piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

EmEditor更新時にマルウェア感染の可能性があったIPアドレスを調べてみた

インシデントまとめ

8月18日にEmurasoftは同社が開発、販売しているテキストエディタEmEditor」において、ソフトウェアの更新機能を使用した際にマルウェアに感染する可能性があったことを発表しました。ここでは関連情報をまとめます。

概要

8月13日にEmurasoftが同社のWebサイトが不正アクセスを受け、情報が漏えいした可能性があることを発表しました。さらにその5日後の8月18日にEmEditorの更新チェックを行った際にマルウェアに感染する可能性があったことを発表しました。尚、この記事中の日付は日本時間として記述していますが、前後している可能性もあり参考程度として下さい。

公式発表

Emurasoft Webサイト 不正アクセス関連
EmEditor 更新チェックによるマルウェア感染の可能性関連

1.Emurasoft Webサイト不正アクセスインシデント

(1) 被害状況

被害内容
  • フォーラム利用者の以下の情報を盗もうとする痕跡が確認されている。
    • ユーザー名
    • パスワード(平文か、暗号化されているのかは発表されていない)
    • IPアドレス
  • 発覚当初Webサイトが改ざんされていたため、管理者がログインすることが出来なかった。

(2) 発端

  • ハッカーによる悪意のあるコードの痕跡が確認されたため。

(3) 原因

  • Emurasoftからは発表されていない

(4) 対応

  • Webサイトの緊急的な停止措置(現在は復旧)
  • サーバー管理会社と協力し、原因の調査及びクリーンアップ作業を実施
    • すべてのWebサイトに問題がないことを確認
  • Webサイト利用者のパスワードをリセット(強制変更)
  • フォーラム利用者へパスワード変更を呼びかけ
  • フォーラム新規ユーザーの自動登録の停止
  • Webサイトへの不正アクセスについて発表

2.EmEditor 更新サイト改ざんインシデント

(1) 被害状況

  • 発生日時 2014年8月18日 22時36分〜8月19日 3時20分(日本時間)
    • 発生日時の判断基準はサーバー管理会社の最新のバックアップが8月18日 22時36分であり、そこに不審なファイルが含まれていなかったことによる。
被害内容
  • EmEditorの更新チェックを行った際にマルウェアに感染する可能性があった。
    • Emurasoftは2014年8月20日現在、この改ざんによる感染事例の報告ないと発表している。
    • 同社のWebサイトへアクセスしただけであればマルウェアに感染することはない。
  • 不正アクセス元により設置されたファイル(editor.txt)をEmurasoftが削除してしまっていたことにより被害詳細については不明。
影響を受けた可能性のある対象

以下のすべての条件を満たした場合に影響を受ける可能性がある。

  • (1) 当該期間においてEmEditorを起動した。
  • (2) Emurasoftが発表している特定のIPアドレス経由でインターネットを使用していた。
  • (3) 以下のいずれかの利用者であった。
    • EmEditor Professional版を使用している。
    • EmEditorを2014年7月19日以降にインストールしてそのまま使用している。
  • (4) 更新機能を次の様に設定・実行した。
    • 自動更新機能を有効にしていた。
    • 手動更新により、感染可能性のある時間帯にチェックを行った。
  • 更新チェックはEmEditorを起動しなければ実行されない。
  • インストール直後から30日間は試行版としてProfessional版が利用可能である。
  • ポータブル版で利用している場合は更新チェック機能は無効化されているため対象外と思われる。
  • Free版には自動更新機能が存在しないため対象には含まれないと思われる。
  • 自動更新は最新版が存在するかのチェックに留まり、ダウンロード、及びインストールは既定で無効にされている。

  • どのエディションを使用しているか確認するにはヘルプからEmEditorのバージョン情報を参照する。


更新時にマルウェアがダウンロードされる可能性のあったIPアドレス
  • Emurasoftは特定のIPアドレスから接続が行われた際マルウェア感染する可能性があったことを発表している。
    • 特定のIPアドレスで接続を行った際、リダイレクトが行われるようになっていた。
    • 特定のIPアドレスのみリダイレクトされた理由は不正アクセス元により.htaccessファイルが配置されていたことによるもの。
  • Emurasoftは特定IPアドレスのリストを2つ公開している。
    • 1) 1行あたり最大256個の範囲を示すIPアドレスのリスト
    • 2) 1行あたり1個(または2個)を示すIPアドレスのリスト
  • その後JPCERT/CC等の調査により、改ざんされた期間中にリダイレクトされたIPアドレスが2件存在することが発表された。
Emurasoftが公開した特定のIPアドレスのリストがどこなのか調べてみた
  • どのような組織のIPアドレスなのか簡単に確認。
  • 1行当たり1個のリストで判別がつかない組織は不明とした。
  • 8月13日の不正アクセスの際、IPアドレス情報を盗もうとしていたと発表があることから盗んだ情報を元に不正アクセス元が何らかの理由によりリダイレクトをかけていた可能性が考えられる。
  • 1行あたり最大256個の範囲を示すIPアドレスのリスト



(2) 発端

  • EmEditorのWebサイト上(サブフォルダ)に悪意のあるファイルが設置されていたことによる。
    • Webサイトへ.htaccessファイル、及び www.emeditor.com/pub/rabe/editor.txtが設置されていた。

(3) 原因

  • Emurasoftはどのようは方法を用いてファイルを設置したか把握できていない。
    • あくまでも可能性としてXoops脆弱性について取り上げている。
    • 攻撃の痕跡として8月上旬からWebアクセスやFTPのログイン試行が行われている痕跡が確認された。
    • FTPログインはいずれも失敗している。

(4) 対応・対策

  • マルウェア感染の可能性について発表。
  • Xoopsの古い外国語ページの削除。
  • .htaccessファイルや不審なファイル(editor.txt)の削除。
  • サーバー管理会社による完全な再スキャンを実施し正常であることの確認。
  • 今後の対策についての調査・検討
    • デジタル署名を用いたアップデート検証の実現可能性
    • Wordpressを使用しないWebサイトへの移行の検討
    • サーバーホスティング業者の変更の検討
  • JPCERT/CCへログ解析を依頼
  • EmEditorの更新チェック機能を無効化(v14.5.4より)
他組織の動き

いくつかの専門の組織、ベンダが(電話会議やメール等を通じて)動いている模様。

(5) 接続先に関する情報

EmEditor更新チェック時の接続先情報
  • インストール先のフォルダに存在する「eeupdate.ini」の以下のURLと思われる。
  • EmEditorAdvanced Installerで作成した更新チェック機能を使用している。
    • Emurasoftは当該ソフトウェアの開発元へマルウェアのインストールされる可能性、デジタル署名による検証確認の手段について確認。
    • マルウェアがインストールされる可能性はあるが、Emurasoftのデジタル署名が付いていないため、インストーラーのダイアログやUACが表示されると回答があった。
正規のアップデート接続先URL

www.emeditor.com/pub/updates/(更新定義ファイル名)

  • 更新定義ファイル名

emed32_updates.txt
emed64_updates.txt
emed32_updates_ja.txt
emed64_updates_ja.txt

不正アクセス元により追加されたリダイレクト先URL
  • 特定のIPアドレスからアクセスが行われていた際にリダイレクトされていたURL。

www.emeditor.com/pub/rabe/editor.txt

(6) マルウェアに関する情報

  • 不正アクセス元が設置されたと思われるeditor.txtの中身をEmurasoftが確認できていないため、本当にマルウェアであったのか等の詳細は不明。

インシデントタイムライン

日付 出来事
8月13日 EmurasoftのWebサイトが不正アクセスを受け、情報漏えいした可能性がある。
8月14日 Emurasoftが同社Webサイトへ不正アクセスがあったことを発表。
8月15日 Emurasoftが不正アクセスに関する続報、及びパスワードの変更を呼びかけ。
8月18日 22時36分 サーバー管理会社がEmurasoftのWebサイトのバックアップを取得。
この間 EmEditorの更新チェックを行った際にマルウェア感染する可能性。
不正アクセス元により.htaccessや不審なファイル(editor.txt)が設置されたと推測される。
8月19日 3時20分 Emurasoftが不審なファイルの設置に気付き、これらを削除。
8月19日 EmurasoftがEmEditorの更新情報を格納したサーバーに不正アクセスがあり、マルウェアに感染する可能性があったと発表。
8月20日 Emurasoftが不正アクセスの被害詳細について続報を発表
8月21日 Emurasoftが更新チェッカーの機能を無効したEmEditorの最新版を公開
8月22日 Emurasoftが不正アクセスの被害詳細について続報を発表
8月29日 Emurasoftが同社Webサイト(emeditor.com)をSSL
10月3日 EmurasoftがJPCERT/CCより受けた不正アクセスの最終調査報告を発表

謝辞

このまとめは次の方より頂いた情報を元に修正・追記を行っています。ありがとうございます!

更新履歴

  • 2014/08/20 AM 新規作成
  • 2014/08/20 AM 不正アクセス詳細の発表を受け更新
  • 2014/08/20 PM IPアドレスのリスト(@fj_twtさんからの情報)を更新、一部表現箇所の修正
  • 2014/08/20 PM 一部表現箇所の修正
  • 2014/08/21 AM 影響を受ける時間が誤っていたため修正、一部情報(IPアドレス数)を追記。
  • 2014/08/22 PM 最新の情報を反映。

*1:計算して算出したと思われる

*2:「EmEditor」の更新機能でマルウェア感染のおそれ - 特定IP狙われる,Security-NEXT,2014/08/21アクセス:魚拓