2014年8月26日、日産自動車は同社が運営する自動車下取り参考価格を計算する「下取り参考価格シミュレーション」でWebサイトの改ざんが発生していたことを発表しました。ここではその関連情報をまとめます。
(1) 被害状況
被害を受けたWebサイト
改ざんの内容
- 改ざんされていた期間中にアクセスすると第三者のWebサイトに遷移される。
- 当該サイトの閲覧行為を通じて意図しないファイルをダウンロード、実行させられた(ドライブバイダウンロード)可能性がある。
- 2014年8月26日発表時点で他サーバーへの侵入や個人情報の漏えいは確認されていない。
(2) 発端
(3) 原因
- 調査中。
- セキュリティ専門会社による調査が行われている。
(4) 対応
- 改ざんされたWebサイト、及び同一サーバーで稼働していたWebサイト2つを停止。
- 改ざん被害が確認されていないが停止されたサイト「他メーカー比較」
comparison.nissan.co.jp - セキュリティ専門会社による詳細な調査を実施中。
- 改ざん被害が確認されていないが停止されたサイト「他メーカー比較」
- 改ざん被害に関する発表。
- 改ざん期間中に閲覧したユーザーに対してへウィルス対策ソフトによるスキャン実施を依頼。
インシデントタイムライン
| 日時 | 出来事 |
|---|---|
| 6月30日 4時21分 | 日産自動車 下取り参考価格シミュレーションのWebサイトが改ざんされる |
| 8月21日 | 日産自動車が顧客からWebサイト改ざんに関する問い合わせを受ける |
| 8月22日 | 日産自動車が社内調査により改ざんを確認 |
| 8月22日 23時22分 | 日産自動車が改ざんされたWebサイトを停止 |
| 8月26日 | 日産自動車が改ざん被害に関するお詫びを発表 |
以下は8月22日、23日時点のスキャン履歴からの情報です。
改ざん内容
- urlqueryに以下の記録有り。
- 2014年8月22日 2時28分履歴 http://www.urlquery.net/report.php?id=1408692576542
- 当該サイトのJavaScriptが改ざんされた可能性がある。
接続先URL
tradein.nissan.co.jp(221.240.99.186)
→www.dwz.org.in/jp.php(106.186.28.41)
→www.dwz.org.in/jps.php(106.186.28.41)
→www.closeshopers.com(5.175.193.20)
js.users.51.la(113.107.42.34)
web.51.la:82(113.107.43.72)
icon.ajiang.net(125.46.49.200)
- dwz.org.in以降のIPアドレス等含めた接続先の情報は8月23日時点のurlquer.netのスキャン履歴による。
マルウェアに関する情報
- ESETはリダイレクト先からマルウェアがダウンロードされると発表している。
- 無題な濃いログさんの記事で最終的に遷移するURLでドライブバイダウンロードが行われる可能性について取り上げている。
ウィルス対策ベンダの発表
- ESETでは以下の名前で検出される。
- 改ざんされたWebサイト HTML/ScrInject.B
- リダイレクト先からダウンロードされるマルウェア JS/Kryptik.ARR
- JS/Kryptik.ARRと同タイプと推測される「JS/Kryptik」の概要は次の通り。
これは、HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの汎用検出名です。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりします。
http://canon-its.jp/product/nd/virusinfo/vr_js_kryptik.html
似たような事例を確認
- Neutral8x9eRさんが類似事例を確認している。
— Neutral8x9eR (@0x009AD6_810) 2014, 8月 28
- 埋め込まれたと思われるJavaScriptコードは同じ。
- ただし2回同じコードが挿入されているように見受けられる。(以下はハイスクールタイムス、URL Queryのスキャン結果より)
箱根観光協会
[alert:1/ids:1/VirusTotal:0/Safe] [www hakone or] [箱根町観光協会] http://t.co/mzxJQ6DFQJ http://t.co/AXQ7c1iFR7 #Malware_jp
— Malware Alert JP (@malware_jp) 2014, 8月 19ハイスクールタイムス(株式会社キッズコーポレーション)
[alert:1/ids:0/VirusTotal:0/Safe] [www highschooltimes] [北條晃二] http://t.co/XsPh0MdCWp http://t.co/qyT8YjYgFz #Malware_jp
— Malware Alert JP (@malware_jp) 2014, 8月 28こんなつぶやきも
なりすましECサイト運営者がアクセス解析に好んで使っているサービスの一つが、中国国内向けに無料で提供されている「51.La」。この傾向を逆手にとって何とか足取りを追跡できないものだろうかとただいま調査中。
— Noriaki Hayashi (@v_avenger) 2014, 8月 26
更新履歴
- 2014/08/27 PM 新規作成
- 2014/08/27 PM 改ざん検知が遅れた理由を追記。
- 2014/08/28 AM 最新の情報を追記。
- 2014/08/28 PM 最新の情報を追記。
*1:UPDATE 1-日産自、ホームページの一部が改ざん 第三者の不正アクセスで,ロイター,2014/08/27アクセス:魚拓
*2:日産、下取りサイト改ざんされる 不正アクセスで,日本経済新聞,2014/08/27アクセス:魚拓
*3:日産の公式HP、一部改ざん被害 「復旧のめど立たず」,MSN産経,2014/08/27アクセス:魚拓
*4:[続報]日産サイト改ざん、自動検知対象外が発覚遅延の理由,ITpro,2014/08/27アクセス:魚拓
