JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

  1. 最新情報を取得 (RSS | メーリングリスト
  2. HTTPS
  3. モバイル

Home > ラーニング > ライブラリ > 分析センターだより > 改ざんの標的となるCMS内のPHPファイル(2016-02-25)

最終更新: 2016-02-25

改ざんの標的となるCMS内のPHPファイル(2016-02-25)

改ざんの標的となるCMS内のPHPファイル

JPCERT/CCでは、コンテンツマネジメントシステム(以下「CMS」といいます。)で作成された国内Webサイトが類似した改ざんを受けた事例を継続的に確認しています。さらに海外でも同様の改ざん事例が確認されています[1],[2]。これらの事例では、CMSを構成している一部のPHPファイルが改ざんされ、その影響でWebサイトが生成するコンテンツの改ざんが生じていたことが分かっています[3]

今回は、複数の調査事例から得られた知見をもとに、標的となっていたCMSを構成するファイルの改ざんについて紹介します。

改ざんされていたファイル

JPCERT/CCで確認したところ、標的となっていたCMSはいずれも構成要素としてPHPファイルを含み、その一部が改ざんされていました。CMSの名称と、それぞれについて改ざんされていたPHPファイルを表 1に示します。

表 1: CMS名と改ざんされていたPHPファイル
CMS名 改ざんされていたPHPファイル
WordPress /wp-includes/nav-menu.php
/wp-admin/includes/nav-menu.php
Joomla! /includes/defines.php
/administrator/includes/defines.php
Drupal /includes/bootstrap.inc
MODX /manager/includes/protect.inc.php

調査の結果、これらのPHPファイルが改ざんされたことにより、Webサイトからのレスポンス内に不正なコードが、閲覧者のアクセス毎に動的に挿入されていたことが判明しました。

改ざんされたPHPファイルによって不正なコードが挿入される仕組み

改ざんされたPHPファイルには、「//istart」および「//iend」というコメントに挟まれた、図 1のような不正なPHPコードが挿入されていました(不正なPHPコードが難読化されている場合も確認しています)。

この不正なPHPコードは、外部から取得したコードを挿入する機能を持っており、特定のURLから不正なコードを受け取り、特定の位置に挿入します。

acreport-cms_01.png
図 1: 「//istart」および「//iend」に挟まれた不正なPHPコード
挿入される不正なコード

Webサイトに閲覧者がアクセスすると、改ざんされたPHPファイル中の不正なPHPコードは、図 2のようなdivタグおよびJavaScriptからなる不正なコードを外部から取得し、Webサイトが閲覧者に返すレスポンス内に挿入します。コードが挿入される位置はCMSによって異なり、WordPressではbodyタグの直後、Joomla!、Drupal、MODXでは、HTMLの冒頭部です。

acreport-cms_02.png
図 2: 挿入される不正なコードの例

不正なコードには難読化されたJavaScriptが含まれており、これが閲覧者のブラウザ上で実行されると、閲覧者を攻撃サイトに誘導するiframe等のタグが生成されます。閲覧者のWebブラウザやプラグイン等に脆弱性が存在した場合には、閲覧者のPCがランサムウエア等のマルウエアに感染してしまう可能性があります。

おわりに

不正なコードが動的に挿入される今回紹介したような事例では、改ざんされたコンテンツを閲覧者に提供していることをWebサイトの管理者が気づきにくいと考えられます。表 1のPHPファイルをはじめ、管理しているWebサイトのPHPファイル内に図 1のような不正なPHPコードが存在していないか、今一度ご確認をお願いします。
PHPファイルが改ざんされる経緯をJPCERT/CCではまだ特定できていませんが、CMSやCMSが利用しているプラグインの脆弱性が悪用されている可能性が考えられるため、CMSやプラグインを常に最新版にアップデートするようお勧めします。

今回紹介した事例だけでなく、国内のWebサイトが改ざんされ、攻撃サイトへの入り口にされる事例は継続的に確認しています。ソフトウエアのアップデートやパスワードの管理を適切に行い、あなたが管理するWebサイトが攻撃に加担しないように留意していただけたら幸いです。

船越 絢香

参考情報
[1] Sucuri Inc
  WordPress Malware Causes Psuedo-Darkleech Infection
  https://blog.sucuri.net/2015/03/pseudo-darkleech-server-root-infection.html

[2] DAVISEFORD.COM
  DarkLeech: Finally Under Control?
  http://daviseford.com/node/58

[3] JPCERT/CC
  JPCERT/CC インシデント報告対応レポート[2015年10月1日~2015年12月31日]
  https://www.jpcert.or.jp/pr/2016/IR_Report20160114.pdf


Topへ

CSIRTマテリアル

JPCERT/CCからのお知らせ

2016-02-25
分析センターだより「改ざんの標的となるCMS内のPHPファイル(2016-02-25)」を公開
2016-02-04
インターネット定点観測レポート(2015年 10~12月)を公開
2016-01-27
ソフトウエア等の脆弱性関連情報に関する届出状況/活動報告レポート2015年第4四半期(10月-12月)
2016-01-22
注意喚起「ネットワークに接続されたシステム・機器の設定には注意を」
お知らせ一覧 お知らせRSS
パスワードリスト攻撃による不正ログイン防止

イベント

・制御システムセキュリティカンファレンス2016終了

過去のイベント お知らせRSS

お薦めページ

・分析センターだより「改ざんの標的となるCMS内のPHPファイル(2016-02-25)」
・注意喚起「ネットワークに接続されたシステム・機器の設定には注意を」
・分析センターだより「帰ってきたバンキングトロイCitadel(2016-01-05)」
・分析センターだより「攻撃者が悪用するWindowsコマンド(2015-12-02)」
・高度サイバー攻撃への対処におけるログの活用と分析方法

講演・執筆活動

講演資料公開中
・「日本の組織をターゲットにした 攻撃キャンペーンの詳細 」
・「Active Directoryが危ない!標的型攻撃から守れ」
・「Android Secure Coding」
・「Recommendation of Perfect Unpacking」
・「Webアプリケーション開発におけるHTML5のセキュリティ」
JPCERT/CC職員の講演・執筆活動一覧をご覧いただけます。

過去の講演・執筆一覧
JPCERT/CCって何をやっているのですか?
Follow jpcert on Twitter
blog_banner_english
  1. ご利用にあたってのお願い
  2. プライバシーポリシー
Copyright © 1996-2016 JPCERT/CC All Rights Reserved.