piyolog

国内ホスティングのっとりを主張する投稿について調べてみた

調べてみた | 00:11 |

2019年1月19日、SNS上で日本国内のホスティングをのっとり、大量のサイトを改ざんしたと主張する投稿がありました。1月22日22時時点でこの主張を確定的に裏付ける公開された情報は確認ができていませんが、ここでは関連する情報をまとめます。

「Legion BOmb3r」がホスティングハイジャックを主張

• 1月19日12時頃「Japanese Hosting Hijacked By Legion BOmb3r」というタイトルでPastebin上に大量のWebサイトの一覧が掲載された。
• 内容は国内のホスティングをハイジャックし5000件以上のサイトを対象にしたと主張するものであった。

• 1月19日13時過ぎにFacebookページ「ErrOr SquaD」でPastebinに掲載した内容を宣伝する投稿が行われた。

改ざんしたと主張するサイト数 5000件以上

• Pastebin上に掲載されたWebサイトの件数は5,052件。
• ほぼ全てのサイトにBD.htmlを蔵置したとしてこれを含むURLを掲載されている。

• 主なドメインの内訳は以下の通り。

ドメイン	件数
.go.jp	1件
.ac.jp	1件
.co.jp	2,473件
.com	1,002件
.net	81件
.ne.jp	5件
.or.jp	118件

• 以下10件はドメインとして記述されたものではなかった。

http://localhost/BD.html（4件存在）
http://data/BD.html（2件存在）
http://wp-print.php/BD.html
http://LS/BD.html
http://output2.txt/BD.html
http://BD.html/BD.html

確認したキャッシュ

• 1月22日22時時点でリスト掲載のWebサイトすべてから主張するファイルの蔵置は確認ができなかった。
• zone-H上に大量にこの件に関連する投稿が行われていた。*1

• 検索キャッシュにも216.230.250.172をIPアドレスとするサイトについてHTML蔵置の痕跡らしき結果が残っていた。

掲載されたGO.JPドメイン

• リストに掲載されたgo.jpドメインは「sapoin-mtech.go.jp」
• 経産省の戦略的基盤技術高度化支援事業（サポイン事業）に関連するものとみられる。
• 過去利用されていたとみられるURLにアクセスしたところ「Maintenance mode」と表示されていた。(関連があるかは不明)
• このURLには1月22日23時時点で接続ができなくなっている。

蔵置されたとみられる「BD.html」の内容

• 「BD.html」は誰による改ざんかなど記述されたものとみられる。(piyokangoは一部のみ確認。)
• 閲覧時音楽(Youtube)が再生されるが、マルウェアなど悪作用するものは確認できなかった。

• 以下のスクリーンショットはzone-h上に残されていたミラーから。

リスト掲載サイト IPアドレスは特定事業者に偏り

• 5,042件のドメインから142個のIPアドレスを確認することができた。
• 以下の4つのアドレスで約96%（4,868件）を占めていた。

IPアドレス	件数
216.230.250.172	1,290件
216.230.250.183	1,240件
216.230.250.188	1,181件
216.230.250.168	1,157件

• この4つのアドレスは逆引きで「*.alpha-lt.net」が返される。
• これらは大塚商会の提供するホスティングサービスに関連するものとみられる。
• 大塚商会のWebサイトなどでこの件に関連する情報は確認できていない。

謝辞

この記事は次の方の調査協力により作成したものです。ありがとうございます。

• NICT サイバーセキュリティ研究室 寺田氏

更新履歴

• 2019年1月23日 AM 新規作成
• 2019年1月23日 AM 改ざんされた当時とみられるキャッシュ追記

ツイートする