piyolog

• GIGYAのSNSの拡散サービスで使用しているドメインが影響を受けた。(GigyaはCDN事業者ではない。)
• 国内外でサービスを提供している。ユーザー数は700以上。
• 国内では「Torchlight」が代理店(ライセンサー)としてサービスを提供している。
  • GIGYA：エンドユーザーとの関係強化のためのトータルソリューション・プラットフォーム
• 影響を受けた1つの毎日新聞では導入事例が紹介されている。

全世界の他700以上のユーザーに提供をしている模様。

導入ユーザーとして紹介されているもののうち、事象が報告されていない国内関係組織は次のものがある。

• 日本電気
• キヤノン
• 日本航空
  • JAL旅プラス http://www.jal.co.jp/tabi/
• パナソニック
• ホンダ
• CAPCOM

改ざんの詳細

• 日本時間11月28日 21時前にcdn.gigya.comのDNSサーバー情報が書き換えられた模様。
  • cdn.gigya.comはGIGYAのCDN用のドメイン。
  • 改ざんされていた際のDNS情報やcdn.gigya.comのIPアドレスについて情報持っている方教えてください。:)

• DNSサーバーが書き換えられた状態でcdn.gigya.comにアクセスした場合、参照先IPアドレスが変わり、以下のJavaScriptが別のものにすり替えられていた可能性。

cdn.gigya.com/JS/socialize.js

cdn.gigya.com/JS/gigyaGAIntegration.js

• 表示される画像は次のもの。
  • imgurは画像掲載サービスのWebサイトであり、SEAの管理するサイトではない。
    

• 以下のJavaScriptが呼ばれる。(報告事例)
  • Alertダイアログの表示とimgurへの遷移する。
  • 別パターンはpiyokangoは11月28日3時時点で確認していない。

alert("You've been hacked by the Syrian Electronic Army(SEA)");

windows.location="i.imgur.com/qD53RZY.png";

更新履歴

• 2014/11/28 AM 新規作成

ツイートする