2014年2月24日 2:00から12:00、16:00から16:20までの間、ヤマレコのサイトが改ざんされ、コンピューターウィルス(トロイの木馬)(JavaアプレットおよびFlashの実行ファイル)をダウンロードし実行する状況になっておりました。
セキュリティ対策が十分ではないパソコンでヤマレコにアクセスした場合、ウィルスに感染している可能性があります。
該当する時間帯にヤマレコにアクセスされた方は、ウィルスに感染していないか、ウィルス対策ソフトでスキャンをお願いいたします。
ウィルス対策ソフトをインストールされていない方は、オンラインのスキャンサービスなどを利用して、まずウィルスに感染していないかを確認してください。
(ご参考)トレンドマイクロ社のオンラインスキャンツール
http://safe.trendmicro.jp/products/onlinescan.aspx
(ご参考)McAfee社のオンラインスキャンツール
http://home.mcafee.com/downloads/free-virus-scan?culture=ja-jp&
感染済みとなった場合は、ウィルス駆除ができるソフトウェアをご利用いただくことになります。
多大なご迷惑をおかけし、申し訳ございません。
以下、現状の調査状況及び対策についてご説明させていただきます。
(2014.2.25 10:42現在)
■改ざんの経路・方法について
現在調査中の状況ですが、情報が不十分で、完全な特定は難しい可能性があります。
外部からのログインの形跡・削除した形跡が今のところ発見できておらず、
何らかのサーバーアプリケーションの脆弱性を利用して、外部から
ファイルが登録されたのではないかと考えております。
javascriptファイルの改ざんにより、ウィルスに感染したファイルに
アクセスするiframeタグを挿入されておりました。
また、ウィルスに感染したファイルもサーバー上に追加登録されておりました。
それ以外の個人情報の漏洩、データベースなどへの不正な操作については、現状は確認できておりません。
■登録されていたウィルスファイルについて
3種類のウィルスに感染したファイルがサーバー上に登録されておりました。
それぞれをウィルス解析サービスで解析した結果は下記となります。
・ファイル1
https://www.virustotal.com/ja/file/486f5f7419afcfdc275a54d95c7e5af7fe26f6bc34aa0913ddc962430c6fc477/analysis/
・ファイル2
https://www.virustotal.com/ja/file/b9c9dab0fd30418884800afebbaba4d99f4526ef0c9a47972a20ab20fed0a06d/analysis/
・ファイル3
https://www.virustotal.com/ja/file/01fa105e84aa410ab4c035a8a72b008f69727fd5bede5346e0b0a7b30dab765c/analysis/
(2014.2.25 11:31追記)----------------------------------------------
22日ごろより他サイトでも改ざんにより「CVE-2014-0322」というIE10の脆弱性をついたウィルスが配布されており、当サイトも同様のウィルスを登録されていた可能性があります。
http://blog.trendmicro.co.jp/archives/8632
http://www.security-next.com/046778
一部のユーザー様から提供いただいたウィルス検知ソフトの情報では 「Win32/Exploit.CVE-2014-0332.A トロイの木馬」とのご報告もいただいています。
------------------------------------------------------------------
■対策について
現時点で行った対策としては、以下となります。
・サービス維持に不可欠なものを除き、インターネット側からアクセス可能なL4ポートをすべて遮断
・SSHサーバーをファイルサーバーから分離し、インターネット側からファイルへの直接アクセスを不可能に
・サーバー上の各アプリケーションを最新の状態にアップデート
・サーバー上の各Linuxユーザーアカウントの認証情報の変更
・WAF(Web Application Firewall)の導入
なお、セキュリティを確保するため、対策に関する詳細はお答えすることができません。
今後は、定期的なアプリケーションのアップデートに加え、サービス提供に必須なフロントサーバー群を除き、インターネット側からは完全に遮断し、DMZを構築する方向で検討を進めて行きます。
(2014.2.26 23:07追記)----------------------------------------------
■不正プログラムの動作について
ウィルスの目的は、ゆうちょ銀行およびみずほ銀行のオンラインバンキングへのアクセス時にニセのログイン画面でパスワードを抜き取ることのようです。下記の記事のような画面が出た場合は、パスワードを入力しないようにご注意ください。
『IEの脆弱性を悪用して不正プログラムをインストールさせるためのコードが埋め込まれていた。不正プログラムは、日本のインターネットバンキング利用者を狙う不正プログラム「Infostealer.Bankeiya」で、ゆうちょ銀行とみずほ銀行のオンラインバンキングへのアクセスを監視し、アクセス時に偽のログイン画面を表示し、IDやパスワード、第2暗証番号などの情報を盗もうとするものだという。』
IE10へのゼロデイ攻撃が日本で拡大、改ざんサイト閲覧で不正プログラム感染 - INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20140226_637153.html
------------------------------------------------------------------
(2014.3.1 1:22追記)----------------------------------------------
申し訳ございません。コメント欄でご指摘いただいているように、2/28の22時から22時31分までの間にも同様の改ざんが発生いたしました。
ファイルにアクセス可能なサーバーにバックドアの通信プログラムを仕掛けられている可能性が否定できないため、対策としてファイルへの直接アクセス手段がないフロントサーバーを除くすべてのサーバーに対し、これまでに対策を行った外部からの入力トラフィックの遮断に加えて、外部への出力トラフィックも遮断いたしました。
バックドアのプログラムの有無を含め、原因の特定と今後の対策についてはセキュリティ調査会社にも依頼を行い、判明した時点で改めてご連絡をさせていただく予定です。
------------------------------------------------------------------
(2014.3.1 9:00追記)----------------------------------------------
昨晩の件ですが、ルーターのファイアウォール設定を再調査したところ、WAFを経由せずにアクセス可能な通信経路が残っていたため、そちらのトラフィックもすべて遮断をいたしました。
対策が不十分で再度ご迷惑をおかけし、申し訳ございません。
------------------------------------------------------------------
(2014.3.31追記)----------------------------------------------
攻撃を受けたあとに一時的に停止していた機能を含め、ヤマレコの機能をひと通り復旧いたしました。
また、今回の攻撃で侵入を受けた可能性があるサーバーについてもリプレースを行い、
今後の攻撃に対する対策も行った状態になっております。
引き続き攻撃に対する警戒を続け、監視とセキュリティの強化を継続していきます。
長期間にわたりご迷惑をおかけしました。
------------------------------------------------------------------
今後状況に変化があれば、本ページに追記を行っていきます。
今回の事態を厳粛に受け止め、今後はこのようなことが再発しないようセキュリティ
対策およびセキュリティ体制の強化を行ってまいります。申し訳ございませんでした。
お手数をおかけいたします、Serverのメンテの苦労は大変ですね。
Xoopsの脆弱性ではなさそうですね・・・・・
管理人さんご苦労様です。
私も真夜中から朝方にかけてヤマノートをアップしておりましたので心配しましたが、ノートンの完全スキャンをしてみて特に異常はありませんでした。
しかしながら、私はWindows8+IE11ですが、IMEが使えなくなる場面が何度もあり不思議な思いがしていましたが、関係ないですよね?いまは大丈夫です。
あとは、iPadでもアクセスしましたがウイルスソフトは入っていないので少し心配です。
中国人か嫌な日本人でしょうかね?どちらにしても悪意ある人間でしょうが、バレないと思っても絶対にバレるのが世の常なのでそんな輩は地獄に落ちてもらいましょう!
Internet Explorer(IE10/9)のゼロデイ脆弱性を狙った攻撃で日本国内のウェブサイトでも確認されたようですね
このコンピューターウィルスの情報は今日の「窓の杜」に詳しくのっていました、
http://internet.watch.impress.co.jp/docs/news/20140225_636782.html
コメントを編集
いいねした人