IPA テクニカルウォッチ 2012 年 の 不 正 アクセス 届 出 から 読 み 解 く ウェブ 改 ざん 被 害 の 事 例 傾 向 と 対 策 ~ 単 なるペー ージの 書 き 換 えだけでなく 閲 覧 者 の ウイルス 感 染 を 狙 う 手 口 もあります~ 1
2012 年 の 不 正 アクセス 届 出 から 読 み 解 く ウェブ 改 ざん 被 害 の 事 例 傾 向 と 対 策 ~ 単 なるページの 書 き 換 えだけでなく 閲 覧 者 のウイルス 感 染 を 狙 う 手 口 もあります~ 目 次 1. はじめに... 3 2. ウェブ 改 ざんの 件 数 推 移 と 傾 向... 4 2.1. 最 近 4 年 間 におけるウェブ 改 ざん 届 出 件 数... 4 2.2. 最 近 のウェブ 改 ざんの 傾 向... 5 2.2.1. 被 害 内 容 による 分 類... 5 2.2.2. 原 因 による 分 類... 7 2.2.3. サーバー 運 用 形 態 による 分 類... 8 3. ウェブ 改 ざん 事 例 とその 対 策... 10 3.1. 脆 弱 性 を 悪 用 された 事 例... 10 3.1.1. Parallels Plesk Panel... 10 3.1.2. Joomla!... 11 3.1.3. Apache Struts 2... 12 3.1.4. CGI 版 PHP... 13 3.1.5. 脆 弱 性 を 悪 用 する 攻 撃 に 対 する 共 通 の 対 策... 13 3.2. その 他 個 別 の 被 害 事 例... 14 3.2.1. 個 人 パソコンのウイルス 感 染 によるパスワードの 流 出... 14 3.2.2..htaccess ファイルの 改 ざん... 15 3.2.3. ブルートフォース 攻 撃 による 管 理 者 アカウントの 窃 取... 16 3.3. 人 的 要 因 で 対 策 が 疎 かになった 事 例... 17 3.3.1. 落 とし 穴 (1) ~ファイアウォール 設 置 で 油 断 ~... 17 3.3.2. 落 とし 穴 (2) ~URL を 外 部 に 公 表 していなかったために 油 断 ~... 17 3.3.3. 落 とし 穴 (3) ~ 被 害 後 に 対 策 しなかったために 再 発 ~... 18 3.3.4. 落 とし 穴 (4) ~ホスティング 業 者 にすべて 一 任 ~... 18 3.3.5. 落 とし 穴 (5) ~ 納 入 業 者 が 削 除 し 忘 れた 管 理 ツールの 悪 用 ~... 18 3.4. ウイルス 配 布 サイト に 仕 立 て 上 げられた 事 例... 19 3.4.1. 難 読 化 が 施 された JavaScript コードが 追 加 された 事 例... 19 3.4.2. 改 ざんが 目 立 たないようにコードが 追 加 された 事 例... 21 3.4.3. 偽 セキュリティソフト 型 ウイルス へ 感 染 させる 攻 撃 が 確 認 された 事 例 22 4. 届 出 のお 願 い... 25 5. まとめ... 26 2
2012 年 の 不 正 アクセス 届 出 から 読 み 解 く ウェブ 改 ざん 被 害 の 事 例 傾 向 と 対 策 ~ 単 なるページの 書 き 換 えだけでなく 閲 覧 者 のウイルス 感 染 を 狙 う 手 口 もあります~ 2013 年 2 月 13 日 IPA( 独 立 行 政 法 人 情 報 処 理 推 進 機 構 ) 技 術 本 部 セキュリティセンター 1. はじめに 2000 年 1 月 ある 省 庁 のウェブサイトが 改 ざんされる 事 件 が 発 生 した それ 以 前 にも 民 間 企 業 や 教 育 機 関 においてウェブ 改 ざん 被 害 が 発 生 していたが 中 央 省 庁 のウェブサイト までもが 改 ざんされたことは 衝 撃 的 であった 当 時 のウェブ 改 ざんは 自 己 顕 示 欲 を 満 たすためにサイトの 見 た 目 を 書 き 換 えるような 愉 快 犯 が 大 部 分 を 占 めていたが 近 年 ではドライブ バイ ダウンロード 攻 撃 1によるウイ ルス 感 染 や フィッシングサイトへの 誘 導 など その 手 口 と 目 的 は 多 様 化 している 特 に 民 間 企 業 のウェブサイトが 改 ざん 被 害 を 受 けると 信 用 失 墜 や 機 会 損 失 による 金 銭 的 被 害 という 実 被 害 が 企 業 において 発 生 する 一 方 一 般 利 用 者 においても 日 々のインタ ーネットの 利 用 特 にウェブ 閲 覧 が 当 たり 前 となっているため 改 ざん 後 は 一 般 利 用 者 が サービスを 享 受 できなくなるだけでなく 場 合 によっては 利 用 パソコンがウイルスに 感 染 してしまうなど ウェブ 改 ざんの 影 響 が 広 範 囲 に 及 ぶようになった IPA では 経 済 産 業 省 の コンピュータ 不 正 アクセス 対 策 基 準 2 に 基 づき 不 正 アクセス の 届 出 を 受 け 付 けているが 本 レポートは 2012 年 の 1 年 間 に 届 け 出 られた 不 正 アクセス のうち ウェブ 改 ざんの 事 例 を 分 析 したものである 3 おもにウェブサイト 管 理 者 向 けに ウェブ 改 ざんにおける 最 近 の 傾 向 と 攻 撃 実 例 を 示 すとともに その 実 態 と 対 策 を 説 明 する 人 的 要 因 として ウェブサイト 管 理 者 に 思 い 込 みや 誤 解 があったために 対 策 が 疎 かとな っていたケースも 散 見 された 技 術 的 側 面 以 外 の 観 点 からも 読 者 の 気 付 きの 契 機 となる ことを 期 待 し 本 レポートで 事 例 と 対 策 を 紹 介 している 2012 年 の 1 年 間 も 多 くのウェブ 改 ざんが 発 生 したが 被 害 を 受 けていない 管 理 者 におい てもそれらを 対 岸 の 火 事 とするのではなく 他 山 の 石 として ウェブサイト 管 理 に おける 教 訓 の 一 つとしていただきたい 本 レポートの 活 用 によって ウェブ 改 ざんに 対 する 適 切 な 対 応 がなされ 被 害 の 減 少 に 繋 がることを 期 待 する 1 ドライブ バイ ダウンロード 攻 撃 :ウェブサイトを 閲 覧 した 際 に パソコン 利 用 者 の 意 図 に 関 わらず 利 用 者 のパソコンにウイルスをダウンロードさせて 感 染 させる 攻 撃 2 ( 参 考 ) 経 済 産 業 省 - コンピュータ 不 正 アクセス 対 策 基 準 http://www.meti.go.jp/policy/netsecurity/uaaccesscmg.htm 3 2012 年 における 不 正 アクセス 届 出 全 体 の 件 数 は 121 件 そのうち ウェブ 改 ざん の 件 数 は 38 件 であった ( 参 考 )IPA - コンピュータウイルス 不 正 アクセス 届 出 状 況 および 相 談 受 付 状 況 [2012 年 年 間 ] http://www.ipa.go.jp/security/txt/2013/2012outline.html 3
2. ウェブ 改 ざんの 件 数 推 移 と 傾 向 2012 年 の 1 年 間 に IPA に 寄 せられたウェブ 改 ざん 届 出 38 件 について 傾 向 を 分 析 した 結 果 脆 弱 性 を 悪 用 されたケースが 多 い こと ウイルス 配 布 サイト(ドライブ バイ ダウンロード 攻 撃 が 行 われるウェブサイトなど)に 転 送 する 仕 掛 けを 埋 め 込 まれることが 多 い こと 自 社 運 用 型 4ではなくホスティングサービス 利 用 者 が 多 い ことなどがわかっ た 本 章 では まず 中 期 的 な 傾 向 を 把 握 するために 最 近 4 年 間 における 件 数 推 移 を 述 べ そ の 後 2012 年 1 年 間 における 傾 向 について 述 べる 2.1. 最 近 4 年 間 におけるウェブ 改 ざん 届 出 件 数 2009 年 以 降 IPA に 届 出 られたウェブ 改 ざんの 件 数 を 四 半 期 ごとに 集 計 した その 結 果 は 表 1 及 び 図 1 のとおりである 表 1 IPA に 届 出 られたウェブ 改 ざんの 件 数 推 移 ( 直 近 4 年 間 ) 2009 2010 2011 2012 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 届 出 件 数 2 5 5 1 16 6 7 5 0 5 2 4 7 6 16 9 図 1.IPA に 届 出 られたウェブ 改 ざんの 件 数 推 移 ( 直 近 4 年 間 ) 4 本 書 では ハウジング 型 と オンプレミス 型 を 合 わせて 自 社 運 用 型 としている 4
2010 年 の 初 頭 と 2012 年 の 夏 期 において 届 出 件 数 が 際 立 って 多 いことがわかる 2010 年 の 初 頭 における 届 出 件 数 の 増 加 は いわゆる ガンブラー 5 の 手 口 が 流 行 したこ とによるものであった 2012 年 の 夏 期 における 届 出 件 数 の 増 加 は 近 隣 国 内 からの 一 部 島 しょの 領 有 権 に 関 する 抗 議 行 動 の 一 環 によるものと 推 測 される 実 際 にこの 期 間 は ウェブページが 領 有 権 問 題 に 絡 んだ 政 治 的 メッセージと 思 われる 内 容 に 書 き 換 えられたという 届 出 が 複 数 寄 せられて いる 最 近 4 年 間 においては 国 内 で 大 きなインシデントが 発 生 した 際 に それに 呼 応 して 届 出 件 数 も 増 加 する 傾 向 にあると 言 える 2.2. 最 近 のウェブ 改 ざんの 傾 向 次 に 最 近 の 傾 向 について 分 析 するために 2012 年 の 1 年 間 に IPA に 寄 せられたウェブ 改 ざん 届 出 38 件 について 被 害 内 容 原 因 サーバー 運 用 形 態 ごとに 集 計 した 2.2.1. 被 害 内 容 による 分 類 ~ウイルス 配 布 サイトへの 転 送 と 表 示 内 容 の 書 き 換 え が 多 かった~ ウェブ 改 ざんの 結 果 として 現 れた 被 害 内 容 ごとに 集 計 を 行 った 表 2 ウェブ 改 ざん 後 の 被 害 内 容 の 種 別 被 害 内 容 種 別 件 数 (2012/01~2012/12) n=38 1 ウイルス 配 布 サイトに 転 送 16 2 表 示 内 容 の 書 き 換 え 6 12 3 フィッシングに 悪 用 3 4 サイトに 何 らかの 不 具 合 が 発 生 2 5 別 サイトに 転 送 7 1 6 その 他 4 この 結 果 から ウェブ 改 ざん 後 の 被 害 内 容 として ウェブサイト 閲 覧 者 がウイルス 配 布 サイトに 転 送 されるケースと ウェブサイトが 表 示 内 容 を 書 き 換 えられるケースが 多 いこ とがわかった マスメディアを 通 して 政 治 的 メッセージを 含 む 内 容 に 書 き 換 えられた 事 件 が 多 く 報 道 された 印 象 があるが ウイルス 配 布 サイトに 転 送 されるケースも 多 かったこ とがわかる 前 者 の ウイルス 配 布 サイトに 転 送 については 届 出 が 寄 せられた 時 点 で 既 に 転 送 先 5 ドライブ バイ ダウンロード 攻 撃 により 閲 覧 者 のパソコンをウイルスに 感 染 させ そのウイルスで FTP のアカウントを 盗 み そのアカウントで 更 に 別 のウェブサイトを 改 ざんし ドライブ バイ ダウンロード 攻 撃 により 感 染 を 拡 大 させる という 一 連 の 手 口 6 政 治 的 メッセージへの 書 き 換 えや 自 己 顕 示 欲 を 満 たすためだけの 落 書 きなどが 該 当 する フィッシングなど ページを 書 き 換 えて 別 の 用 途 に 悪 用 するケースは 含 まない 7 フィッシングやウイルス 配 布 などと 異 なり 転 送 の 意 図 が 不 明 なケース この 1 件 は 中 国 のハッカー 集 団 のものと 思 われるサイトのログイン 画 面 に 転 送 されるものであった 5
サイトが 閉 じられていることがほとんどのため 推 測 となるが ドライブ バイ ダウンロ ード 攻 撃 の 手 法 を 用 いてウイルス 拡 散 を 狙 ったものと 思 われる 後 者 の 表 示 内 容 の 書 き 換 え について 書 き 換 えられた 内 容 は 政 治 的 メッセージ 宗 教 的 メッセージ それ 以 外 に 分 類 できる( 表 3) ) アジア 近 隣 諸 国 からと 思 われる 政 治 的 メッセージ は 2012 年 夏 期 に 集 中 しており これは 時 節 的 な 傾 向 と 考 えられる 図 2 お よび 図 3 は その 被 害 の 実 例 である 表 3 表 示 内 容 の 書 き 換 え 内 訳 書 き 換 え 内 容 件 数 (2012/01~2012/12) n=12 1 アジア 近 隣 諸 国 からと 思 われる 政 治 的 メッセー ージ 6 2 中 東 からのものと 思 われる 宗 教 的 メッセージ 1 3 政 治 的 宗 教 的 メッセー ージ 以 外 2 4 内 容 不 明 3 図 2. 政 治 的 メッセージと 思 われる 内 容 に 改 ざんされたページジ 例 1 6
図 3. 政 治 的 メッセージと 思 われる 内 容 に 改 ざんされたページ 例 2 2.2.2. 原 因 による 分 類 ~ 脆 弱 性 を 悪 用 されたものが 多 かった~ 次 にウェブ 改 ざんの 原 因 ごとに 集 計 を 行 った 表 4 ウェブ 改 ざんの 原 因 の 種 別 原 因 種 別 件 数 (2012/01~2012/12) n=38 1 脆 弱 性 悪 用 12 脆 弱 性 を 悪 用 された Parallels Plesk Panel ( 内 訳 ) (4) 対 象 プログラムの Joomla! (3) 内 訳 Apache Struts 2 (2) CGI 版 PHP (1) MODX (1) Uploadify (1) 2 FTP パスワード 盗 用 6 3 設 定 不 備 3 4 原 因 不 明 17 この 結 果 から サーバー 上 で 動 作 するプログラムの 脆 弱 性 を 悪 用 されたケースが 比 較 的 多 いことがわかった 悪 用 されたプログラムの 内 訳 は Parallels Plesk Panel 8 が 4 件 CMS 9 の 1 つである 8 Parallels Plesk Panel:サーバー 管 理 ツール 9 CMS(Content Management System):ウェブサイトのコンテンツ(テキストや 画 像 な ど)を 統 合 的 に 管 理 するためのウェブアプリケーションソフト 7
Joomla! 10 が 3 件 Apache Struts 2 11 が 2 件 CGI 版 PHP 12 が 1 件 などであった 12 件 中 11 件 は 当 該 プログラムを 最 新 バージョンにしていれば 被 害 を 防 げるものであったが 残 りの 1 件 は 脆 弱 性 を 解 消 するためには 設 定 の 変 更 などが 必 要 なものであった( 詳 細 は 3.1.4 節 を 参 照 ) 原 因 不 明 が 最 も 多 いが この 中 には 要 員 不 足 などにより 調 査 に 手 が 回 らないケー スや 原 因 調 査 よりも 原 状 復 帰 作 業 を 優 先 したケースが 多 数 存 在 していると 推 測 される 原 因 不 明 のまま 事 業 などを 優 先 させ 根 本 的 な 原 因 を 明 確 にしないままサイトを 再 開 させてしまうと 同 様 の 手 口 で 再 度 改 ざんされてしまう 可 能 性 が 非 常 に 大 きい 再 度 改 ざ んされてしまうと 信 用 低 下 につながり さらなる 金 銭 的 被 害 が 発 生 する 恐 れがある 一 度 ウェブ 改 ざんの 被 害 を 受 けた 場 合 は 二 度 と 被 害 を 受 けないために 根 本 的 な 原 因 を 究 明 す るための 調 査 を 実 施 すべきである 調 査 の 際 には 自 組 織 のセキュリティ 管 理 部 門 や セ キュリティ 専 門 会 社 13に 相 談 することを 推 奨 する 2.2.3. サーバー 運 用 形 態 による 分 類 ~ホスティングサービス 利 用 者 が 多 かった~ 次 に 改 ざんされたサイトのサーバー 運 用 形 態 の 観 点 で 集 計 を 行 った ホスティングサ ービス と 自 社 運 用 型 のどちらが 多 いかを 集 計 した 結 果 以 下 のとおりだった 表 5 サーバー 運 用 形 態 の 種 別 サーバー 運 用 形 態 件 数 (2012/01~2012/12) n=38 1 ホスティングサービス 17 2 自 社 運 用 型 11 3 不 明 10 この 結 果 から ホスティングサービスを 利 用 したウェブサイト 管 理 者 からの 被 害 届 出 が 多 いことがわかった ホスティングサービス 利 用 サイトからの 届 出 の 中 には セキュリティはサービス 業 者 に 任 せっきりだった 専 用 サーバーということで セキュリティ 対 策 は 万 全 だと 思 ってい た といった 担 当 者 のコメントが 添 えられたものがあった ホスティングサービス 業 者 利 用 の 際 には 業 者 の 作 業 範 囲 を 把 握 した 上 で それに 対 して 自 社 で 実 施 する 必 要 がある 作 業 項 目 を 事 前 に 洗 い 出 しておくこと 必 要 がある 10 Joomla!のプラグインである JCE の 脆 弱 性 を 悪 用 されたケース 1 件 を 含 む 11 Apache Struts 2:オープンソースのウェブアプリケーションフレームワーク 12 CGI 版 PHP:クライアントからのリクエストに 対 して Apache とは 別 のプロセスを 別 途 起 動 して 処 理 する 方 式 一 方 別 途 プロセスを 立 ち 上 げず Apache のプロセス 内 で 処 理 す る 方 式 は モジュール 版 PHP と 呼 ばれることがある 一 般 的 に 処 理 が 高 速 なのはモジュ ール 版 PHP の 方 だが CGI 版 PHP では 各 利 用 者 のサイトごとのパフォーマンスを 計 測 で き 利 用 者 ごとの 消 費 リソースを 把 握 できるために ホスティングサービス 業 者 にとって メリットがある 13 ( 参 考 ) 経 済 産 業 省 - 情 報 セキュリティ 監 査 企 業 台 帳 http://www.meti.go.jp/policy/netsecurity/is-kansa/ 8
ホスティングサービスを 利 用 しているサイトの 被 害 事 例 を 詳 しく 見 ると 同 じホスティ ングサービスを 利 用 している 複 数 サイトからのウェブ 改 ざん 届 出 が 連 続 して 寄 せられるこ とがあった この 傾 向 は 2011 年 以 前 からも 続 いている 同 じホスティングサービスを 利 用 する 場 合 供 給 されるサーバープログラムや 管 理 ツー ルも 同 じである 場 合 が 多 いため あるサイトで 攻 撃 が 成 功 すると 同 じホスティングサー ビスを 利 用 している 他 のサイトにおいても 同 じ 攻 撃 が 成 功 しやすい 傾 向 にあると 考 えられ る また 具 体 的 な 手 法 はここでは 解 説 しないが あるサイトと 同 じサーバー 上 で 動 作 してい るサイトを 容 易 に 発 見 できる 場 合 がある もしこの 手 法 を 用 いて 脆 弱 なサイトと 同 じサ ーバー 上 で 動 作 するサイトを 発 見 できれば 攻 撃 者 にとっては 攻 撃 先 を 探 す 手 間 が 省 ける とともに さらに 同 じ 攻 撃 方 法 が 効 く 可 能 性 が 高 いため 好 都 合 といえる ホスティングサービス 業 者 を 利 用 するウェブサイト 管 理 者 は 業 者 のウェブサイトを 定 期 的 にチェックするなど 常 日 頃 からの 情 報 収 集 に 努 めるべきである 情 報 収 集 の 一 環 と して サイバーセキュリティ 注 意 喚 起 サービス icat 14 や IPA メールニュース 15 の セ キュリティ 対 策 情 報 の 利 用 をお 奨 めしたい 14 ( 参 考 )IPA - サイバーセキュリティ 注 意 喚 起 サービス icat の 公 開 http://www.ipa.go.jp/security/vuln/icat.html 15 ( 参 考 )IPA メールニュースの 登 録 http://www.ipa.go.jp/about/mail/ 9
3. ウェブ 改 ざん 事 例 とその 対 策 第 2 章 では 直 近 1 年 間 に 寄 せられた 届 出 から 最 近 のウェブ 改 ざんにおける 傾 向 を 分 析 した この 第 3 章 ではいくつかの 事 例 に 焦 点 を 当 て 詳 細 を 紹 介 するとともに 対 策 を 示 す 3.1. 脆 弱 性 を 悪 用 された 事 例 2012 年 のウェブ 改 ざん 届 出 の 38 件 中 脆 弱 性 を 悪 用 されたことが 原 因 だったのは 12 件 で 原 因 不 明 を 除 いて 最 多 であった 本 節 では 脆 弱 性 を 悪 用 された 対 象 プログラムごと に 事 例 を 紹 介 し 最 後 に 対 策 を 述 べる 3.1.1. Parallels Plesk Panel 4 件 とも Parallels Plesk Panel のバージョンが 古 いために 脆 弱 性 を 悪 用 されたものであ った ウェブサイト 管 理 者 からだけではなく ホスティングサービスを 提 供 する 側 である 業 者 からも 貴 重 な 届 出 を 寄 せていただいた 事 当 社 のサイトに 接 続 するとウイルス 対 策 ソフトが 警 告 を 出 して 異 変 に 気 付 例 1 いた すぐに 調 査 を 開 始 アクセスログと 各 種 ファイルの 内 容 から 改 ざんされた 対 象 のファイルを 特 定 した 原 因 究 明 と 再 発 防 止 策 を 講 じるため ウェブサイトを 3 週 間 ほど 停 止 した 調 査 の 結 果 Parallels Plesk Panel の 脆 弱 性 を 悪 用 されたことが 判 明 した サイト 再 開 に 向 けて 対 策 を 取 るとともに 専 門 業 者 による 脆 弱 性 検 査 を 実 施 した 事 例 2 (ホスティングサービス 業 者 からの 届 出 ) 当 社 の 顧 客 からの 連 絡 により 当 社 のホスティングサービスを 利 用 している サイトのうち 複 数 のサイトが 改 ざんされていることを 発 見 した ただちに 改 ざんされた HTML ファイルを 削 除 し バックアップから 正 規 の ファイルに 戻 すとともに 侵 入 経 路 となったバックドアプログラムを 停 止 し た また 原 因 が Parallels Plesk Panel の 脆 弱 性 悪 用 と 判 明 後 はただちに 全 利 用 者 に 対 して Parallels Plesk Panel の 使 用 を 停 止 した ( 停 止 期 間 中 はウェブ 管 理 を 当 社 が 代 行 した ) 改 ざん 内 容 は (ランダムなアルファベット 16 文 字 ).ru というロシアド メインのサイトに 転 送 させるものであった しかし 改 ざん 被 害 発 覚 時 には 転 送 先 サイトは 既 に 閲 覧 不 可 となっていたため 転 送 先 サイト 閲 覧 による 影 響 は 不 明 10
Parallels Plesk Panel は 近 年 利 用 が 広 がっているサーバー 管 理 ツールである ホスティ ングサービス 業 者 が 利 用 者 (ウェブサイト 管 理 者 )に 提 供 しているケースも 多 くみられ る 事 例 2 はホスティングサービス 業 者 からの 届 出 であるが Parallels Plesk Panel に 脆 弱 性 があると 判 明 した 直 後 に 全 利 用 者 に 対 して Parallels Plesk Panel の 使 用 を 停 止 したこ とは 適 切 な 判 断 であった 対 策 すべてのプログラムに 関 して 言 えることだが バージョンが 古 いと 脆 弱 性 が 内 在 するこ とが 多 いため 常 に 最 新 のバージョンを 使 用 する 必 要 がある 即 座 に 対 策 を 取 れない 場 合 には 当 該 プログラムの 使 用 を 当 分 控 えることも 有 効 である 脆 弱 性 判 明 後 ただちに 回 避 策 を 実 施 することが 困 難 な 場 合 には 被 害 拡 大 を 防 ぐため に 当 該 プログラムの 使 用 を 強 制 的 に 停 止 することも 視 野 に 入 れるべきである 3.1.2. Joomla! Joomla!に 関 する 脆 弱 性 のうち 2 件 が Joomla! 本 体 の 脆 弱 性 であり もう 1 件 は Joomla! 用 コンポーネントである JCE 16 の 脆 弱 性 を 悪 用 したものであった 事 Joomla! 1.7.2 を 使 用 していたが Joomla!のファイルアップロード 用 フォル 例 3 ダに 不 正 な PHP ファイル 2 つをアップロードされた 結 果 としてサイトのトップページを 改 ざんされてしまった サーバー 上 の OS Apache MySQL のアップデートは 定 期 的 に 実 施 してい たが Joomla!はアップデート 対 象 から 抜 けていたために 古 いバージョン のまま 使 用 し 続 けていた 事 後 対 策 として Joomla! をバージョン 2.x の 最 新 版 にアップデートした 事 外 部 から ウェブ 改 ざんされている との 連 絡 を 受 けた 確 認 すると 確 か 例 4 に 一 部 のページにて 改 ざんされていることが 判 明 した サイトの 表 示 画 面 が 宗 教 的 メッセージと 思 われる 絵 と 文 章 に 改 ざんされて いた 改 ざん 内 容 を 精 査 したところ 表 示 内 容 の 変 更 だけであり 幸 いサイト 閲 覧 者 にウイルス 感 染 など 二 次 被 害 を 及 ぼすようなものではなかった JCE の 脆 弱 性 を 悪 用 されてサーバーにバックドア 17 を 埋 め 込 まれたことが 原 因 であった そのバックドア 経 由 でサーバーに 侵 入 され サイトを 改 ざんさ れてしまった 被 害 後 は サイトの 運 用 形 態 として Joomla!を 使 用 しないこととし サイ ト 更 新 時 には HTML を 直 接 変 更 する 運 用 に 移 行 した 16 JCE:Joomla!のウェブページを 編 集 するためのエディタ 17 バックドア(backdoor):コンピュータへの 侵 入 者 が 侵 入 成 功 後 にそのシステムに 再 侵 入 するために 準 備 する 仕 掛 け いわゆる 裏 口 の 侵 入 経 路 11
対 策 Joomla!に 限 らず 各 種 CMS には 機 能 拡 張 用 のプラグインが 提 供 されている 場 合 が 多 い が そうしたプラグインを 導 入 した 場 合 は CMS 本 体 に 加 えて 導 入 したプラグインすべて に 対 して 脆 弱 性 対 策 が 必 要 18である 事 後 対 策 としては CMS のバージョンを 最 新 にすることが 基 本 だが ユーザーサポートが 期 待 できる 商 用 製 品 の 利 用 や 場 合 によっては 事 例 4 のように CMS の 使 用 を 取 りやめる ということも 一 つの 選 択 肢 である 3.1.3. Apache Struts 2 2 件 とも Apache Struts 2 のバージョンが 古 いために 脆 弱 性 を 悪 用 されたものであった そのうち 1 件 の 事 例 を 紹 介 する 事 当 社 ウェブサイトが 提 供 する 検 索 機 能 のトップ 画 面 が 近 隣 国 からの 政 治 的 例 5 メッセージと 思 われる 内 容 に 改 ざんされた 悪 用 されたのは Apache Struts 2 における 任 意 の Java メソッドを 実 行 さ れる 脆 弱 性 (CVE-2012-0838 19 ) Apache Struts 2 を 利 用 したアプリケーションに 対 してこの 脆 弱 性 を 悪 用 さ れて 外 部 から OS コマンドを 実 行 された その 結 果 バックドアと 思 われ る 2 つの 不 正 ファイルを 設 置 された そのバックドアを 経 由 してウェブ 改 ざんを 実 行 された 被 害 当 時 にサーバーにおける Apache Struts 2 のバージョンは 2.1.8.1 であり 6 か 月 以 上 も 前 に 脆 弱 性 情 報 が 公 開 されていたものだったが ウェブアプリケーションフレームワ ーク 20 の 脆 弱 性 まで 思 いが 至 らなかった というコメントも 寄 せられた 対 策 ウェブアプリケーションフレームワーク 自 体 は 直 接 サーバープログラムとして 動 作 させ るものではないため 見 落 とされがちだが 利 用 する 際 には 必 ず 最 新 バージョンを 使 用 する 必 要 がある 18 ( 参 考 )IPA - ウェブサイトの 管 理 に 利 用 される CMS もしくは CMS プラグインの 脆 弱 (ぜいじゃく) 性 に 注 意 http://www.ipa.go.jp/about/press/20120723_2.html 19 http://jvndb.jvn.jp/ja/contents/2012/jvndb-2012-000012.html 20 ウェブアプリケーションフレームワーク:ウェブアプリケーションの 骨 組 みを 提 供 し 開 発 の 助 けとなる 仕 組 み ウェブアプリケーションに 共 通 に 必 要 な 機 能 を 多 く 備 えている ( 参 考 )セキュアプログラミング 講 座 - Web アプリケーションフレームワーク http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/004.html 12
3.1.4. CGI 版 PHP CGI 版 PHP の 脆 弱 性 を 悪 用 されたケースは 1 件 であった 事 当 社 サイトのトップページが 近 隣 国 からの 政 治 的 メッセージと 思 われる 内 例 6 容 に 改 ざんされた サーバー 内 部 を 調 査 すると バックドアと 思 われる 4 つの PHP ファイルが 見 つかった アクセスログを 確 認 すると CGI 版 PHP の 脆 弱 性 CVE-2012-1823 21 を 狙 っ た 攻 撃 を 受 けたことにより 外 部 から 指 定 したスクリプトを 実 行 されて バ ックドアである 4 つの PHP ファイルを 作 成 された そのバックドアを 経 由 してサーバーに 侵 入 されて ウェブを 改 ざんされた 事 例 6 は 長 期 間 に 及 ぶ 調 査 により 悪 用 された 脆 弱 性 が 判 明 した 貴 重 なケースである 原 因 となった 脆 弱 性 CVE-2012-1823 については 悪 用 された 時 の 影 響 が 大 きく また 手 口 さえ 知 っていればブラウザから 簡 単 に 試 すことができるため 国 内 の 他 のサイトも 被 害 に 遭 っている 可 能 性 がある この CVE-2012-1823 に 関 しては PHP の 当 時 の 最 新 バージョンにおいて 解 消 されなか ったため 他 のワークアラウンド( 回 避 策 )を 実 施 する 必 要 があった 22 対 策 脆 弱 性 が 発 見 されて 公 になった 後 何 らかの 理 由 により 最 新 バージョンでこの 脆 弱 性 が 修 正 されなかった 場 合 や 修 正 版 がリリースされるタイミングが 遅 い 場 合 は ワークアラ ウンドを 実 施 することで 一 時 的 な 対 策 となる 場 合 があるので 次 の 情 報 を 確 認 すると 良 い ベンダーが 発 表 する 情 報 利 用 しているホスティングサービス 業 者 からの 情 報 JVN ipedia - 脆 弱 性 対 策 情 報 データベース 23 ワークアラウンドの 実 施 に 多 大 な 工 数 が 必 要 な 場 合 は 当 該 脆 弱 性 が 影 響 するシステム の 停 止 縮 小 運 転 や 一 時 的 な 代 替 システムを 立 ち 上 げることも 検 討 に 入 れる 必 要 がある だろう またワークアラウンドはあくまで 一 時 的 な 対 処 法 であるため 修 正 版 が 公 開 された 際 に は 確 実 にバージョンアップして 脆 弱 性 を 解 消 する 必 要 がある 3.1.5. 脆 弱 性 を 悪 用 する 攻 撃 に 対 する 共 通 の 対 策 インターネット 上 にサーバーを 公 開 する 場 合 サーバー 上 で 動 作 するプログラムについ て 最 新 のバージョンを 使 用 することが 大 原 則 であるとともに もっとも 有 効 な 対 策 である 21 http://jvndb.jvn.jp/ja/contents/2012/jvndb-2012-002235.html 22 対 策 として CGI 版 PHP を モジュール 版 PHP などの 他 の 方 式 に 切 り 替 える PHP の 設 定 を 変 更 する などの 対 応 が 必 要 であった ( 参 考 ) http://jvndb.jvn.jp/ja/contents/2012/jvndb-2012-002392.html http://jvndb.jvn.jp/ja/contents/2012/jvndb-2012-002395.html 23 http://jvndb.jvn.jp/ 13
最 新 バージョンであれば 既 知 の 脆 弱 性 が 解 消 されていることが 期 待 できるからである また サーバー 上 で 動 作 するプログラムについて 不 要 なものが 動 作 していないか 定 期 的 に 棚 卸 しすることを 推 奨 する 棚 卸 しにより 不 要 なプログラムが 動 作 していることが 発 覚 した 場 合 停 止 させるか それ 自 体 を 削 除 する 必 要 がある サーバー 自 体 についても 不 要 なサーバーが 残 ったまま 動 作 していると 管 理 対 象 外 と なりパッチ 適 用 が 行 われず 結 果 的 に 脆 弱 なサーバーとなって 残 ってしまうので 不 要 な サーバーが 動 作 していないかについても 定 期 的 に 確 認 することを 推 奨 する 加 えて 自 社 開 発 などによるウェブアプリケーションを 使 用 したサイトの 場 合 は ウェ ブアプリケーションにおいて 脆 弱 性 を 作 り 込 まないことが 基 本 的 な 対 策 24となる また ア プリケーション 作 成 時 におけるミスによるバグや アプリケーション 更 新 時 におけるデグ レード 25 などの 人 為 的 ミスに 備 えた 多 段 防 御 として WAF 26 を 導 入 することも 有 力 な 対 策 で ある 3.2. その 他 個 別 の 被 害 事 例 いずれも 既 知 の 手 口 だが それぞれ 事 例 と 対 策 を 示 す 3.2.1. 個 人 パソコンのウイルス 感 染 によるパスワードの 流 出 2012 年 に 届 出 られた 38 件 のウェブ 改 ざんのうち コンテンツファイルのアップロード 用 の FTP アカウントを 窃 取 されたケースは 8 件 であった その 中 には ウェブサイト 管 理 者 のパソコンのウイルス 感 染 が 原 因 であると 特 定 できたケースもあった ウェブサイト 管 理 者 はコンテンツファイルのアップロードに FFFTP 27 を 使 用 していたが 当 該 パソコンのウイルス 感 染 により FFFTP に 格 納 されていた 接 続 情 報 28が 流 出 してしま った その 結 果 接 続 情 報 を 悪 用 されて FTP 経 由 で 改 ざんされてしまった ウイルス 感 染 の 原 因 は 不 明 だが いわゆる ガンブラー の 手 口 により パソコン 上 での 脆 弱 性 対 策 が 不 完 全 だったためドライブ バイ ダウンロード 攻 撃 によってウイルスに 感 染 してしまっ たと 推 測 される 24 ( 参 考 )IPA - 安 全 なウェブサイトの 作 り 方 http://www.ipa.go.jp/security/vuln/websecurity.html 25 デグレード:プログラム 改 修 時 に 修 正 部 分 以 外 の 箇 所 が 以 前 の 状 態 に 戻 ってしまうこ と 実 際 IPA にも SQL インジェクション 対 策 済 のアプリケーションにおいてデグレード が 発 生 し SQL インジェクション 攻 撃 による 被 害 を 受 けたという 届 出 も 寄 せられている 26 WAF:Web Application Firewall のこと ( 参 考 )IPA - Web Application Firewall 読 本 http://www.ipa.go.jp/security/vuln/waf.html 27 FFFTP:FTP クライアントソフトの 一 つ 28 接 続 先 サーバーホスト 名 または IP アドレス FTP アカウント そのパスワード など が 含 まれる 14
図 4. ガンブラー の 手 口 による 攻 撃 のイメージ 図 対 策 コンテンツアップロード 用 パソコンにおけるウイルス 対 策 ソフトの 利 用 と 定 期 的 な Windows Update JRE 29 や Adobe Flash Player など 各 種 ソフトの 最 新 化 コンテンツアップロード 用 パソコンを 限 定 して そこからしかアップロード 作 業 をし ないことを 徹 底 する 改 ざんされていない 確 実 にクリーンな 状 態 のコンテンツファイルを 保 持 しておき 改 ざん 被 害 時 にはそれを 使 って 復 旧 する どんなにウェブサイト 上 で 対 策 を 施 したとしても ウェブサイト 管 理 用 パソコンから FTP アカウント 情 報 が 漏 えいしてしまったら 意 味 がない FTP のパスワードは 事 前 に 定 め た 限 られたウェブサイト 管 理 者 にだけ 通 知 することは 当 然 だが 加 えてウェブサイト 管 理 用 パソコンにおいてセキュリティ 上 の 対 策 を 実 施 することが 必 要 である コンテンツ 更 新 専 用 パソコンを 用 意 するとなお 良 いだろう 被 害 後 の 事 後 対 策 として FTP パスワードの 変 更 は 必 須 だが 過 去 にコンテンツアップロ ードなどのウェブ 管 理 作 業 を 実 施 したことのあるパソコンすべてについて ウイルス 対 策 ソフトの 定 義 ファイルを 最 新 にした 上 でウイルス 検 査 することを 勧 める システムを 初 期 化 して 安 全 なバックアップデータからシステムをリカバリすると なお 安 全 である 3.2.2..htaccess ファイルの 改 ざん Apache の 設 定 ファイルの 一 つである.htaccess を 不 正 に 改 ざんすることで 主 要 検 索 サイトからのアクセスや 閲 覧 禁 止 (いわゆる 403 ステータス)などのエラーが 発 生 した 29 JRE:Java Runtime Environment(Java で 開 発 されたプログラムを 実 行 するためのソ フトウェア) 15
時 に 限 って 別 サイトに 転 送 する 手 口 が 2010 年 に 現 れた 30 IPA にもこの 手 口 を 悪 用 した 被 害 の 届 出 が 1 件 寄 せられた 本 ケースにおいても 自 サ イトを 普 通 に 閲 覧 した 場 合 は 何 も 異 常 が 無 かったが 検 索 サイトなどの 結 果 で 現 れた 自 サ イトへのリンクを 使 ってアクセスした 時 に 限 り 別 サイトに 転 送 されてしまう 仕 掛 になっ ていた.htaccess を 改 ざんされても コンテンツファイル 自 体 が 改 ざんされるわけでは ないため コンテンツファイル 監 視 では 気 付 きにくい またこのケースでは URL を 直 接 入 力 したり ブラウザのブックマーク(お 気 に 入 り)から 当 該 サイトにアクセスした 場 合 は 影 響 を 受 けずに 正 規 のページが 表 示 されるため 管 理 者 が 被 害 に 気 付 きにくく 発 見 が 遅 れたと 思 われる 本 ケースの 原 因 は FTP アカウント 情 報 の 窃 取 であった 情 報 が 窃 取 された 原 因 は 不 明 だ が 前 述 の 3.2.1 の 事 例 と 同 様 に ウェブサイト 管 理 用 パソコンのウイルス 感 染 によるパス ワード 流 出 が 原 因 として 考 えられる 対 策 コンテンツファイル 監 視 だけでなく システム 全 体 にファイル 改 ざん 検 知 システムを 導 入 コンテンツアップロード 用 パソコンにおける ウイルス 対 策 ソフト 利 用 定 期 的 な Windows Update JRE や Adobe Flash Player など 各 種 ソフトの 最 新 化 3.2.3. ブルートフォース 攻 撃 による 管 理 者 アカウントの 窃 取 ヨーロッパのある 国 の IP アドレスのマシンから OS の 管 理 者 権 限 ID に 対 するブルート フォース 攻 撃 が 行 われた それによりパスワードを 破 られてサーバーへの 侵 入 を 許 してし まい 改 ざんされてしまったケースである 対 策 ブルートフォース 攻 撃 は 古 くからある 攻 撃 手 法 である ID とパスワードの 組 み 合 わせは 有 限 なので 原 理 的 には 時 間 をかければいつかは 解 読 できるものである しかし 強 固 なパ スワードを 設 定 し アカウントロックアウト 31 の 設 定 をすると パスワード 解 読 に 費 やされ る 時 間 が 長 くなるので パスワードを 解 読 される 危 険 性 を 非 常 に 低 く 抑 えられ 現 実 的 に パスワード 解 読 が 不 可 能 となる また 本 ケースのように 攻 撃 元 の IP アドレスが 特 定 できている 場 合 以 下 の 対 処 が 有 効 である ファイアウォールで 当 該 IP アドレスからのアクセスを 拒 否 する 特 定 IP アドレスから 多 数 のログイン 試 行 が 発 生 した 時 に 当 該 IP アドレスを 自 動 的 に 遮 断 する 仕 組 みを 導 入 する 32 30 ( 参 考 )IPA - Web 媒 介 型 攻 撃 Gumblar の 動 向 調 査 http://www.ipa.go.jp/security/fy21/reports/tech1-tg/b_05.html 31 アカウントロックアウト:アカウント 認 証 時 に 一 定 時 間 内 のログイン 失 敗 回 数 が 基 準 値 を 超 えた 時 に そのアカウントを 一 時 的 に 使 用 禁 止 にすること 32 ( 参 考 )IPA - セキュアプログラミング 講 座 ユーザ 認 証 対 策 http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/101.html 16
3.3. 人 的 要 因 で 対 策 が 疎 かになった 事 例 ウェブサイト 管 理 者 による 思 い 込 みや 誤 解 過 信 によって 対 策 が 疎 かとなっていたケー スも 散 見 された 技 術 的 側 面 以 外 の 観 点 から 読 者 の 気 付 きの 契 機 となることを 期 待 し ここに 紹 介 する 3.3.1. 落 とし 穴 (1) ~ファイアウォール 設 置 で 油 断 ~ ファイアウォールは 設 置 済 だったが ウェブサイト 管 理 画 面 からログインする 際 の ID と パスワードが 推 測 容 易 なものであったため 管 理 画 面 から 侵 入 されて 不 正 アクセスに 遭 っ てしまった どの 環 境 においてもファイアウォールはほぼ 必 須 だが セキュリティ 対 策 としてそれで 十 分 というわけではない ファイアウォールを 設 置 すれば 公 開 サービスと 無 関 係 な 通 信 は 遮 断 できるが 本 ケー スのように 正 規 の 通 信 に 紛 れて 実 施 される 攻 撃 は ファイアウォールでは 防 御 することが できない 対 策 正 規 の 通 信 はファイアウォールをすり 抜 けてくるので 正 規 の 通 信 に 紛 れて 実 施 される 攻 撃 についても 想 定 し 以 下 の 対 策 を 行 うことが 必 要 である OS のログインパスワードを 複 雑 なものにする ウェブサイト 管 理 用 のパスワードも 複 雑 なものにする ウェブアプリケーションを 利 用 したサイトの 場 合 ウェブアプリケーションのセキュ リティ 実 装 を 行 う 33 ウェブサイト 管 理 用 パソコンを 限 定 し 管 理 用 の 通 信 については ファイアウォール で 当 該 パソコンの IP アドレスのみを 許 可 する 3.3.2. 落 とし 穴 (2) ~URL を 外 部 に 公 表 していなかったために 油 断 ~ 限 定 された 管 理 者 だけにウェブサイト 管 理 画 面 の URL を 通 知 し さらにどこからもリン クを 張 られていない 状 態 だったにも 関 わらず 不 正 アクセスを 受 けてウェブを 改 ざんされ た というケースがあった どこからもリンクを 張 られていなくても また URL を 外 部 に 公 表 していなくても 以 下 の 手 法 を 用 いることで 当 該 サーバーにアクセスされる 可 能 性 がある IP アドレスによるスキャン URL の 推 測 脆 弱 なサイトを 発 見 した 後 同 一 サーバー 上 で 動 作 している 別 サイトを 探 索 された 結 果 発 見 される 誰 にも 知 られていないはず と 思 っていても インターネットから 接 続 可 能 な 環 境 に ある 限 りは 常 にアクセスがあるもの と 認 識 して 対 策 を 取 るべきである 33 ( 参 考 )IPA - 安 全 なウェブサイトの 作 り 方 http://www.ipa.go.jp/security/vuln/websecurity.html 34 ( 参 考 )IPA - 安 全 なウェブサ イトの 作 り 方 17
対 策 たとえ URL を 外 部 に 公 表 していなくても インターネットに 接 続 する 以 上 世 界 中 から アクセスされる 可 能 性 があると 思 って 対 策 する 必 要 がある 34 これはウェブサーバーに 限 ら ず サーバー 全 般 に 関 して 言 えることである 3.3.3. 落 とし 穴 (3) ~ 被 害 後 に 対 策 しなかったために 再 発 ~ 4 月 に 改 ざんされ その 年 の 10 月 にも 再 度 改 ざんされてしまったケースがあった 一 度 不 正 アクセスを 受 けた 時 に 根 本 的 対 策 を 実 施 しないままサイトを 再 開 すると 再 度 被 害 を 受 けてしまう 可 能 性 が 高 い 改 ざん 箇 所 を 修 正 して 見 た 目 を 直 し パスワードを 変 更 したとしても 脆 弱 性 が 残 っていたり バックドアを 仕 掛 けられていたら 再 度 侵 入 されて 改 ざんされてしまうのは 自 明 の 理 である サイト 再 開 にあたっては ( 当 該 サーバー を 証 拠 保 全 として 残 した 上 で) 一 から 新 規 サーバーを 構 築 することが 基 本 となる 対 策 サイト 再 開 前 には 外 部 からの 侵 入 検 査 を 行 うなど 専 門 企 業 による 事 前 検 査 を 受 ける ことが 必 須 である 3.3.4. 落 とし 穴 (4) ~ホスティング 業 者 にすべて 一 任 ~ ホスティングサービス 業 者 から 提 供 されている Joomla!を 使 用 してウェブページを 作 成 していたが その Joomla!のバージョンが 古 いために Joomla!の 脆 弱 性 を 悪 用 され 改 ざん されてしまったケースがあった その 届 出 には セキュリティはサービス 業 者 に 任 せっきりだった 専 用 サーバーとい うことで セキュリティ 対 策 は 万 全 だと 思 っていた といった 担 当 者 のコメントが 添 えら れていた 対 策 ホスティングサービス 業 者 利 用 の 際 には 業 者 の 作 業 範 囲 や SLA 35 を 把 握 した 上 で そ れに 対 して 自 組 織 で 実 施 する 必 要 がある 作 業 項 目 を 事 前 に 洗 い 出 しておくことを 推 奨 する 把 握 しておく 必 要 がある 重 要 な 事 項 として サーバープログラムや 管 理 ツールにおける セキュリティアップデートの 対 応 基 準 がある 対 応 基 準 は 業 者 や 提 供 サービスオプション によって 異 なり セキュリティアップデートをすべて 業 者 側 で 実 施 する 場 合 や 緊 急 を 要 するセキュリティアップデートのみ 業 者 側 で 実 施 する 場 合 などがあるので よく 確 認 して おく 必 要 がある 3.3.5. 落 とし 穴 (5) ~ 納 入 業 者 が 削 除 し 忘 れた 管 理 ツールの 悪 用 ~ 当 該 サーバー 上 で 複 数 のウェブサイトを 稼 働 させているが そのうちの 1 つのサイトに 脆 弱 性 のあるバージョンの phpmyadmin 36 が 残 った 状 態 で 納 入 されていた ウェブサイト 構 築 業 者 が 納 入 時 のチェックミスにより 脆 弱 性 のあるツールを 残 したまま 納 品 して そ 34 ( 参 考 )IPA - 安 全 なウェブサイトの 作 り 方 http://www.ipa.go.jp/security/vuln/websecurity.html 35 SLA(Service Level Agreement): 提 供 されるサービスの 内 容 と 品 質 に 関 して サービ ス 提 供 側 と 利 用 者 の 間 で 取 り 決 めた 契 約 内 容 のこと 36 phpmyadmin:mysql データベースをブラウザから 管 理 するためのツール 18
れを 悪 用 されてしまったケースである 対 策 ウェブサイト 構 築 に 限 らず 業 務 システムを 専 門 企 業 にアウトソーシングする 場 合 は 信 頼 できる 業 者 に 委 託 することが 基 本 だが インシデント 発 生 時 における 瑕 疵 担 保 などの 責 任 範 囲 を 事 前 に 明 確 にしておくことを 推 奨 する また 不 要 なコンテンツファイルについても 削 除 し 忘 れがないか 確 認 すると 良 い 3.4. ウイルス 配 布 サイト に 仕 立 て 上 げられた 事 例 最 後 に IPA の TIPS 37 にて 調 査 依 頼 を 受 けた 事 例 のうち ウェブサイトが 改 ざんされ ウイルス 配 布 サイト に 仕 立 て 上 げられていた 一 例 を 紹 介 する これらの 事 例 では 改 ざんされた 原 因 は 特 定 できていないが 仮 に 自 社 のウェブサイトが 改 ざんされた 場 合 ど のように 悪 用 され また 閲 覧 者 へどのような 被 害 がおよぶ 可 能 性 があるのか 参 考 とし ていただきたい 3.4.1. 難 読 化 が 施 された JavaScript コードが 追 加 された 事 例 ウェブサイトの 改 ざんにおいては ウイルス 対 策 ソフト 等 の 検 知 を 逃 れるためか ある いはウェブサイトの 管 理 者 が 判 別 できにくくするためか 以 下 図 5 のように ブラウザは プログラムとして 解 釈 して 実 行 できるが 人 間 には 意 味 が 分 からない 転 送 先 の URL が 見 た 目 で 分 からない ように 細 工 した( 難 読 化 された)JavaScript コードがウェブページ に 不 正 に 追 加 されていた 事 例 があった 図 5. 改 ざんの 事 例 ( 難 読 化 された JavaScript) 37 TIPS:Trap-website Information Providing System 悪 意 あるサイトの 識 別 情 報 及 び 対 策 情 報 提 供 システム http://www.ipa.go.jp/security/isg/tips.html 19
この 場 合 見 たこともないコードがウェブページへ 追 加 されることになり 管 理 者 は 不 審 さに 気 付 くかもしれない しかし 一 見 してもこれが 何 をするコードなのか 分 からない ため 何 らかの 理 由 で 自 分 のパソコンやサーバーにより 自 動 的 に 付 加 されたものではない かと 考 えたり 削 除 すると 正 常 に 動 作 しなくなるのではないかと 迷 ってしまうかもしれな い 実 際 には 図 5 の 難 読 化 された JavaScript コードがブラウザ 上 で 実 行 されると 図 6 の コードをウェブページに 追 加 する 図 6.JavaScript の 実 行 により 追 加 されるコード 結 果 を 見 ると この JavaScript は 外 部 の( 悪 意 ある)ウェブページを iframe で 当 該 ページに 挿 入 しようとしていることが 分 かる これにより ブラウザが 外 部 のウェブサイ トへ 転 送 され ドライブ バイ ダウンロード 等 の 攻 撃 を 受 けてしまう 可 能 性 が 発 生 して しまうのである 図 7 は 難 読 化 された JavaScript コードが 不 正 に 追 加 されていた 別 の 事 例 である 図 中 緑 の 枠 で 囲 った 部 分 が 特 徴 的 で このウェブページが 改 ざん 済 み であることを 示 すと 思 われるマークが 付 けられていた 図 7. 改 ざんの 事 例 ( 改 ざん 済 みマーク 付 き) 20
図 7 の 難 読 化 された JavaScript コードは ブラウザ 上 で 実 行 されると 図 8 のコードをウ ェブページに 追 加 する 図 8.JavaScript の 実 行 により 追 加 されるコード IPA が 確 認 した 時 点 では iframe で 挿 入 される 転 送 先 のウェブサイトからはエラー 応 答 が 返 ってきたため 転 送 先 がどのようなページで いかなる 攻 撃 が 発 生 するのか 確 認 でき なかった なお IPA では 本 事 例 と 同 じマークが 付 けられたウェブ 改 ざんの 事 例 を 他 にも 確 認 してお り インターネット 上 の 情 報 によると このマークを 伴 うウェブ 改 ざんが 同 時 期 (2012 年 の 夏 頃 )に 海 外 でも 多 数 発 生 していたようであった ウェブ 改 ざんは ウェブサイトの 言 語 や 国 あるいは 組 織 の 大 小 等 に 関 係 なく 行 われてしまう 可 能 性 があることに 注 意 してい ただきたい 3.4.2. 改 ざんが 目 立 たないようにコードが 追 加 された 事 例 難 読 化 された JavaScript の 追 加 は 改 ざんの 目 的 を 分 かりにくくさせる 一 方 で ウェブ ページのソースでの 見 た 目 は 非 常 に 目 立 ってしまう このため 図 9 のように できるだ け 目 立 たないように 改 ざんを 行 うケースも 多 い 図 9. 改 ざんの 事 例 ( 一 行 のみ 追 加 ) この 事 例 では ウェブページのソースの 一 番 末 尾 に 一 行 だけ ブラウザを 外 部 のウェブ サイトへ 転 送 するための 不 正 なコードが 追 加 されていた 21
ウェブサイト 管 理 者 が 気 付 きにくくするため あるいは 改 ざん 箇 所 の 特 定 と 復 旧 を 難 し くするためか ウェブ 改 ざんが 目 立 たないように 細 工 されていた 事 例 は 他 に 次 のような ケースがある ウェブペー ージのソースの 中 央 に 不 正 なコー ドが 追 加 される ソースの 行 数 が 多 いウ ェブページの 場 合 目 視 で 発 見 することが 難 しいことがある ウェブペー ージ 本 体 の HTML ファイルではなく その HTML ファイルが 読 み 込 む JavaScript ファイルや CSS ファイルだけに 不 正 なコー ードが 追 加 される この場 合 ウェブペー ージ 本 体 をいくらチェックしても 改 ざん 箇 所 が 見 つからない ウェブペー ージ 本 体 ではなく.htaccess が改 ざんされる( 前 述 の 3.2.2 の 事 例 ) ウェブペー ージを 表 示 しなおすたび びに 不 正 なコードが 現 れたり 消 えたりする 仕 掛 け が 施 される 確 認 する 人 やタイミングにより 結 果 が 異 なるため 修 復 されたように 見 えて 修 復 されていない 改 ざんされていることが 分 からない と といったことが 起 こる これは 静 的 な HTML ファイルではなく 動 的 にウェブペー ージを 生 成 するた めのサーバー 上 で 動 作 するプログラムが 改 ざんされたも ものと 考 えられる 3.4.3 偽 セキュリティソフト 型 ウイルス へ 感 染 させる 攻 撃 が 確 認 された 事 例 続 いて 改 ざんサイトを 閲 覧 した 利 用 者 のパソコンが 偽 セキュリティ ィソフト 型 ウイル ス に 感 染 させられてしまう 仕 掛 けを 具 体 的 に 確 認 した 事 例 を 示 す 図 100 は 国 内 の 正 規 のウェブサイトにおいて 改 ざんによっ って 悪 意 のあるサイトへ 転 送 するコードを 追 加 され てしまった 部 分 の 抜 粋 である この 事 例 では ペー ージの 末 尾 に 難 読 化 された JavaScript コー ドが 追 加 されていた 図 10. 改 ざんの 事 例 ( 悪 意 のあるサイトへ 転 送 ) このウェブサイトを 閲 覧 した 利 用 者 のパソコンに 脆 弱 性 があると 図 111 に 示 す 仕 掛 けに より 偽 セキュリティソフト 型 ウイルス を 含 む 正 体 不 明 な 複 数 のウイルスに 感 染 させ られてしまうことを 確 認 した 22
図 11.ウイルス 感 染 の 仕 掛 け この 事 例 で 使 われていた 手 口 を 図 11 をもとに 簡 単 に 紹 介 する まず 利 用 者 がこの 正 規 のウェブサイトを 閲 覧 し 改 ざんされたウェブページ( 図 10) が 表 示 される ブラウザ 上 で 難 読 化 された JavaScript が 実 行 され ブラウザは 悪 意 のある サイト A へ 転 送 される( 図 11 の 1 ) 続 いて 悪 意 のあるサイト A から 利 用 者 のパソコンの 環 境 を 確 認 する( 具 体 的 には インストールされている JRE のバージョンと Adobe Reader のバージョンをチェックする) ためのスクリプトがダウンロードされ 実 行 される その 結 果 は 更 に 同 じサイト 上 の 別 の スクリプトへと 引 き 渡 され 利 用 者 のパソコンの 環 境 に 合 った 攻 撃 ファイル( 脆 弱 性 を 悪 用 するファイル)がダウンロードされて ブラウザ 上 で 開 かれる この 時 パソコンに 脆 弱 性 があると それを 悪 用 され 最 終 的 にウイルスに 感 染 させられてしまう( 図 11 の 2 ) このウイルスは 単 体 でも 情 報 窃 取 の 機 能 があると 思 われるが 悪 意 のあるサイト A と は 別 に 設 置 されたウェブサイト B から 更 に 別 のウイルス 2 件 をダウンロードし パソコ ンに 感 染 させる このうち 1 つは Smart Fortress 2012 と 表 示 される 偽 セキュリテ ィソフト 型 ウイルス で もう 1 つは 正 体 不 明 なものであった( 図 11 の 3 ) パソコンが Smart Fortress 2012 に 感 染 させられてしまった 場 合 の 画 面 を 図 12 に 示 す これは ウイルスに 感 染 している という 偽 のメッセージや 画 面 を 表 示 し 正 式 版 を 購 入 すれば 駆 除 できる としてクレジットカードの 番 号 を 入 力 させようとする 金 銭 の 搾 取 を 目 的 としたウイルスである この 種 のウイルスに 感 染 させられてしまった 場 合 復 旧 作 業 を 阻 害 されたり 仮 に 偽 の 画 面 が 表 示 されないようにウイルスを 駆 除 できても 見 えない 所 に 別 のウイルスが 残 っている 可 能 性 があるため パソコンの 初 期 化 等 が 必 要 とな 23
り 利 用 者 の 被 害 が 大 きいものとなる 図 12. Smart Fortress 2012 の 画 面 この 事 例 では パソコンに 実 際 にウイルスを 感 染 させる 攻 撃 は 悪 意 のあるサイト A で 行 われる しかし 利 用 者 から 見 た 場 合 引 き 金 となったのは は 改 ざんされていた 正 規 サ イトの 閲 覧 であることに 変 わりはない また このように 目 に 見 えて 感 染 に 気 付 くことが できないような 静 かにパソコンから 情 報 を 窃 取 し 続 けたり 遠 隔 操 作 を 可 能 とするタイ プのウイルスに 感 染 させられてしまう 場 合 もある したがって 改 ざんされ ウイルス配 布 サイト となってしまったウェブサイトにおい ては 原 因 の 特 定 と 再 発 防 止 のみならず 改 ざんされていた 期 間 と URL などを 告 知 し 利 用 者 へパソコンのウイルスチェックを 促 すことが 最 低 限 の 対 応 として 求 められるだろう 24
4. 届 出 のお 願 い IPA では 経 済 産 業 省 の 告 示 に 基 づき コンピュータウイルスの 届 出 と 不 正 アクセスの 届 出 受 付 を 行 っており ウェブ 改 ざんについては 不 正 アクセスの 届 出 として 受 け 付 けている IPA へ 情 報 提 供 していただくことで ウェブ 改 ざんを 含 む 不 正 アクセス 被 害 の 傾 向 や 手 口 を 分 析 し IPA のウェブサイトなどで 被 害 の 予 防 復 旧 拡 大 再 発 防 止 に 繋 げる 活 動 を 行 っ ている 従 って 不 正 アクセス 被 害 を 受 けた 場 合 またはその 可 能 性 がある 場 合 は 関 係 各 所 へ の 連 絡 に 加 えて IPA セキュリティセンターに 所 定 の 形 式 38にて 届 出 をしていただきたい 39 詳 細 に 連 絡 していただくことで 今 後 の 対 策 について 適 切 なアドバイスができる 場 合 があ るので IPA へ 届 出 いただく 場 合 はできるだけ 詳 細 に 連 絡 していただきたい 不 正 アクセス 届 出 の 連 絡 先 e-mail crack@ipa.go.jp 電 話 03-5978-7509 FAX 03-5978-7518 113-6591 郵 送 東 京 都 文 京 区 本 駒 込 2-28-8 文 京 グリーンコート センターオフィス 16 階 IPA セキュリティセンター 不 正 アクセス 届 出 窓 口 宛 38 不 正 アクセス 届 出 様 式 :http://www.ipa.go.jp/security/ciadr/report.html 39 初 めは 第 1 報 としてご 連 絡 いただき 調 査 完 了 後 に 再 度 ご 連 絡 いただいても 構 わな い 第 1 報 の 段 階 でも 何 かアドバイスできることがあれば 連 絡 させていただく 場 合 が ある 25
5. まとめ 本 レポートでは IPA に 届 出 のあった 最 近 のウェブ 改 ざんにおける 事 例 の 分 析 を 対 策 を 添 えてレポートした (1) 最 近 のウェブ 改 ざんの 傾 向 2012 年 の 1 年 間 に IPA に 届 出 のあった 38 件 のウェブ 改 ざん 事 例 の 分 析 を 行 い 以 下 の ことが 分 かった 1 閲 覧 者 のパソコンのウイルス 感 染 狙 いのものと ページ 表 示 内 容 の 書 き 換 えが 多 い 2 ウェブ 改 ざんされた 原 因 として 脆 弱 性 を 悪 用 されたものが 多 い 3 ホスティングサービスを 利 用 したサイトからの 届 出 が 多 い (2) 事 例 分 析 と 対 策 提 示 脆 弱 性 を 悪 用 されたプログラムごとの 事 例 個 々の 被 害 事 例 人 的 要 因 が 原 因 となった 事 例 それぞれについて 分 析 した 上 で 対 策 を 提 示 した 1 脆 弱 性 悪 用 に 対 する 対 策 は 各 プログラムを 最 新 化 することが 基 本 となる またサ ーバー 上 で 動 作 するプログラムの 定 期 的 な 棚 卸 しも 有 効 である 2 自 社 開 発 のウェブアプリケーションを 使 用 したサイトの 場 合 は 脆 弱 性 を 作 り 込 ま ないことが 基 本 的 対 策 となる 40 多 段 防 御 策 として WAF の 導 入 41も 有 効 である 3 サーバー 上 の 対 策 のみならず コンテンツアップロード 用 パソコンのセキュリティ 対 策 も 必 須 である 4 実 際 に 対 策 を 行 うのは 人 間 その 人 間 が 過 信 慢 心 していたら 対 策 が 取 れなくなっ てしまう 管 理 者 の 誤 解 が 被 害 の 呼 び 水 となった 事 例 も 散 見 されたので 改 めて 管 理 運 用 やインシデント 対 応 などを 見 直 すことも 重 要 である 5 ホスティングサービス 業 者 選 定 時 には 業 者 の 作 業 範 囲 や SLA を 吟 味 することが 重 要 であり またサービス 利 用 時 には 業 者 の 作 業 範 囲 を 踏 まえた 上 で 自 組 織 で 実 施 する 必 要 がある 作 業 項 目 を 洗 い 出 しておくことが 重 要 である IPA では コンピュータウイルスや 不 正 なアクセスに 対 して 被 害 の 予 防 発 見 および 拡 大 再 発 防 止 を 行 い ウイルス 対 策 ソフト 会 社 との 連 携 や 関 係 機 関 との 連 携 を 進 めてい る 届 出 を 受 け 付 けるだけでなく 対 策 不 十 分 な 事 例 に 対 してはアドバイスを 行 うととも に コンピュータウイルスや 不 正 アクセスに 関 する 相 談 も 受 け 付 けているので 気 軽 に 連 絡 していただきたい 42 IPA では 今 後 も 継 続 して 情 報 を 収 集 分 析 し 関 係 各 機 関 と 連 携 し 安 心 して 情 報 システ ムが 利 用 できる 社 会 をめざす 所 存 である 40 ( 参 考 )IPA - 安 全 なウェブサイトの 作 り 方 http://www.ipa.go.jp/security/vuln/websecurity.html 41 ( 参 考 )IPA - Web Application Firewall 読 本 http://www.ipa.go.jp/security/vuln/waf.html 42 コンピュータウイルスや 不 正 アクセスの 届 出 にご 協 力 ください! ~ セキュリティに 関 する 相 談 も 受 け 付 けています ~ http://www.ipa.go.jp/security/txt/2012/08outline.html 26