「Web改ざん」カテゴリーアーカイブ

パンダくろしお運行スケジュールサイトの改ざんについてまとめてみた

2019年9月3日、JR西日本は不審なサイトへ誘導されるようWebサイトの改ざんが行われたとして被害を発表しました。

JR西日本の発表

f:id:piyokango:20190904063917p:plain
現在接続すると表示されるメンテナンスページ
www.westjr.co.jp

  • 改ざん被害を受けたのはパンダくろしお運行スケジュールwww.pandakuroshio.jpのWebサイト。
  • 臨時特急「パンダくろしお」の運行スケジュールを掲載するサイト。
  • 改ざん原因は調査中。
  • JR西日本のサイトなど他サイトでは被害は確認されていない。
日時 出来事
2019年9月1日16時頃 JR西日本社員が当該サイトの不審な挙動を発見。
2019年9月2日17時 当該サイトを閉鎖し、メンテナンス表示に切り替え。
2019年9月3日12時半頃 サイト管理会社へ調査を依頼し、レンタルサーバーでWebサイトが改ざんされた事実を確認。
同日 JR西日本が改ざん被害を発表。

確認された事象

  • 当該サイト接続時にアンケートの回答を求める不審なサイトへ誘導されるケースがあった。*1
  • アンケートの回答を進めるとクレジットカード情報の入力画面が表示された。*2
  • 当該サイトでは個人情報を保有していないが、不審なサイトのアンケートに回答をした場合に流出する恐れがあった。

更新履歴

  • 2019年9月4日 AM 新規作成

*1:JR西の運行ダイヤHPで不正改ざん…個人情報流出の恐れ,読売新聞,2019年9月4日

*2:piyokangoは改ざん痕跡を確認できなかったが、「ビジターアンケート」の類ではないかとみられる。rocketnews24.com

脆弱なAWS S3侵害によるユニクロオーストラリアの入力フォーム改ざんについてまとめてみた

Netcraftは、2019年5月13日頃にユニクロのオーストラリア向けオンラインショップが改ざんされ、画面上で入力する様々な情報が外部へ流出する可能性があったと報告しました。データの送信先や改ざんの手口から、RiskIQなども発表していたmagecartによる攻撃を受けたとみられます。
その後レポートは更新され、ファーストリテイリングより提供を受けた情報を元に、実際にはカード情報を含む顧客データが盗まれた可能性は低いと訂正されました。ここでは関連する情報をまとめます。

ユニクロオーストラリアの侵害

  • 2019年8月29日、Netcraftが調査レポートを公開した。

news.netcraft.com

  • Netcraftが事態を認知したのは2019年5月18日。
  • オンラインショップ利用者の情報が影響を受ける可能性があった。
  • 発表当初はカード情報が必ず窃取される報告だったが、その後その可能性は低いとして訂正されている。
  • 原因は入力フォームの情報を読み取ろうとする難読化されたスクリプトが挿入されていたため。
  • すべてのリソースに難読化されたコードを埋め込まれていたとされる。
  • 当該サイトはAWSのCloudfrontより配信されるファイルを読み込んでおり、S3 bucketsに格納されたデータが改ざんされたとみられる。
  • S3のACLの設定が誤っており、全てのユーザーがBuckets内のファイルを変更できた。
  • Netcraftの調査では他にguardianやhuffpostも影響を受けていたとみられる。ただし、スキミングコードはscriptタグに挿入されることを想定された実装であり、2つのサイトではiframeタグに挿入されたためコードが表示されたのみで動作はしなかった。
  • 同サイト上ではこの侵害に関する公式の報告は確認できず。(piyokango調べ)

Netcraftのレポートに事実誤認

  • 9月2日、5日にNetcraftのレポートが更新された。
  • ファーストリテイリングの調査に基づき、顧客情報が外部へ流出した可能性は低い(unlikely)と訂正された。

f:id:piyokango:20190906022529p:plain
Netcraftとファーストリテイリングの間で行われたやり取り

2社の調査内容、見解を整理すると以下の通り。

Netcraftが把握した事実 FRの調査・見解
購入フォームにスキミングコードが挿入、および実行された カード入力フォームはiframe内に存在し、スキミングコードの収集対象には含まれない
カード入力フォーム以外にカード番号を入力した場合*1、カード情報が外部へ流出する恐れ 過去数年の購入履歴を確認し、窃取のトリガーとなる他入力欄へのカード番号入力記録は確認されなかった

f:id:piyokango:20190906021825p:plain
カード入力フォームはiframe内に存在

改ざんの手口

f:id:piyokango:20190906023337p:plain
脆弱なS3侵害を通じたフォーム改ざんの流れ
Netcraft等の調査により、ユニクロオーストラリアの侵害は次の手口により行われたとみられる。

  1. 第三者が自由に変更できるAWS S3 bucketsを探査
  2. 手当たり次第にスキミングコードを含むスクリプトを追加
  3. 運よく入力フォームに影響を及ぼすスクリプトの挿入に成功
  4. 購入者が特定のフォーム上でカード番号を入力すると様々な情報が送信される恐れ

magecartによる手口

  • RiskIQが誤って設定されたAWS S3 Bucketsを介して大量のWebサイトが侵害されていると報告
  • 同社の調査では2019年4月初旬頃から少なくともこの手口による侵害が始まっていた。
  • 侵害対象数はドメイン数だけで見ると17,000件以上、Alexaランキング上位2000のサイトも含まれていた。
  • スキミングコードは大量の拡散には成功したものの、実際には支払いページで読み込まれる事例は多くなく、そのやり口からShotgun Approachと同社に表現されている。
  • VISAは2019年8月のレポートでこれらの事例を取り上げ、対策のベストプラクティスなども記載している。
  • magecartはカードスキミングを行う少なくとも7つのサイバー犯罪のグループ。今回の手口はGroup 7によるものとみられている。

日本国内の被害事例

同手口により改ざんされた(攻撃に失敗し、スキミングコードが露呈した)とみられる事例が報告されている。

IoC

不正なスクリプトの接続先の一覧としてNetcraft、RiskIQの記事に書かれていたものは以下の通り。

ww1-filecloud[.]com(2019年1月30日登録)
font-assets[.]com(2019年4月22日登録)
cdn-c[.]com(2019年5月13日登録)
cdn-imgcloud[.]com(2019年5月16日登録)
wix-cloud[.]com(2019年5月17日登録)
js-cloudhost[.]com (2019年5月17日登録)

更新履歴

*1:厳密にはカード番号に合致する正規表現に一致する場合

東濃鉄道 バス運行情報の虚偽投稿についてまとめてみた

東濃鉄道の運行情報ページが改ざんされ、虚偽の情報が掲示されていました。ここでは関連する情報をまとめます。

虚偽情報が掲示された運行情報

f:id:piyokango:20190510054003p:plain

  • 投稿されていたのは東農鉄道の路線・高速バス運行情報ページ。
  • ストライキによる運航停止として虚偽の情報が掲載されていた。
  • 2019年5月6日10時頃に利用者から問い合わせを受け1時間後投稿が削除。*1
  • 掲示用に用いられていたプログラムはKentWebのSunbbsとみられる。

f:id:piyokango:20190510055142p:plain

虚偽投稿内にJavaScript

  • 虚偽情報投稿にJavaScriptが仕込まれていたことを指摘する投稿がある。
  • ページを見た人が意図せず管理用ページにアクセスしてしまった可能性がある。
  • 他に別サイトへ連続アクセスする実装が行われていたとの情報がある。(piyokango未確認)
  • 以下仕込まれていたとみられるJavaScript(一部伏字)
var ckb = document;
createElement('iframe');
ckb.src = 'https' + '://www.tohtetsu.co.jp/cgi-bin/sunbbs.cgi?mode=form&pass=********';
ckb.style.position = 'absolute';
ckb.style.border = '0';
ckb.style.height = '1px';
ckb.style.width = '1px';
ckb.style.left = '1px';
ckb.style.top = '1px';
if (!document.getElementById('ckb')) {
  document.write('<div id=\'ckb\'></div>');
  document.getElementById('ckb').appendChild(ckb);
}

更新履歴

  • 2019年5月10日 AM 新規作成

TVerの改ざんについてまとめてみた

2019年4月29日、動画配信サービスのTVerはWebサイト、アプリから参照される画像などが改ざんされたと発表しました。ここでは関連する情報をまとめます。

公式リリース


tver.jp

被害の状況

f:id:piyokango:20190430010119p:plain
不正アクセスされたとみられるコンテンツ管理システム(アーカイブより、現在アクセス不可)

  • TVerのコンテンツ管理システムが外部から不正アクセスを受けた。
  • 何者かにより新規投稿や複数の番組画像の一部や番組説明、タイトルが改ざんされた。

f:id:piyokango:20190430011032p:plain

  • コンテンツが改ざんされた期間は2019年4月29日0時~3時半頃。
  • アップロードされていた画像には違法なものも含まれていたとみられる。
  • マルウェア感染などコンテンツ閲覧者への直接的な影響はない。
  • TVer上で行われていたアンケート情報の漏洩は確認されていない。

原因

f:id:piyokango:20190430095102p:plain

  • コンテンツ管理システムのアカウント情報(ID、パスワード)が外部から参照可能であったため。*1
  • データが参照可能となっていた経緯(サーバーの設定変更の詳細)は不明。

f:id:piyokango:20190430005511j:plain

  • パスワードは平文で保存されていた可能性がある。
  • 画像設置の行為は改ざんされる1日前から行われていた模様。

f:id:piyokango:20190430010015p:plain
f:id:piyokango:20190430095120j:plain

更新履歴

  • 2019年4月30日 AM 新規作成
  • 2019年4月30日 AM 画像を修正(補足書きなど追記)

WordPressプラグインを狙う攻撃が活発化している件をまとめてみた

「Yuzo Related Posts」など人気のWordPressプラグインを狙った攻撃活動が観測されているとしてセキュリティベンダが注意を呼び掛けており、また国内でも関連が疑われる被害報告が上がっています。ここでは関連する情報をまとめます。

3月以降脆弱性が確認されたプラグイン

2019年3月以降、脆弱性の悪用が報告されたプラグインは次のもの。

No 報告日 対象のプラグイン インストール数 バージョン 脆弱性
1 2019/03/15 Easy WP SMTP 40万件超 1.3.9以前 管理者への特権昇格
2 2019/03/21 Social Warfare 6万件超 3.5.2以前 XSS(格納型)、任意コードの実行
3 2019/03/30 Yuzo Related Posts 6万件超 5.12.91以前 XSS(格納型)
4 2019/04/09 Visual CSS Style Editor 3万件超 7.1.9以前 管理者への特権昇格
  • 全て脆弱性検証コード公開と攻撃活動観測あり。
  • 報告に上がっているのは詐欺サイトへの誘導。以下はセキュリティ企業が報告しているもの。
setforspecialdomain[.]com
somelandingpage[.]com
getmyfreetraffic[.]com
hellofromhony[.]org
pastebin.com/raw/0yJzqbYf
pastebin.com/raw/PcfntxEs
185.212.131.45
185.212.128.22
185.212.131.46
86.109.170.200
176.123.9.52
  • Defiantは脆弱性を悪用する活動は同一のグループによるものと推定。
  • Yuzo Related PostsとYellow PencilはWordpress.orgで4/16時点で非公開状態。
  • Wordpress.orgで非公開化されたものはセキュリティ上の問題が生じている可能性あり。

f:id:piyokango:20190417164643p:plain
公開停止中のYuzo Related Posts

国内での被害報告



  • Sucuriによれば、プラグインが利用されているかスキャン活動も観測されている模様。
  • プラグインに内包されるJavaScriptファイルなどを探査する。
  • 以下はYuzo Related Postsを対象としたもの。
https://[WordPress Site]/wp-content/plugins/yuzo-related-post/assets/js/admin.js

f:id:piyokango:20190417131609p:plain
JPドメインでも確認した例

以下はプラグイン別に概要をまとめたもの。

(1)Easy WP SMTP

脆弱性の概要
  • インポート、エクスポートの機能のアクセス制御に不備。
  • 細工したファイルをアップロードし、認証無しにWordPressの設定を変更できる。
  • 観測された攻撃は既定のロールを管理者にし、ユーザー登録機能を有効にするもの。

(2)Social Warface

脆弱性の概要
  • プラグイン呼び出しの際、読込先のファイル(JSON)のURLを指定できる。
  • 一部のパラメーターにエスケープ漏れがあり、XSSの脆弱性が存在する。
  • 観測された攻撃例ではPastebinが利用されていた。

(3)Yuzo Related Posts

脆弱性の概要
  • プラグインから呼び出される特定のパラメーターにエスケープ漏れが存在する。
  • 送信されたデータはデータベースから消さない限り、永続的に残るもの。
  • 脆弱性はyuzo-related-postが含まれるURL。
  • このプラグインは日本語記事でも紹介されている。
対策・復旧方法

wordpress.org
開発者が推奨する対策は以下の通り。

  • 一刻も早いプラグインの削除、アンインストール
  • wp_optionsテーブルにあるyuzo_related_post_optionsのレコード削除
  • wp_yuzoviewsはこの問題に影響しないため、削除しないように注意。
  • 改良バージョンは近々公開されると開発者は予告。
  • 開発者は他のプラグインへの影響はないと説明している。

f:id:piyokango:20190417131549p:plain

(4)Visual CSS Style Editor (Yellow Pencil)

脆弱性 検証コード
  • 特定のパラメーターが指定されると管理者特権でWordPressを操作できる。
  • これを利用してプラグイン呼び出しの際にWordPressの任意のオプションを指定が可能。
  • 任意のユーザー登録を可能とするオプションを有効化することができる。

(参考)一部プラグインは有効化時情報送信

脆弱性と別話題だがプラグイン有効化の際に情報を送信している行為が確認されたとの指摘がある。
technote.space

  • プラグインが改ざんされたのではなく、この元々備わっていたもの。
  • Yuzo Related Postsでは以下箇所で管理者メールアドレス、サーバーIPに関連する情報(緯度経度等)を送信していた。
$r = get_userdata(1);$n = $r->data->display_name;$e = get_option( 'admin_email' );echo "<script>jQuery.ajax({url: 'http://ilentheme.com/realactivate.php?em=$e&na=$n&la=".$IF_MyGEO->latitude."&lo=".$IF_MyGEO->longitude."&pais_code=".$IF_MyGEO->countryCode."&pais=".$IF_MyGEO->countryName."&region=".$IF_MyGEO->region."&ciudad=".$IF_MyGEO->city."&ip=".$IF_MyGEO->ip."&code=$code&type=$type',success: function (html) { null; } });</script>";

http://ilentheme.com/realactivate.php

  • また他関連表示プラグイン「WordPress Related Posts」でも情報送信を行っていると指摘している。

technote.space

(参考)脆弱性対応をめぐり衝突が起きていた

f:id:piyokango:20190417164236p:plain

更新履歴

  • 2019年4月17日 AM 新規作成

ラブライブ!公式サイトの改ざんについてまとめてみた

2019年4月5日早朝、ラブライブ!の公式サイトで改ざん被害が発生したと運営元アカウントが明らかにしました。ここでは関連する情報をまとめます。

公式のアナウンス

  • 安全性が確認されるまでは暫定的に設置したサイトを閲覧するよう案内。

www.sunrise-inc.co.jp

f:id:piyokango:20190406061542p:plain
発生直後に掲載されていた案内(現在は削除済)

サンライズ社サイト

www.sunrise-inc.co.jp

公式Twitter






公式サイトの状況

  • 2019年4月5日 2時頃から「ラブライブは我々が頂いた!」として次の画面が表示されていた。

f:id:piyokango:20190405060652p:plain

  • その後もページの一部箇所が変更。(直接確認できていないが他パターンもある模様)

f:id:piyokango:20190405091048p:plain
f:id:piyokango:20190405114213p:plain

  • 検索サイトからも次のように表示されていた。*1

f:id:piyokango:20190405060641p:plain

問題が生じた手口は調査中

f:id:piyokango:20190406060656p:plain

  • ラブライブ!のドメインが第三者にのっとられたために問題が発生した可能性がある。
  • ドメインのっとりについてサンライズは事実確認含め原因調査中。
  • 接続先が変更された第三者のページでは移管申請を行い保有者が承認しただけと説明。
  • サンライズはドメインロックなど安全対策は実施済みであったと取材に回答。*2

piyolog.hatenadiary.jp

表示されるページの状況

4/5 6時時点に確認

  • 音楽再生を行うタグが書かれていたがマルウェア感染など実脅威となる仕掛けは確認できず。

f:id:piyokango:20190405064003p:plain

  • GENERATORには「Namo WebEditor」の記述。

f:id:piyokango:20190405063946p:plain

  • METAタグを用いて60秒後に別サイト(艦隊これくしょん)のサイトへ遷移。

f:id:piyokango:20190405064055p:plain

  • FONTタグの一部文字が化けていた。

f:id:piyokango:20190405063938p:plain

4/5 12時時点に確認

  • IPアドレスが「157[.]112[.]187[.]13」から「157[.]112[.]186[.]245」へ変更。

4/5 15時半時点に確認

  • ドメイン情報が更新されサンライズ社に変更
  • 更新後に接続時にラブライブ!公式サイトのページが表示。

4/5 22時時点に確認

  • 安全性の確認の点検としてページが更新された。

f:id:piyokango:20190406062203p:plain

4/11 安全宣言後、元のドメインで再開

ドメイン情報の変化

f:id:piyokango:20190405060320p:plain

  • 履歴を確認するとIIJからXSEVERにIPアドレスが変更されていた。

f:id:piyokango:20190405060519p:plain
(更新日 2018年8月1日)
f:id:piyokango:20190405060548p:plain
(更新日 2019年4月5日)

  • 最終更新日は「2019/04/05 01:18:00 (JST)」となっている。
  • 同様にホストされているサンライズ社サイトは正常に表示される。
関与主張するSNSアカウントが存在
  • ドメイン情報に登録されたものと同じ名前のアカウントが存在。
  • 複数人から寄せられた質問へ答える形で行為の目的などを投稿。
  • 自身が管理しているとしてドメイン一覧の画像を投稿。

f:id:piyokango:20190406062630p:plain

  • 他複数のドメインでも同様のトラブルがあったとの報告があるが事実関係は確認されていない。*3
のっとり後に証明書が発行される
  • のっとられた後にlovelive-anime[.]jpドメインでTLS証明書の発行が行われた模様。



更新履歴

  • 2019年4月5日 AM 新規作成
  • 2019年4月5日 AM 続報反映
  • 2019年4月5日 AM 正規サイト表示となっていた箇所を削除
  • 2019年4月5日 PM 続報反映、改ざんと記載していた一部箇所を「のっとり」等に変更。
  • 2019年4月6日 AM 続報反映
  • 2019年4月13日 AM 続報反映

通販ページなどへ遷移するWebサイト改ざんについてまとめてみた

タイヤホイールや自転車などの通販ページに遷移させるWebサイトの改ざん事例が確認されています。ここでは関連する情報をまとめます。

確認した事象

piyokangoが確認した関連するとみられる被害は次のものです。
ただしこれらが同じ時期、同じ原因で行われたのかは確証を得ていません。

  • Webサイトが改ざんされ、通販ページなどへ遷移する。
  • 通販は自転車やタイヤホイール、カーテンなどを扱うもの。*1
  • 一部は偽警告ページが表示される場合がある。

公式発表では次の2件確認しています。

1.日本ノルディックフィットネス協会


www.facebook.com

検索すると次のキャッシュが残っていた。タイヤの通販(に見える)ページが表示されていた模様。
f:id:piyokango:20190303053203p:plain

f:id:piyokango:20190303053511p:plain

タイヤの名前で検索すると似たようなページが引っ掛かった。(1つ目は2月19日、2つ目は1月27日のキャッシュ)
f:id:piyokango:20190303053624p:plain

またJNFAの改ざん被害を受けたページ内にある「認知症予防のために~軽度認知障害(MCI)を早期発見する血液検査~」は次のページに含まれる文字列と一致したが、改ざんとの関連は不明。
mcbi.co.jp

キャッシュが残っていないため時期は不明だが、関係なさそうに見えるWebサイトも検索にかかった。(2件とも削除されている)
f:id:piyokango:20190303054147p:plain

f:id:piyokango:20190303054150p:plain

2.さっぽろ天神山アートスタジオ(札幌市)

www.city.sapporo.jp

「自転車買取.jp」と表示されたページへ遷移する2月28日のキャッシュが残っていた。
f:id:piyokango:20190303055153p:plain

同様に"自転車買取.jp"と埋め込まれたページが改ざんされたまま残っていた。
f:id:piyokango:20190303060558p:plain

アクセスしたところ次のJavaScriptのみが返された。

<script type='text/javascript'>setTimeout("window.location='http://<遷移するURL>/jump.aspx?jumpid=y3rate&f=<遷移先のページ>'",0000000000);</script>

確認した挙動は以下。

  • しばらく動かしているとYahoo!Japanのページに飛ばされるように挙動が変化した。(条件不明。。)
  • 検索サイトから飛んだ場合に別サイトへ飛ばされ、直接開くとそのサイトのページが表示される。

フィッシングサイトの設置も

  • 以下のURLにAmerican Expressのフィッシングサイトが設置されたとみられる痕跡が残っていた。(現在は既に削除されている)
https://tenjinyamastudio.jp/wordpress/wp-content/themes/amex/home2/home/


https://urlscan.io/screenshots/21dcf838-23d3-48e4-84f2-02219d45188b.png
urlscan.ioに残っていたスキャンログより)

更新履歴

  • 2019年3月3日 AM 新規作成
  • 2019年3月4日 AM さっぽろ天神山スタジオのフィッシングサイトについて追記