JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

  1. 最新情報を取得 (RSS | メーリングリスト
  2. HTTPS
  3. モバイル

Home > 情報提供 > 注意喚起 > 2016 > Web サイト改ざんに関する注意喚起

最終更新: 2016-11-14

Web サイト改ざんに関する注意喚起

各位

                                                   JPCERT-AT-2016-0047
                                                             JPCERT/CC
                                                            2016-11-14


                  <<< JPCERT/CC Alert 2016-11-14 >>>

                   Web サイト改ざんに関する注意喚起

            https://www.jpcert.or.jp/at/2016/at160047.html


I. 概要
  JPCERT/CC では、Web サイト改ざんに関する情報提供を受けています。
報告された情報によると、攻撃者は Web サーバに不正なファイルを設置する
ことで、アクセス回数や閲覧者など Web サイトの利用状況等についての調査
活動を行う目的で、国内の複数の Web サイトを改ざんしているとのことです。

  - 攻撃者は、Web サーバに不正なファイル index_old.php を設置し、Web
    サイトのトップページに不正なファイルを読み込ませる処理 (以下) を追
    加する
    <script type="text/javascript" src="./index_old.php"></script>

  - 利用者が Web サイトを閲覧すると、上記不正ファイルが実行され、閲覧者
    の IP アドレス、閲覧日時等がログとして記録される

  また、同調査活動は、Web サイトの利用状況等の調査のほか、水飲み場型攻
撃などサイバー攻撃の踏み台としての悪用可否を確認していると見られます。
  Web サイトの管理者は、「II. 対策」を参考に、管理している Web サイトの
コンテンツが改ざんされていないか確認するとともに、必要な対策を施すこと
を検討してください。


II. 対策
  以下の確認事項、対策をご検討ください。

  (確認事項)
  - Web サイトのトップページ等に、以下の様な不正なファイルの読み込み処
    理が書き込まれていないか確認する
       <script type="text/javascript" src="./index_old.php"></script>
  - Web サイトで公開しているコンテンツを確認し、不正なファイルが設置さ
    れていないか、コンテンツが改ざんされていないか確認する
  - Web サーバの FTP/SSH、Web アプリケーションのアクセス等のログを確認
    し、アクセス元 IP アドレス、アクセス日時、リクエスト URI などに不審
    な点がないか確認する

    ※不審な活動が確認された場合、Web サーバを保全の上、Web サイト更新
      に関連するアカウント、パスワードを変更し、警察または JPCERT/CC
      に相談する

  (対策)
  - Web サーバで使用している OS やソフトウエアのセキュリティアップデー
    トを実施する
  - TCP/20,21 (FTP) 、TCP/23 (telnet) を無効化し、SSH などのセキュアな
    プロトコルを用いて Web サイトのメンテナンスを実施する
  - Web サイトのコンテンツ更新を運用で使用する特定の PC (IP アドレス) 
    からのみ実施出来るように制限する
  - Web サイト更新用のアカウント (SSH/CMS 等) のパスワードを強固なもの
    に変更する
  - Web サイトのコンテンツのバックアップを取得し、差分確認を定期的に実
    施する


III. 参考情報
    @Police
    Web サイト改ざんに関する注意喚起について (PDF)
    https://www.npa.go.jp/cyberpolice/detect/pdf/20161114.pdf

    JPCERT/CC
    注意喚起「サイバー攻撃に備えてWebサイトの定期的な点検を」
    https://www.jpcert.or.jp/pr/2016/pr160004.html


IV. 本件に関するお問い合わせ先

JPCERT/CC インシデントレスポンスグループ
Tel: 03-3518-4600  Fax: 03-3518-2177
E-mail: info@jpcert.or.jp

JPCERT/CC 早期警戒グループ
Tel: 03-3518-4600  Fax: 03-3518-4602
E-mail: ww-info@jpcert.or.jp


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

CSIRTマテリアル

JPCERT/CCからのお知らせ

2016-11-10
制御システムセキュリティ自己評価ツール(J-CLICS)のダウンロードサービスを開始
2016-11-01
分析センターだより「既知のマルウエアをメモリイメージから簡易に検知できるツールを開発 ~impfuzzy for Volatility~(2016-11-01)」を公開
2016-10-31
創立20周年を越えて
2016-10-26
ソフトウェア等の脆弱性関連情報の取扱いに関する届出状況[2016年第3四半期(7月~9月)]
お知らせ一覧 お知らせRSS
STOP!!パスワード使い回し!!キャンペーン2016

イベント

現在、予定されているイベントはありません。

過去のイベント お知らせRSS

お薦めページ

・分析センターだより「既知のマルウエアをメモリイメージから簡易に検知できるツールを開発 ~impfuzzy for Volatility~(2016-11-01)」
・分析センターだより「ショートカットファイル内に残る攻撃者の開発環境の痕跡(2016-10-11)」
・分析センターだより「Windowsの新セキュリティ機能を検証する:LSAの保護モードとCredential Guard(2016-09-07)」
・分析センターだより「脆弱性を攻撃されたWebブラウザにおけるAppContainerの防御効果(2016-07-20)」
・分析センターだより「攻撃者の行動によって残る痕跡を調査(2016-06-28)」

講演・執筆活動

講演資料公開中
・「日本の組織をターゲットにした 攻撃キャンペーンの詳細 」
・「Active Directoryが危ない!標的型攻撃から守れ」
・「Android Secure Coding」
・「Recommendation of Perfect Unpacking」
・「Webアプリケーション開発におけるHTML5のセキュリティ」
JPCERT/CC職員の講演・執筆活動一覧をご覧いただけます。

過去の講演・執筆一覧
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english
  1. ご利用にあたってのお願い
  2. プライバシーポリシー
Copyright © 1996-2016 JPCERT/CC All Rights Reserved.