ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2015-07-23

日産販売会社の採用サイト改ざんをまとめてみた

| 01:44 |  日産販売会社の採用サイト改ざんをまとめてみた - piyolog を含むブックマーク

日産グループの販売会社は採用者向けに公開しているWebサイト改ざんされたとして2015年7月頃に発表しました。ここでは関連情報をまとめます。

公式発表

日産販売のWebサイト改ざんされていたことを教えていただきました。

日産販売の採用者向けサイトは複数存在し、次のリンクに一覧が掲載されています。

この内、教えていただいた会社を含む次の3社で改ざんされたとの発表文が掲載されていることを確認しました。

日産大阪販売の公式発表を引用します。

6月25日(木)~7月10日(金)に当ホームページを閲覧されたお客さまへ

 

上記期間において、当ページが第三者による不正なアクセスを受け、一部プログラム改ざんされていることが判明しました。この期間に当ページにアクセスされた可能性があるお客さまにおかれましては、誠にお手数ですがお手持ちのセキュリティソフトを最新の状態にし、ウイルス感染確認の実施を行っていただきますようお願い致します。お客さまには、多大なご迷惑、ご心配をおかけしましたことを深くお詫び致します。

 

お問い合わせ先:日産販売会社グループ採用事務局 0120-978-408

https://www.d-saiyo.nissan.co.jp/d/2600/

改ざんされた時期は3社で異なります。

日産販売URL改ざん時期
日産大阪販売株式会社www.d-saiyo.nissan.co.jp/d/2600/2015年6月25日〜7月10日
山形日産自動車株式会社www.d-saiyo.nissan.co.jp/d/161/2015年6月16日〜7月10日
日産プリンス福岡販売株式会社www.d-saiyo.nissan.co.jp/d/1901/2015年6月11日〜7月10日

改ざん方法はタイトル部へiframeの埋め込み

いずれの3社も既に修正されていたことからキャッシュより改ざんの状況を確認しました。いずれもタイトル部分にIframeで外部サイトが埋め込まれていました。

キャッシュからは2つのドメインを確認しています。いずれもドメインはまだ生きているのでアクセスはしないでください。(ngrokのドメインは現在Safebrowsingで警告表示が出ます。)

埋め込まれていた先外部ドメイン
日産大阪販売株式会社
日産プリンス福岡販売株式会社
www[.]paramerat[.]com
山形日産自動車株式会社tokyojin[.]ngrok[.]io
日産大阪販売株式会社

f:id:Kango:20150724004542p:image

山形日産自動車株式会社

f:id:Kango:20150724004749p:image

日産プリンス福岡販売株式会社

f:id:Kango:20150724004647p:image

複数の改ざん方法を確認

改ざんされた内容で複数のケースを確認しました。URLは違いますが、6月28日時点のキャッシュではHTMLファイルが埋め込まれているもの、7月8日時点ではSWFファイルが埋め込まれているのを確認しています。

index.htmlが埋め込まれているケース (6月28日のキャッシュ)

f:id:Kango:20150724005118p:image

movie.swfが埋め込まれているケース (7月8日のキャッシュ)

f:id:Kango:20150724005119p:image

埋め込まれていたものはExploitコードやそれを読み込むWebサイトの可能性

index.htmlインターネットアーカイブに残っており、ファイル内容を確認することが出来ました。HTMLファイルの中身はJavaScriptで書かれたもので、興味深いことにコメント欄に数か所中国語が記載されていることを確認しました。

f:id:Kango:20150724005505p:image

JavaScriptで実装された内容は何らかの脆弱性を付くものと推定されますが、手っ取り早くJavaScript部分だけ切り出しVirustotalにかけた結果は次の通りです。確証はないものの、MicrosoftCVE-2013-2551のExploitコードに由来する検知名で検出をしています。

f:id:Kango:20150724005710p:image

CVE-2013-2551は2013年5月にMS13-037で修正されたInternetExplorerの脆弱性です。

次にmovie.swfですが、これは2015年7月に国内で複数確認されているAdobe FlashPlayerの脆弱性をつくSWFファイルと推定されます。VirustotalではこのURLから7月14日以降にアップされたSWFファイルを確認しました。「flash_exploit_002」とあることから少なくともこのSWFファイルはCVE-2015-5122のExploitコードを含むものと思われます。

f:id:Kango:20150724014320p:image

ただ、改ざん時期(7月8日)、Exploitコードが出回った時期(7月11日前後)、VTアップロードされた時期(7月14日)、これらのタイミングがずれているため、SWFファイルが差し替えられている可能性は考えられます。

尚、日産プリンス福岡販売株式会社では「Yhewk.html」といったファイル名の埋め込みを確認していますが、キャッシュアーカイブを確認出来ておらず、具体的な手口については調べられていません。

謝辞

このまとめは次の方から頂いた情報、及び調査協力を得て作成しています。ありがとうございます。

  • @liina_3さん
  • @ntsujiさん
  • AJさん

更新履歴