2013年3月から継続している国内 Web サイトのページ改ざん事案について

2013年3月から国内 Web サイトのページ改ざん事案が継続して発生しています。 インシデント情報活用フレームワーク検討 WGでは、日本シーサート協議会に加盟しているチームに協力を得て、 継続して発生している国内 Web サイトのページ改ざん事案に関する公開情報を調査し、本レポートにまとめました。

  • 2013-12-30
    • ・全面改訂
  • 2013-06-14
    • ・新規

継続している国内Webページ改ざん事案

2013年3月以降、国内 Web サイトのページ改ざん事案が続いています。 国内の Web サイトのページ改ざんの報告件数を見ると、2009年に発生したガンブラー (Gumblar) 事案のときに比べても、多くの改ざんが発生していることがわかります。


図1. 国内の Web サイトのページ改ざんの報告件数 (出典:JPCERT/CC インシデント報告対応レポート)


2013年3月から継続している国内 Web サイトのページ改ざん事案の特徴を見てみましょう。

<改ざんされたコンテンツの特徴>
HTMLファイル、JavaScript(.js)ファイル、PHP(.php)ファイル、CSS(.css)ファイル など、Web サイト内のあらゆるファイルが改ざん対象になっています。

<改ざん事案サイトの特徴>
+ 任意の外部 IP アドレスからの FTP 接続が許可されているサイト(Gumblarとの共通点)・・・管理パソコンがマルウェアに感染し、アカウント情報を窃取されて侵害されたケース
+ クラウドサービスやレンタルサーバで運用されているサイト。特に、古いバージョンの CMS (Wordpress、Movable Type、Joomla!、Drupal など)や管理インタフェース/ツール(Parallels Plesk Panelなど)を使用しているサイト・・・脆弱性を悪用されて侵害されたケース

2009年に発生したガンブラー (Gumblar) 事案と本質的な部分に大きな違いはないのですが、 Web サイト内のあらゆるファイルが改ざん対象となり、 また、マルウェア感染サイト(悪意ある Web サイト)へのアクセスや誘導の条件もバリエーションが増えてきています。 Web サイトのページ改ざんにおいても、このような侵害活動の多様化により、防御側の検知やマルウェア感染サイト(悪意ある Web サイト)の確認がしにくい状況が増していると言えます。


また、国内 Web サイトのページ改ざん事案は、2013年3月、2013年6月 で、それぞれ異なる特徴を持っています。 ここでは、これら事案の違いを見ていきましょう。


図2. Web サイトのページ改ざん事案の推移 (出典:2013年08月22日 ISOG-J セミナー)

2013年3月事案

2013年3月上旬から、Apache HTTP サーバを対象として "Darkleech Apache Module" と呼ばれている不正なモジュールの蔵置に関するインシデントが国内で多数報告されました。

"Darkleech Apache Module" は、2012年9月頃から出回っている不正なモジュールで、特徴は次の通りです。
+ Apache HTTP サーバのモジュール (mod_*.so) としてインストールされる。
+ Apache HTTP サーバに HTTP アクセスが発生した際、その応答データに iframe タグなどをデータインジェクションする機能を持つ。

このデータのインジェクションによって改ざんされたページを閲覧すると、PC の状況によってはマルウェア感染サイトに誘導され、閲覧した PC のアップデート状況等によっては、PC が別のマルウェアに感染することになります (図3)。結果として PC 内の情報が盗まれる恐れがあります。


図3. 不正な Apache モジュールによるマルウェア感染サイト(悪意ある Web サイト)への誘導の流れ


2013年6月事案

難読化された JavaScript コード(誘導コード)の先頭に、 <!--0c0896-->, <!--81a338--> の文字列が埋め込まれているなど、 2009年に流布したガンブラー (Gumblar) ウイルスと類似の侵害活動が多数報告されました (図4)。 埋め込まれた文字列が、16進数6桁から構成されるカラーコードのようにみえることから、「カラーコード改ざん」とも呼ばれました。


図4. カラーコード改ざんで確認されている難読化された JavaScript コードの例

[参考]


対策

パソコン利用者

(1) ウィルス定義ファイルを最新にする。

感染するウイルスの変化も早く、最新のウィルス定義ファイルを用いても、ウイルスを検知・駆除できないことがありますので、 ウィルス定義ファイルの更新を自動更新とし、最新のウィルス定義ファイルを利用していることを確認しましょう。

(2) セキュリティ更新プログラムを適用する。

マイクロソフト Windows、マイクロソフト Office、利用しているブラウザのアップデート、 ブラウザから起動される各種アプリケーションのアップデートをおこなってください。 最新版やアップデートの状況については、下記URLから確認してください。

 Microsoft Windows

http://www.update.microsoft.com/microsoftupdate/

 Microsoft Office

http://www.update.microsoft.com/microsoftupdate/

 ブラウザ

Mozilla Firefox
http://mozilla.jp/firefox/
Google Chrome
http://www.google.co.jp/chrome/
Apple Safari
http://www.apple.com/jp/safari/download/
Microsoft Internet Explorer
http://www.microsoft.com/ja-jp/windows/products/winfamily/ie/function/default.aspx

 Adobe Acrobat Reader

http://get.adobe.com/jp/reader/

 Adobe Flash Player

http://get.adobe.com/jp/flashplayer/

 Adobe Shockwave

http://get.adobe.com/jp/shockwave/

 Java(JRE)

http://www.java.com/ja/download/windows_xpi.jsp?locale=ja

 QuickTime

http://www.apple.com/jp/quicktime/download/

ウェブサイト管理者

(1) Web サイトの脆弱性対策

Web サイトのサーバ上で稼働するプログラムを最新の状態に保ってください。 特に、Joomla!、WordPress などの CMS (コンテンツマネージメントシステム) を利用している場合には、プラグイン(拡張機能)も含めて最新にしてください。

(2) 改ざんの有無のチェック

自身が管理する Web サイトの利用者に、ウイルスを感染させる可能性があることを認識して、次の点から改ざんの有無をチェックしてください。

・Web サイト上の Web サーバプログラムの改ざん有無を確認 (3月事案)
3月事案のような場合、Webサイト上の HTMLファイルの改ざんは発生しません。 しかし、不正なモジュールの蔵置によって、ブラウザが受信する HTML ファイルはマルウェア感染サイトに誘導するページに改ざんされていることになります。 "Darkleech Apache モジュール" の場合、Apache HTTP サーバのモジュール (mod_*.so) としてインストールされますので、 Web サーバプログラムならびに、関連モジュールなどのプログラムの改ざん有無を確認してください。

・Web サイト上の全ページのソースを確認 (6月事案)
ソースを確認する代替方法として、改ざん検知、ファイルの履歴の管理、管理しているオリジナルファイルとサイト上のコンテンツの差分を確認するなどの方法があります。

・ftpサーバのアクセスログを確認

(3) 改ざんされた場合の対処

Web サイトのページが改ざんされた場合、被害の拡大を防ぐための早急な対応が求められます。 まずは、Web サイトを一旦公開停止した上で、原因究明および修正作業を実施してください。

[参考]


観測日記

2013年9月事案

9月22日の21時31分(UTC)頃から、"Darkleech Apache Module" モジュールに関連する活動が報告されました。

2013年9月の注意喚起

IPAから、Web サイトのページ改ざんに関する注意喚起が発行されました。

[ 関連記事 ]


2013年7月事案

[ 関連記事 ]

2013年7月の注意喚起

IPAから、Web サイトのページ改ざんに関する注意喚起が発行されました。

[ 関連記事 ]


改ざんメッセージ "Blocked by Day Limit" (2013年06月27日)

改ざんされた Web サイトで、"You are blocked by day limit" というエラーメッセージと思われる文言が表示される事象が報告され始めました。

2013年6月の注意喚起

IPA、JPCERT/CC から、Web サイトのページ改ざんに関する注意喚起が発行されました。

[ 関連記事 ]

2013年6月事案

難読化された JavaScript が埋め込まれる形態の Web サイトのページ改ざんに関するインシデントが報告され始めました。

[ 関連記事 ]


2013年5月の注意喚起

改ざんの状況や疑われる手口の類似性から、「CMS の脆弱性を悪用したものと疑われるファイル蔵置事案」「窃取した FTP アカウントによるアクセスであると疑われるファイル改ざん事案」の2つの形態があることがわかりました。

2013年5月事案

コンテンツを書き換える形態の Web サイトのページ改ざんに関するインシデントが報告され始めました。


脆弱性(2013年04月08日)

不正な Apache モジュールが蔵置され、Web サイト閲覧時に意図しない JavaScript が挿入される Web 改ざんが発生したサイトでは、 サポート期限切れのバージョンを含む旧バージョンの Parallels Plesk Panel が多く使われていることがわかりました。

[ 関連記事 ]


2013年3月事案

Apache HTTP サーバを対象として "Darkleech Apache Module" と呼ばれている不正なモジュールの蔵置に関するインシデントが報告され始めました。

[ 関連記事 ]


更新履歴

  • 2013-12-30
    • ・全面改訂
  • 2013-06-14
    • ・新規
Valid XHTML 1.0 Transitional 発行日:2013-06-14T09:43+09:00
更新日:2013-12-30T16:56+09:00