■改ざんされていた可能性のある期間
2017年1月14日13時50分ごろから2017年1月15日16時ごろまで

■影響範囲
上記の期間にウェブサイトへアクセスしたと考えられるユーザー数（ユニークユーザー数）84 名に不正なページの表示がされましたが、当ウェブサイトにはマルウェアは置かれていると認められなかったことから、当ウェブサイト経由でのマルウェア感染は無かったものと考えられます。また、当ウェブサイトには個人情報や機密情報は一切含まれておらず、情報漏えいによる被害もございませんでした。

■現在までの主な対応内容
・ウェブサイトへのアクセスルートの遮断、DNS※2の書き換え
　ウェブサーバー自体がフィッシング対策協議会の管理下に無いため、外部からの流入を遮断するため、把握している範囲の URLリンクを削除、もしくは変更しました。
　また stopthinkconnect.jp のDNS情報を変更し、改ざんの発生したウェブサイトの名前解決が行なわれないようにしました。
・APWG 管理 CMS への不正アクセス状況の調査依頼
　改ざんのあったと考えられる時間帯における、ログや侵入手口についての調査を依頼しました。
・APWG 管理 CMS の登録パスワードの変更、強化
　日本語版 STOP.THINK.CONNECT.の編集権限を与えられていたメンバー全員（フィッシング対策協議会内）のCMSへのログインパスワードの変更、強化を実施しました。

【被害発生時点からの経緯】

2017/01/15 08:20 犯行声明を表示させるためのプログラムコードがPastebin※3ページが公開される。
2017/01/15 08:52 犯人と推定されるTwitterアカウントによる犯行声明
2017/01/15 13:40 ウェブサイト改ざんの発見者より通報
2017/01/15 16:42 改ざんウェブサイトのDNS情報の変更、当ウェブサイトへのURLリンクの解除を実施
2017/01/15 16:52 ウェブサーバー管理を行なうAPWGへCMSのログ確認を依頼
2017/01/15 17:46 DNS情報変更により、該当ドメインの名前解決ができない(ウェブサイトにアクセスできない)状態を確認
2017/01/15 19:15 協議会のウェブサイトへ報告を掲載
2017/01/15 19:20 協議会のTwitterアカウントで周知を実施
2017/01/15 21:38 協議会よりPastebin運営会社に対して該当 Pastebinページの削除依頼
2017/01/16 04:13 APWGにてCMSのパスワードリセットとコンテンツのリストアを実施
2017/01/16 10:34 日本側CMSのパスワードのポリシー変更とそれに基づいたパスワード再設定

■原因
今回の改ざん被害は、犯人が何らかの方法でサーバーに不正アクセス（侵入）し、不正なページを表示させるプログラムコード（スクリプト）をCMSに追加したことが原因となります。追加された不正なスクリプトは外部ウェブサイト（Pastebin）に用意されたプログラムコードを読み込み、犯行声明を表示していました。 不正なスクリプトを追加した方法については特定に至っておりません。

■現時点での対策
現在、改ざんを受けたウェブサイトの管理、更新を行なうCMSの利用を停止しております。またフィッシング対策協議会にて、システム管理から運用まで一貫したセキュリティ管理体制がとれるよう、ウェブサーバーの分離を進めております。準備が整い次第、ウェブサイトの再公開を行なう予定です。

■今後の予定
ウェブサイト改ざん、不正アクセスを防ぐための、システム構成、監視、運用体制について詳細を決定し、いち早く再公開が行なえるよう準備を進めております。
本件につきましては、ウェブサイトをご利用いただいている皆様へご迷惑及びご心配をお掛けいたしましたこと、重ねて深くお詫び申し上げます。

[注]
※1 ウェブサイトに表示するテキストや画像、レイアウト情報を一元的に保存・監視し、配信に必要な処理を行うシステム
※2 インターネットにおける住所に相当するIPアドレスと、それをわかりやすい名前にするドメインを紐付けるためのシステム
※3 テキストデータを保存し公開することのできる外部のウェブアプリケーションサービス