっぴんさん
www.suppinsan.com
05/28 15:17〜05/29 14:00掲載無ウィルスに感染する可能性*7
6ワタナベ ランドLAND et vous
landetvous.com
掲載無(掲載日付は05/29)掲載無ウィルスに感染する可能性*8
7山梨県立塩山高等学校塩山高校商業研究部
www.enzanh.kai.ed.jp/ENZAN business research club WEB/配下のページ
塩山高校女子ソフトボール部
www.enzanh.kai.ed.jp/ENZAN softball club WEB/配下のページ
05/29〜05/30掲載無ウィルスに感染する可能性*9
8日比谷アミューズメントプランニングらんの里 堂ヶ島
www.dogashima.com
05/30 14:16〜18:22掲載無ウィルスに感染する可能性
悪性サイトへ誘導される可能性
*10
9ときめきドットコムシンニチプレミアムストア
njpw-p.jp
05/30 19時〜06/03 14時掲載無ウィルスに感染する可能性
JS_BLACOLE.SMTT
*11
10科学技術振興機構crds.jst.go.jp/5th/
crds.jst.go.jp/about_sympo/
crds.jst.go.jp/access/
crds.jst.go.jp/GIES/
crds.jst.go.jp/daily/
05/25〜05/27 10時頃
2013/06/01〜2013/06/03 11時55分
掲載無悪性サイトへ誘導される可能性*12
11情報ネットワーク法学会in-law.jp配下のWebページ全て05/29 19時〜05/30 12時FTPあるいはSSH悪性サイトへ誘導*13
12エフエム群馬fmgunma.com06/01 5時〜06/03 13時外部から不正アクセスウィルスに感染する可能性*14
13仙台市農作物有害鳥獣対策協議会www.inocc.jpの一部06/01〜06/03アクセス掲載無ウィルスに感染する可能性*15
14田原総一郎www.taharasoichiro.comの一部05/28〜05/29 13時掲載無悪性サイトへ誘導*16
15北海道文教大学www.do-bunkyodai.ac.jp掲載無(06/02に判明)掲載無ウィルスに感染する可能性*17
16美浜町www.town.mihama.aichi.jp05/28 13:00〜16:00掲載無ウィルスに感染する可能性*18
17ミツミ電機株式会社www.mitsumi.co.jp5/29 7:20〜13:373回にわたり不正アクセスウィルスに感染する可能性*19
18姫路市まちづくり振興機構himeji-machishin.jp05/31 4:30〜17:00掲載無ウィルスに感染する可能性*20
19赤髭亭akahigetei.extrem.ne.jp掲載無
(05/18に判明、その後6/2に復旧するも再度改ざん)
掲載無ウィルスに感染する可能性
JS:IFrame-BLN[Trj]
JS:IFrame-AHU[Trj]
*21 *22
20有限会社APCブレーンAPCブレーン及び所属アーティスト含む関連ページ
www.apc-brain.co.jp
レディバード
www.apc-brain.co.jp/ladybird
05/22 19:37〜05:26 1:27掲載無ウィルスに感染する可能性
Trojan:JS/Rediredtor.MB
*23
21世界人権問題研究センターwww.mmjp.or.jp/jinken05/21〜05/28午後デンマークからの不正アクセスウィルスに感染する可能性*24 *25
22神戸市立桃山台児童館www.eonet.ne.jp/~momoyamadai/06/02〜06/03掲載無ウィルスに感染する可能性*26
23東京大学医学部付属病院www.h.u-tokyo.ac.jp05/30 20:00〜05/31 2:30管理業者PC感染による改ざんウィルスに感染する可能性*27
24愛知県バドミントン協会www.badminton-aichi.comの一部05/30 17:13〜06/01 17:30掲載無ウィルスに感染する可能性*28
25有限会社ゆたぷろwww.yutapro.comの一部06/04 17:00〜06/05 11:45掲載無ウィルスに感染する可能性
JS_BLACOLE.SMTT
*29
26☆脱!カラオケコンプレックスwww.arcadia.gr.jp5月末〜06/04 AM掲載無ウィルスに感染する可能性
HEUR:Trojan.Script.Generic
*30
27日本馬術連盟www.equitation-japan.comの一部06/04 15:47〜17:25掲載無掲載無*31
28株式会社テレワークマネジメントwww.telework-management.co.jpの一部05/31未明〜11時頃掲載無ウィルスに感染する可能性
JS_BLACOLE.SMTT
*32
29横浜市www.kuraki-noh.jp05/30 10:00〜06/04 12:10掲載無ウィルスに感染する可能性
JS_BLACOLE.SMTT
*33

この他改ざんによるものかは不明ながら福知山市HPでも5月末にアクセス不可の問題が発生していた模様。*34

  • その他下記サイトも今回の被害を受けていた可能性があります。(一部サイトはまだブラウザによる警告が表示されます。不用意にアクセスはしないでください。)*35

01: 08.hanatoweb.jp

02: agc.bunka758.or.jp

03: arcwet.jp

04: asunaro-higashiosaka.jp

05: baseball.h01.jp

06: blog.willcare.jp

07: bellezza8.sakura.ne.jp

08: cdvnet.jp

09: finaledge.jp

10: fuchu.shogaigakushu.jp

11: jci763.or.jp

12: jqkk.jp

13: karilab.jp

14: miharagumi.jp

15: minikiti.wiki2.jp

16: mirai.sa-ba.jp

17: netrunner.sakura.ne.jp

18: nihongo-online.jp

19: soho.h01.jp

20: soulnote.jp

21: teramoto-law.jp

22: tokyo.cafemix.jp

23: toshei.jp

24: www.cdvnet.jp

25: www.chabai.jp

26: www.cleaningcoco.jp

27: www.coolspot-osaka.jp

28: www.dorf.co.jp

29: www.eiraitei.jp

30: www.fuzoku-watch.com

31: www.ginzado.ne.jp

32: www.hakkosya.co.jp

33: www.heaven-luxu.jp

34: www.hokudai.ac.jp

35: www.hosu-gogo.jp

36: www.ibiz.jp

37: www.jagra.or.jp

38: www.japanprimo.gr.jp

39: www.jicc.co.jp

40: www.k-amity.jp

41: www.ksbnet.co.jp

42: www.lcy.jp

43: www.maguchi.co.jp

44: www.naniwa-kenma.co.jp

45: www.nanbunoyu.jp

46: www.niccori-maccori.jp

47: www.nifa.co.jp

48: www.nodapg.or.jp

49: www.ostec.or.jp

50: www.plan-inc.jp

51: www.popcycle.co.jp

52: www.ruri-diet.jp

53: www.select.jp

54: www.shogakkan.jp

55: www.tohot.jp

56: www.videofes.jp

57: ベンツパーツ.jp

58: cattleya.sitemix.jp

59: www.technis.jp

 

改ざんされる内容

wakatonoさんが今回の件についてどのような改ざんが行われているかを調べて下さっています。

改ざんはJavaScriptが埋め込まれるパターンでいくつかの種類があるとのことですが、「0c0896」という文字列が埋め込まれることがあるようです。またJavaScriptが埋め込まれる対象もHTMLだけでなく、JSPファイルも改ざんされている模様。

以下の記事でも今回の改ざんについて、どのように行われているかを考察されています。

 

改ざんされた原因

現在進行形で起きているためか、改ざん原因について詳細を公表している組織はあまり多くありませんが、改ざん原因を発表している組織がいくつかあり、以下に抜粋します。

  • 情報ネットワーク法学会

改ざんは、管理者アカウントを何らかの方法で入手してFTPあるいはSSHにより外部から実行されたものと判断しており

http://in-law.jp/
  • 神奈川県保険医協会

本サイトの管理・運営委託会社のパソコンを経由して、サイト用サーバー不正アクセスがあり、改ざんされるという被害を受けました

http://www.hoken-i.co.jp/outline/cat272/post_102.html
  • 赤髭亭

先ほど赤髭亭をUPしているサーバーフォルダ内より観察のためHTMLファイルをダウンロードしソースを確認しようとした所、ウィルス駆除ソフトがDL対象のHTMLを

JS:IFrame-AHU[Trj]

であると判断し隔離駆除を行うという事態が発生いたしました。

よって、上記ウィルスが再UpしたHTMLに再度感染し何らかの改ざんを行った可能性を考え

http://sengoku.gflag.biz/?eid=1547350
  • 東京大学医学部付属病院

当院がホームページのコンテンツ管理(CMS)を委託している企業側のパソコンがコンピュータウイルス感染した事が原因でした。

http://www.h.u-tokyo.ac.jp/oshirase/archives/20130604.html

また、IPAが行った6月の呼びかけには『“パソコンのJavaのバージョンが古いままだったためにFTPアカウント情報を漏えいさせるウイルス感染した”というウイルス感染のケース※もありました。』ともありました。

さらにこの件に関連していると思われる質問がYahoo知恵袋に投稿されています。この被害を受けた方はFTPサーバーを使っていたようです。

これらから、今回多発している改ざんは、Gumblerのようなマルウェア、あるいは情報を窃取するマルウェアを通じて管理用ID、パスワードが盗まれた*36ことが原因で改ざんされたのではないかと考えられます。*37

 

改ざんを受けた場合の対策

改ざん被害を受けたサイトはID、パスワードの変更だけにとどまるのではなく、次の点に対応漏れがないか確認してください。

  • Webサイト管理用のアプリケーションCMSや管理ソフト)が最新の状態かどうか
  • Webサイトのメンテナンスは管理端末のみに接続が制限されているか
  • 管理端末でウィルス対策ソフトによるスキャンが行われているか
  • サーバー、管理端末のOS、ウィルス対策ソフト、ドキュメントソフト等がすべて最新の状態か

また今回の事例ではトップページではなく、その配下のWebページが改ざんされているケースも見受けられることから、改ざんされた事実に気づいていない可能性もあり、FTPログや管理するコンテンツに差分が発生していないかも確認したほうが良いでしょう。

 

関連

更新履歴

*1:表記は全て2013年発生

*2コンピュータウイルス感染の報告とお詫び,アウンコンサルティング,2013/06/04アクセス:魚拓

*3当センターホームページの改ざんに関するお詫び,日本産業廃棄物処理振興センター,2013/06/04アクセス:魚拓

*4「プリントアウトファクトリー」サイト改ざんに関するお知らせ,リコージャパン,2013/06/04アクセス:魚拓

*5神奈川県保険医協会ホームページ「いい医療.com」の改ざん発生について,神奈川県保険医協会,2013/06/04アクセス:魚拓

*6(重要)本ウェブサイトの復旧のお知らせとお願い,神奈川県保険医協会,2013/06/04/アクセス:魚拓

*7ホームページ改ざんに関するお知らせとお詫び,アーク,2013/06/04アクセス:魚拓

*8【Night on the Planet および LAND et vous より重要なお知らせ】,ワタナベランド,2013/06/04アクセス:魚拓

*9本校ウェブサイトへの不正アクセスについて,山崎県立塩山高等学校,2013/06/04アクセス:魚拓

*10らんの里堂ヶ島ホームページに関するお詫びとお知らせ,日比谷アミューズメントプランニング,2013/06/04アクセス:魚拓

*11シンニチプレミアムストアご利用のお客様へ改ざんに関するお詫びとお知らせ,ときめきドットコム,2013/06/04アクセス:魚拓

*12ホームページ改ざんに関するお知らせとお詫び,科学技術振興機構,2013/06/04アクセス:魚拓

*13ウェブサイト改ざんのご報告とお詫び,情報ネットワーク法学会,2013/06/04アクセス:魚拓

*14ホームページ不正改ざんについてのお詫び,エフエム群馬,2013/06/04アクセス:魚拓

*15仙台市農作物有害鳥獣対策協議会ホームページの一部が改ざんされました,仙台市,2013/06/04アクセス:魚拓

*16ホームページ改ざんに関するお知らせとお詫び,田原総一郎,2013/06/04アクセス:魚拓

*17本学「ホームページ」に関するお詫びとお知らせ,北海道文教大学,2013/06/04アクセス:魚拓

*18美浜町ホームページを閲覧された皆様へ、ホームページ改ざんに関するお詫び,美浜町,2013/06/04アクセス:魚拓

*19<重要なお知らせ>不正アクセスによる障害のお知らせとウィルスチェックのお願い,ミツミ電機,2013/06/04アクセス:魚拓

*20当機構ホームページの改ざんについて,姫路市まちづくり振興機構,2013/06/04アクセス:魚拓

*21【重要】赤髭亭HP復旧延期についてのお知らせ,赤髭亭,2013/06/04アクセス:魚拓

*22【重要】赤髭亭が表示されない件およびサーバー移転の御案内,赤髭亭,2013/06/04アクセス:魚拓

*23当社ホームページ及び関連ページの改ざんに関するお詫びとご報告,APCブレーン,2013/06/04アクセス

*24世界人権問題研究センターからのお知らせ,世界人権問題研究センター,2013/06/04アクセス:魚拓

*25HPがウイルス感染 世界人権問題研究センター 京都,MSN産経,2013/06/04アクセス:魚拓

*26神戸市立桃山台児童館のホームページを閲覧された方へ,神戸市,2013/06/05アクセス:魚拓

*27当院ホームページの不正な改変事案に関する注意喚起とお詫びとお願い,東京大学医学部付属病院,2013/06/05アクセス:魚拓

*28公式サイト改ざんに関するお詫びとご報告,愛知県バドミントン協会,2013/06/05アクセス:魚拓

*29弊社ホームページの改ざんに関するお詫び,ゆたぷろ,2013/06/05アクセス:魚拓

*30改ざん被害が発生しました…申し訳ございません。[カラオケスクールお知らせ],☆脱!カラオケコンプレックス,2013/06/04アクセス:魚拓

*31日本馬術連盟ホームページの改ざん被害と復旧のご報告,日本馬術連盟,2013/06/05アクセス:魚拓

*32弊社ホームページの改ざんに関するお詫び,テレワークマネジメント,2013/06/05アクセス:魚拓

*33久良岐 お詫び,シグマコミュニケーションズ,2013/06/05アクセス:魚拓

*34福知山市のホームページがダウン 5時前に復旧,両丹日日新聞,2013/06/04アクセス:魚拓

*35:今回の改ざんで埋め込まれるJavaScriptとして報告されている特定の文字列の一部(『0c0896』や『catch(d21vd12v)』『ps="split";asd=function』)がGoogleの検索履歴に表示されるキャッシュに残っていたサイト

*36:ただし相当数のサイトで改ざんされた時期が重なっており、人為的に行うのは相応の人数がいなければ難しいように思います。

*37:他には「ソフトウェア脆弱性が放置されていた」、「単純なID、パスワードを使っていた」、「そもそも誰でも更新できる状況だった」も原因として考えられるでしょう。

MASAKIMASAKI 2013/06/05 22:18 .htaccessに追記されているのも確認しました。
追記内容は以下の通りです。
#0c0896#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://転送先URL [R=301,L]
</IfModule>

#/0c0896#