ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2015-03-11

「Hacked by Islamic State」と改ざんされた国内のウェブサイトについてまとめてみた。

| 01:49 |  「Hacked by Islamic State」と改ざんされた国内のウェブサイトについてまとめてみた。を含むブックマーク

2015年3月5日頃から国内外の複数のウェブサイトを対象に、「Hacked by Islamic State」等と改ざんされるインシデントが相次ぎました。ここでは関連情報をまとめます。

注意喚起

国内で被害を受けたウェブサイト一覧

改ざんパターン(1)のサイト
改ざん時期地域被害組織公式発表fancybox for WP
利用有無
2015年3月8日東京府中アスレティックFC3月8日 府中アスレティックFC 公式HP復旧のお知らせ利用あり
兵庫西宮観光協会3月11日 「西宮まちたび博」ホームページ復旧のお知らせ利用あり
東京銀一「thinkTANK photo」サイト3月11日 Facebook 投稿発表あり利用あり
北海道加森観光「ルスツリゾート公式HP」3月11日 ルスツリゾート公式ホームページの障害について利用あり
(キャッシュより確認)
福岡福岡市「クリエイティブ福岡推進協議会」3月13日 クリエイティブ・ラボ・フクオカ HP復旧のお知らせ利用あり
(キャッシュより確認)
不明Japan Enduro Championship 2014公式発表無し?利用あり
東京ソルズカフェ公式発表無し?利用あり
(キャッシュより確認)
千葉県CatFishClub「ハッピーコスチューム」3月12日朝時点で改ざんされたまま利用あり
新潟スリーク公式発表無し。(3月12日時点でメンテ中)確認できず
不明東京チャンピオン株式会社「HeartFilms」3月12日朝時点で改ざんされたまま利用あり
不明東京マーブルデザインラボ公式発表無し?利用あり
(キャッシュより確認)
改ざんパターン(2)のサイト
改ざん時期地域改ざんされたURL公式発表Slider Revolution
利用有無
2015年3月5日(推定)不明relation-ms.jp不明不明
不明muzic.jp不明不明
茨城BearTail(beartail.jp)公式発表無し利用あり
2015年3月7日(推定)不明ムラサキスポーツ「the SUNS」公式発表無し? *1不明

警察庁はこれらウェブサイト等、5都道府県8サイトでの被害を把握していると報道あり。*2


補足(1) 改ざんは3月5日時点で確認されていた

3月8日に初めて被害が確認されたかのような報道もありますが、Zone-hへ登録された情報を見ると3月5日頃から既にこの改ざん行為が行われていた可能性があります。

f:id:Kango:20150312093827p:image


2015.03.12 以下の記述を追記しました。

補足(2) 類似の改ざん事例は世界中で確認されている

「Hacked by IslamicState」、あるいはそれに類似した改ざんは世界中のウェブサイトで確認されています。*3主に国内のウェブサイトでの被害が報じられていることから日本だけが狙われたかのように考えてしまいがちですが、脆弱性が残存していたサイトが攻撃を受けただけで日本を特定のターゲットとしているわけではないと考えられます。

補足(3) 一連の改ざんが同一グループか、ISが関与していたかは不明

zone-hのWebサイトにはNotifier(報告者)欄に「IslamicState」と記述があるため、一見してこれら全てが同一グループによる改ざんが行われたかのように見えますが、改ざんを行ったのが全て同一人物(グループ)によるものか、そしてzone-hへ登録を行った人が改ざんを行った人物(グループ)と同一かどうか確認されているわけではありません。

また一連の改ざんではISの関与を示す情報は確認されておらず、無関係の可能性も考えられます。例えば@ntsujiさんが報告している改ざんパターン(3)では「Islamic State」といった文言すら入っていません。*4 警察庁も今回の改ざんについて、ISが直接的に関与していたかについては「可能性は低い」との見解をしていると報道があります。*5

発端

対象ウェブサイトのトップページ、あるいは特定のページが改ざんされたことによる。幾つかのパターンが確認されている。

改ざんパターン(1)

改ざんされたウェブサイトにおいて、ページ上部に次のような画像が表示、かつ音楽が再生される。埋め込まれた画像をクリックするとFacebookサイトに誘導されるとの報道があったが、手元の環境では確認ができなかった。

f:id:Kango:20150312004254p:image:w300

改ざんパターン(2)

「Hacked by Islamic State (ISIS)」とテキストだけが表記される。

f:id:Kango:20150312093609p:image:w300

改ざんパターン(3)

(1),(2)とは別パターン。「IslamicState」といった文言も入っていないため、他事例との関係性も不明。またどのようにして改ざんされたかについても明らかになっていません。以下@ntsujiさんのつぶやきの一部引用。

原因

Wodpress プラグイン「Fancybox」「Slider Revolution」の既知の脆弱性を修正していなかったため。*6 (一部サイトでは原因不明の改ざん事例も確認されている。)

改ざんパターン1のソース

改ざんされたページのソースを見ると「Fancybox」の箇所に埋め込まれていることが分かる。

f:id:Kango:20150312004256p:image:w600

(1) Fancybox for Wordpress脆弱性

Fancybox for Wordpress に任意のスクリプトやコンテンツを挿入できる脆弱性

影響バージョン
  • Wordpress Fancybox 3.0.2 以前のバージョン(2015年2月4日以前のバージョン)
解決策
  • Fancybox for Wordpress を更新し、最新版(3.0.4以上)を利用する。
回避策

3.0.4

Renamed the setting affected by the security issue mentioned in 3.0.3. This should stop the malicious code from appearing on sites where the plugin is updated without removing the malicious code.

https://wordpress.org/plugins/fancybox-for-wordpress/changelog/
関連情報
(2) Slider Revolution脆弱性

Slider Revolutionに外部からローカルのファイル読み込み(LFI)が可能な脆弱性

影響バージョン

当該プラグインがThemeにバンドルされているケースがある模様。この場合、Slider Revolutionプラグインとして入っていることを認識できない? 以下のURLで影響を受けるThemeを確認することができる。

解決策
  • Slider Revolutionを更新し、最新版(修正版は4.2以上)を利用する。
  • Themeにバンドルされている場合は当該テーマを最新に更新する。
回避策
関連情報

タイムライン

日時出来事
2014年2月Slider Revolution脆弱性を修正した4.2が公開
2014年9月1日ExploitDBにSlider Revolutionに起因する脆弱性のExploitが登録
2014年9月3日SucuriがSlider Revolution脆弱性を突く攻撃を確認していると報告。
2014年12月15日SucuriがSlider Revolution脆弱性悪用した侵害が多発していると報告。
2015年2月頃WPのフォーラムにFancyboxを原因とする改ざんについての投稿
2015年2月4日SucuriがFancyboxにゼロデイの脆弱性があり、攻撃が行われていることを取り上げる。
2015年2月5日Fancyboxの脆弱性を修正した3.0.4が公開
2015年3月5日IslamicStateという改ざんが行われ始める。
2015年3月8日国内サイトでも改ざんが確認される。
2015年3月11日11日午前の記者会見官房長官改ざん事案について重要インフラ事業者へ周知する等のコメント*7

謝辞

このまとめは次の方の情報により、修正・更新を行っています。

  • @ntsujiさん
  • @leighbhroganさん
  • @kitagawa_takujiさん

更新履歴

  • 2015年3月12日 AM 新規作成
  • 2015年3月12日 AM 改ざんパターン増加に伴い追記。
  • 2015年3月12日 PM 同一グループによるものかのように誤解を招く記載となっていたため加筆修正。