piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

日本バスケットボール協会のWebサイト改ざんとIEの脆弱性CVE-2014-0324が悪用された水飲み場型攻撃 Operation Backdoor Cutをまとめてみた

インシデントまとめ

日本バスケットボール協会はWebサイトが改ざんされたと発表しました。この改ざんは、IE脆弱性を突く水飲み場型攻撃で悪用されたとSymantecが報告しています。ここではその関連情報をまとめます。

概要

2014年5月9日、日本バスケットボール協会は同協会の公式Webサイトが改ざんされたことを発表しました。また第二報として改ざん期間について調査した結果を5月22日に公開しました。

この改ざんは海外のサイトへ誘導するスクリプトが埋め込まれるといったものであり、海外のサイトに接続していた場合、2014年2月当時未修正であったIE脆弱性(CVE-2014-0324)が突かれ、何らかのマルウェアに感染していた可能性があります。
Symantecはこの攻撃について2月中旬から把握をしており、3月12日にIE脆弱性を用いた攻撃が行われていることに関する注意喚起、そして5月8日に攻撃に関する詳細な情報を公開しました。この攻撃について、Symantecは「Operation Backdoor Cut」と命名しています。

(1) 被害状況

  • 同協会調査結果では2回の改ざんが行われた。
    • 1回目の改ざん期間 2014年2月9日頃〜2014年2月27日17時41分頃*1
      • 2014年2月19日からの約8日間合計で約5万5000件のアクセスがあった。
      • Symantecの調査によればこの期間内に1度修正が行われ、合計2回の改ざんが行われた模様。
    • 2回目の改ざん期間 2014年3月11日頃〜2014年3月12日16時27分頃
  • JBAのデータが盗み出された形跡は確認出来ていない。*2

(2) 発端

  • 最近になってこの事実が発覚した模様。*3

(3) 原因

  • 三者が外部インターネットサービス等から不正にアクセスしたため。
  • 特定のファイルがかいざんされたため。
  • 詳しい原因については第二報でも調査中となっている。

(4) 対応・対策

対応
  • HP改ざんに関する情報の公開
  • 改ざん箇所の修復
  • 改ざん期間の閲覧者へウイルス対策ソフトによる感染確認・駆除の呼びかけ。
対策
  • セキュリティおよび監視の強化
  • 不正アクセスを受けた原因についての調査継続
  • 警察へ相談の検討

「Operation Backdoor Cut」に関連する情報

Symantecから次の情報が公開されています。

簡易まとめ
  • JBAのWebサイトは別サイトに接続するiframeタグが埋め込まれただけと思われる。
  • JBAのWebサイトから韓国のWebサイトに誘導された。
  • 誘導先のWebサイトでIE 0day(当時)が悪用されていた。
  • 誘導先へのトラフィックSymantecが確認できた範囲ではJBAのみ。
  • 期間が限定的であったためかSymantecはサーバーからペイロードを取得することが出来なかった。
  • JBAが狙われたのはスポーツ関係者とつながりのある政府関係者、または2020年の東京五輪関係者を狙うためであった可能性がある。
接続先情報

不正なコンテンツが設置されていた可能性のあるWebサイト

JBA Webサイト改ざん当時の状況
Backdoor Cutの意味

IE脆弱性 CVE-2014-0324に関連する情報

SymantecMicrosoftの情報によれば次のような特徴があります。

  • 昨年秋ごろに悪用されたIE脆弱性 CVE-2013-3897とコードが類似している。
  • Officeとの組み合わせによる攻撃ではASLRのバイパスにOfficeのhxds.dllが用いられる。*5
    • Officeとの組み合わせによる攻撃はWindows7を対象に行われた。
    • 2013年12月に公開されたMS13-106でhxds.dllを用いたASLRバイパスが出来なくなっている。
    • 2014年2月〜3月当時において全ての更新プログラムがインストールされていればこの組み合わせによる攻撃の影響を受けなかった可能性がある。
  • MS14-012の謝辞にCVE-2014-0324に関する掲載は行われていない。
脆弱性識別情報
脆弱性の影響対象・攻撃範囲

脆弱性の影響対象、攻撃対象は次の通り。

IEバージョン CVE-2014-0324の影響対象 Operation Backdoor Cutでの攻撃
IE6 対象外
IE7 対象外
IE8 対象 確認されている
IE9 対象 確認されていない
IE10 対象 確認されていない
IE11 対象 確認されていない

またIE8でJBAのWebサイトを閲覧した際に影響を受けたかについてSymantecによれば次の通り。

OS 影響有無 攻撃成立条件
Windows XP 影響を受けた可能性 英語版、日本語版のいずれかであること
Windows Vista 影響を受けなかった可能性
Windows 7 影響を受けた可能性 Office2007/2010がインストールされていること
MS13-106がインストールされていないこと
32bit版であること
Windows 8(8.1) IE8に対応していない

インシデントタイムライン

  • 2014/02/19
    • JBAのWebサイトが改ざんされる(1度目の改ざん)
  • 2014/02/27
    • (JBAが?)Webサイトの改ざんを修復した
  • 2014/02下旬
    • JBAのWebサイトが再び改ざんされる(2度目の改ざん)
  • 2014/03/11
    • MicrosoftMS14-012を公開し、CVE-2014-0324が修正された。
    • JBAのWebサイトが再々び改ざんされる(3度目の改ざん)
  • 2014/03/13
    • SymantecがBlogでCVE-2014-0324を悪用する攻撃が行われていることを報告。
  • 2014/05/08
    • SymantecがBlogで当該脆弱性を悪用する攻撃に関する詳細情報について公開。
  • 2014/05/09
  • 2014/05/22

更新履歴

  • 2014/05/09 PM 新規作成
  • 2014/05/09 PM 最新情報の反映、OS別の影響について一部修正
  • 2014/05/26 PM 第二報公開に伴う情報反映

*1:バスケ協会のホームページ改ざん 東京五輪標的か,NHK,2014/05/09アクセス:魚拓

*2:バスケ協会のサイト改ざん 個人情報を盗む狙いか,共同通信,2014/05/09アクセス:魚拓

*3:バスケ協会のHP改ざん,時事通信,2014/05/09アクセス

*4:@0x009AD6_810さんの情報より。

*5:When ASLR makes the difference,Microsoft,2014/05/09アクセス