ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2017-02-05

2月初めの複数の国内サイトの改ざんについてまとめてみた

| 02:10 |  2月初めの複数の国内サイトの改ざんについてまとめてみたを含むブックマーク

2月4日から複数のサイトが改ざんされる被害が発生しています。被害を受けたサイトの多くはWordPressで構築されているとみられ、Sucuriが2月1日に公開した脆弱性情報との関連が疑われます。ここでは改ざんの状況、脆弱性情報についてまとめます。

改ざん被害はWordPressに集中

2月4日11時頃よりZone-Hへ投稿される改ざん被害を受けたサイトの件数が増えているようです。

確認した改ざん事例では次のような「Hacked by〜」のような書き込みが行われていました。

事例(1) hacked by NG689Skw

f:id:Kango:20170206011958p:image:w300

事例(2) Hacked By SA3D HaCk3D / HaCkeD By MuhmadEmad

f:id:Kango:20170206011957p:image:w300

事例(3) hacked by magelang6etar

f:id:Kango:20170210161025p:image

事例(4) Hacked by RxR HaCkEr

f:id:Kango:20170210161024p:image

事例(5) Hacked By GeNErAL

f:id:Kango:20170210161023p:image

事例(6) Hacked By HolaKo

f:id:Kango:20170210161022p:image

事例(7) Hacked By Imam with Love

f:id:Kango:20170210161021p:image

事例(8) Hacked By BALA SNIPER

f:id:Kango:20170210161018p:image

事例(9) by w4l3XzY3

f:id:Kango:20170210161017p:image

事例(10) Hacked By Unknown

f:id:Kango:20170210161039p:image

被害件数は700サイト超

JPドメイン Web改竄速報 botさんがZone-Hへ投稿されるJPドメイン改ざんサイト件数の推移について投稿しています。

JPドメイン Web改竄速報 botさんの調査結果は「JPドメイン Web改竄速報」で公開されています。

「JPドメイン Web改竄速報」に公開されている情報を参考に改ざん被害を受けたサイトについて確認しました。

以下は2月6日 1時現在の状況です。

Zone-Hに投稿されたJPドメインのサイトの内、METAタグやURL等よりWordPressで構築されたとみられるWebサイト件数は185件確認できました。

f:id:Kango:20170206012836p:image:w360

またWordPressのバージョンは、不明分を除けば、4.7.0、4.7.1のいずれか*1と見られます。

f:id:Kango:20170206021728p:image:w360

改ざんは国内外で発生

Zone-Hへの投稿状況を見ると、同投稿者からは日本に限らず様々な国のサイトが投稿されています。

f:id:Kango:20170206091051p:image:w360

f:id:Kango:20170206091050p:image:w360

改ざん被害の報道

また関連不明ですが、Zone-Hに投稿されたサイトの他にも同時期に改ざんされたとして報道が出ています。

被害を受けたサイトのGoogleキャッシュを確認したところ、2月5日時点でWordPress 4.7.0が使用されていたようです。

f:id:Kango:20170206012521p:image

この他にも次のサイトが改ざんの被害を受けたとして報道されています。

東京五輪パラリンピック担当大臣公式サイトも被害

f:id:Kango:20170206224902p:image:w450

丸川珠代五輪担当大臣の公式サイトも改ざん被害を受けています。既に改ざんされたコンテンツは削除され、取材に対しても被害事実を認めるコメントをしているものの、被害を受けた公式サイト上でのアナウンス(改ざん被害を受けた原因など)は現在のところ確認できませんでした。*10

改ざん被害に対するお知らせ

WordPressのコンテンツインジェクションの脆弱性

改ざんされた多くのサイトに共通するWordPress 4.7.0/4.7.1ですが、2月1日にSucuriがWordPressにコンテンツインジェクションが可能な脆弱性が4.7.0、4.7.1に存在し、1月26日公開された4.7.2でこれが修正されたことを2月1日に明らかにしています。

被害を受けたサイトの状況とタイミングから見てこの脆弱性が悪用された可能性があります。

脆弱性の影響
  • REST APIを介し、認証されていないユーザーによりWordPress上で公開されているページやコンテンツが改ざん(投稿の表示、編集、削除、作成)される恐れがある。
影響を受けるバージョン
対策
回避策

4.7.0以降実装されたREST APIを無効化するプラグイン適用する。(REST APIを無効化により脆弱性の影響を受けなくなることを確認済み。)

脆弱性タイムライン

日付出来事
2016年12月6日WordPress 4.7.0(Vaughan)がリリース。REST APIがこのバージョンより実装。
2017年1月20日SucuriがWordPress脆弱性情報を通知。
2017年1月25日までWordPressホスティングサービス等で当該脆弱性を悪用された痕跡は確認されず。
2017年1月26日脆弱性を修正したWordPress 4.7.2が公開。
2017年2月1日SucuriがWordPressのコンテンツインジェクションの脆弱性について脆弱性情報を公開。
2017年2月3日8時半時頃より複数のサイトで改ざん被害が発生。
2017年2月6日IPAJPCERT/CC脆弱性の注意喚起を掲載。

経過時間視点でまとめたタイムラインは以下の通り。

f:id:Kango:20170208222706p:image:w550

WordPress.Org
Sucuri

注意喚起

脆弱性の検証レポート

攻撃の観測

その他

Exploit Code /PoC

Python

Ruby

更新履歴