piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

日産自動車の下取り参考価格シミュレーションサイトの改ざんをまとめてみた

2014年8月26日、日産自動車は同社が運営する自動車下取り参考価格を計算する「下取り参考価格シミュレーション」でWebサイトの改ざんが発生していたことを発表しました。ここではその関連情報をまとめます。

(1) 被害状況

被害を受けたWebサイト
  • 下取り参考価格シミュレーションサイト
    tradein.nissan.co.jp
  • 改ざんされていた期間:2014年6月30日 4時21分〜2014年8月22日 23時22分
  • 改ざんされていた期間のアクセス数:47,822件(報道による) *1
改ざんの内容
  • 改ざんされていた期間中にアクセスすると第三者のWebサイトに遷移される。
  • 当該サイトの閲覧行為を通じて意図しないファイルをダウンロード、実行させられた(ドライブバイダウンロード)可能性がある。
  • 2014年8月26日発表時点で他サーバーへの侵入や個人情報の漏えいは確認されていない。

(2) 発端

  • 8月21日に日産自動車が顧客から問合せを受けたことによると報道。*2
  • 8月22日に社内調査により被害を確認と報道。*3
  • 発見が2ヶ月近く遅れた理由は改ざん検知システムの監視対象に当該サイトが含まれていなかったためと報道。*4

(3) 原因

  • 調査中。
    • セキュリティ専門会社による調査が行われている。

(4) 対応

  • 改ざんされたWebサイト、及び同一サーバーで稼働していたWebサイト2つを停止。
    • 改ざん被害が確認されていないが停止されたサイト「他メーカー比較」
      comparison.nissan.co.jp
    • セキュリティ専門会社による詳細な調査を実施中。
  • 改ざん被害に関する発表。
  • 改ざん期間中に閲覧したユーザーに対してへウィルス対策ソフトによるスキャン実施を依頼。

インシデントタイムライン

日時 出来事
6月30日 4時21分 日産自動車 下取り参考価格シミュレーションのWebサイトが改ざんされる
8月21日 日産自動車が顧客からWebサイト改ざんに関する問い合わせを受ける
8月22日 日産自動車が社内調査により改ざんを確認
8月22日 23時22分 日産自動車が改ざんされたWebサイトを停止
8月26日 日産自動車が改ざん被害に関するお詫びを発表

以下は8月22日、23日時点のスキャン履歴からの情報です。

改ざん内容


  • 当該サイトのJavaScriptが改ざんされた可能性がある。

  • 再訪問時に30日以上経過していなければ第三者サイトへの接続は行われない。
  • 接続先URLはパーセントエンコーディングされているだけ。

接続先URL

tradein.nissan.co.jp(221.240.99.186)
→www.dwz.org.in/jp.php(106.186.28.41)
 →www.dwz.org.in/jps.php(106.186.28.41)
  →www.closeshopers.com(5.175.193.20)
   js.users.51.la(113.107.42.34)
   web.51.la:82(113.107.43.72)
   icon.ajiang.net(125.46.49.200)

  • dwz.org.in以降のIPアドレス等含めた接続先の情報は8月23日時点のurlquer.netのスキャン履歴による。

マルウェアに関する情報

ウィルス対策ベンダの発表
  • ESETでは以下の名前で検出される。
    • 改ざんされたWebサイト HTML/ScrInject.B
    • リダイレクト先からダウンロードされるマルウェア JS/Kryptik.ARR
    • JS/Kryptik.ARRと同タイプと推測される「JS/Kryptik」の概要は次の通り。

これは、HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの汎用検出名です。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりします。

http://canon-its.jp/product/nd/virusinfo/vr_js_kryptik.html
似たような事例を確認
  • Neutral8x9eRさんが類似事例を確認している。

  • 埋め込まれたと思われるJavaScriptコードは同じ。
  • ただし2回同じコードが挿入されているように見受けられる。(以下はハイスクールタイムス、URL Queryのスキャン結果より)


ハイスクールタイムス(株式会社キッズコーポレーション)

こんなつぶやきも


更新履歴

  • 2014/08/27 PM 新規作成
  • 2014/08/27 PM 改ざん検知が遅れた理由を追記。
  • 2014/08/28 AM 最新の情報を追記。
  • 2014/08/28 PM 最新の情報を追記。