9月11日にパロアルトネットワークスが同社の日本語Webサイトが改ざんされ、当該サイトの閲覧を通じてマルウェアに感染する可能性があったことを発表しました。ここではその関連情報をまとめます。
公式発表
(1) 被害状況
改ざんされたウェブサイト
- パロアルトネットワークス 日本語サイト www.paloaltonetworks.jp
- 改ざんされていた期間:2014年8月30日〜9月6日頃
具体的な被害
改ざんの具体的内容
- 以下はパロアルトネットワークスの調査による。
- 今回の改ざんはパロアルトネットワークスだけを狙ったものではない。
- 閲覧した場合、外部のウェブサイトにリダイレクトされる。
- リダイレクト先はExploitKit(FlashPack)が設置されたウェブサイト。
- 偽ウィルス対策ソフトがインストールが試行され、インストールに成功すると59.95ドルの支払を要求される。
- 攻撃者の目的は経済的な目的のみである。
- ExploitKitは少なくとも以下の3つの脆弱性を悪用する。
CVE | 対象製品 | 修正時期 |
---|---|---|
CVE-2014-0322 | InternetExplorer9,10 | 2014年3月12日(MS14-012) |
CVE-2014-0497 | Adobe FlashPlayer | 2014年2月5日(APSB14-04) |
CVE-2014-0515 | Adobe FlashPlayer | 2014年4月29日(APSB14-13) |
urlQuery.netに残存していた情報
- urlQueryに残った情報によれば、2014年9月5日時点で以下のWebサイトにリダイレクトされる。
- URL Queryのレポート (2014-09-05 09:05:43 CET)
- 当該URLは現在稼働しているようにも見えるため、不用意にアクセスしないこと。
www.paloaltonetworks.jp/news/ (98.129.229.184)
→ www.brindarte.com.ar/lib.php (66.7.198.3)
→ ?
- 尚、urlqueryに残っていたURLはパロアルトネットワークスが報告している一覧に含まれていない。以下はパロアルトネットワークスが報告した影響を受けたURLの一覧。
www.paloaltonetworks.jp/index.html
http://www.paloaltonetworks.jp/news/researchcenter/2014-09-notice.html
www.paloaltonetworks.jp/partners/index.html
www.paloaltonetworks.jp/cam/gartnerMQ/index.html
www.paloaltonetworks.jp/products/features/app-id.html
www.paloaltonetworks.jp/products/features/centralized-management.html
www.paloaltonetworks.jp/products/features/content-id.html
www.paloaltonetworks.jp/products/features/globalprotect.html
www.paloaltonetworks.jp/products/features/user-id.html
(2) 発端
- パロアルトネットワークスが不審な挙動を行っていることを検知したことによる。
(3) 原因
- 具体的な原因については発表されていない。
- パロアルトネットワークスが外部のウェブ管理会社へ運営委託を行っていた。
- ウェブ管理者会社の他3つのサイト(詳細不明)でも同じ事象が確認された。
(4) 対応・対策
- 検知後24時間以内に当該サイトを停止
- 当該サイトは自社運営の米国サーバー内に移行し再稼働
- 98.129.229.184 → 199.167.52.65
- パロアルトネットワークス製品で当該サイトを保護
- 検知してから6日後にウェブサイト改ざんについて発表・お詫び
(5) インシデントタイムライン
日付 | 出来事 |
---|---|
8月30日 | パロアルトネットワークスの日本語サイトが改ざんされる |
9月5日 | パロアルトネットワークスが改ざんを検知 |
それから24時間以内 | パロアルトネットワークスが改ざんされた日本語サイトを停止 |
9月6日 4時 | パロアルトネットワークスが自社インフラ上で日本語サイトを再稼働 |
9月11日 | パロアルトネットワークスが日本語サイト改ざんについて発表 |
更新履歴
- 2014/09/16 AM 新規作成