2015年3月5日頃から国内外の複数のウェブサイトを対象に、「Hacked by Islamic State」等と改ざんされるインシデントが相次ぎました。ここでは関連情報をまとめます。
注意喚起
- 2015年3月11日 (PDF) 「Islamic State (ISIS)」と称する者によるウェブサイト改ざんについて - 警察庁
- 2015年3月12日 (PDF) 「Islamic State(ISIS)」と称する者によるウェブサイト改ざんに係る注意喚起について - 警察庁
国内で被害を受けたウェブサイト一覧
改ざんパターン(1)のサイト
| 改ざん時期 | 地域 | 被害組織 | 公式発表 | fancybox for WPの 利用有無 |
|---|---|---|---|---|
| 2015年3月8日 | 東京 | 府中アスレティックFC | 3月8日 府中アスレティックFC 公式HP復旧のお知らせ | 利用あり |
| 〃 | 兵庫 | 西宮観光協会 | 3月11日 「西宮まちたび博」ホームページ復旧のお知らせ | 利用あり |
| 〃 | 東京 | 銀一「thinkTANK photo」サイト | 3月11日 Facebook 投稿発表あり | 利用あり |
| 〃 | 北海道 | 加森観光「ルスツリゾート公式HP」 | 3月11日 ルスツリゾート公式ホームページの障害について | 利用あり (キャッシュより確認) |
| 〃 | 福岡 | 福岡市「クリエイティブ福岡推進協議会」 | 3月13日 クリエイティブ・ラボ・フクオカ HP復旧のお知らせ | 利用あり (キャッシュより確認) |
| 〃 | 不明 | Japan Enduro Championship 2014 | 公式発表無し? | 利用あり |
| 〃 | 東京 | ソルズカフェ | 公式発表無し? | 利用あり (キャッシュより確認) |
| 〃 | 千葉県 | CatFishClub「ハッピーコスチューム」 | 3月12日朝時点で改ざんされたまま | 利用あり |
| 〃 | 新潟 | スリーク | 公式発表無し。(3月12日時点でメンテ中) | 確認できず |
| 不明 | 東京 | チャンピオンズ株式会社「HeartFilms」 | 3月12日朝時点で改ざんされたまま | 利用あり |
| 不明 | 東京 | マーブルデザインラボ | 公式発表無し? | 利用あり (キャッシュより確認) |
改ざんパターン(2)のサイト
| 改ざん時期 | 地域 | 改ざんされたURL | 公式発表 | Slider Revolutionの 利用有無 |
|---|---|---|---|---|
| 2015年3月5日(推定) | 不明 | relation-ms.jp | 不明 | 不明 |
| 〃 | 不明 | muzic.jp | 不明 | 不明 |
| 〃 | 茨城 | BearTail(beartail.jp) | 公式発表無し | 利用あり |
| 2015年3月7日(推定) | 不明 | ムラサキスポーツ「the SUNS」 | 公式発表無し? *1 | 不明 |
補足(1) 改ざんは3月5日時点で確認されていた
3月8日に初めて被害が確認されたかのような報道もありますが、Zone-hへ登録された情報を見ると3月5日頃から既にこの改ざん行為が行われていた可能性があります。
2015.03.12 以下の記述を追記しました。
補足(2) 類似の改ざん事例は世界中で確認されている
「Hacked by IslamicState」、あるいはそれに類似した改ざんは世界中のウェブサイトで確認されています。*3主に国内のウェブサイトでの被害が報じられていることから日本だけが狙われたかのように考えてしまいがちですが、脆弱性が残存していたサイトが攻撃を受けただけで日本を特定のターゲットとしているわけではないと考えられます。
補足(3) 一連の改ざんが同一グループか、ISが関与していたかは不明
zone-hのWebサイトにはNotifier(報告者)欄に「IslamicState」と記述があるため、一見してこれら全てが同一グループによる改ざんが行われたかのように見えますが、改ざんを行ったのが全て同一人物(グループ)によるものか、そしてzone-hへ登録を行った人が改ざんを行った人物(グループ)と同一かどうか確認されているわけではありません。
また一連の改ざんではISの関与を示す情報は確認されておらず、無関係の可能性も考えられます。例えば@ntsujiさんが報告している改ざんパターン(3)では「Islamic State」といった文言すら入っていません。*4 警察庁も今回の改ざんについて、ISが直接的に関与していたかについては「可能性は低い」との見解をしていると報道があります。*5
ISISとされるWebサイトの改ざんについて、特別に日本が狙われたわけではなく、世界中の脆弱なサイトを狙った中にたまたま日本のサイトが含まれていただけ。数千件の改ざんの中の一部にしか過ぎないので、大騒ぎする必要はない。誰がやったとか関係なく、粛々と対策を行えば良い。
— 北河拓士 KITAGAWA,Takuji (@kitagawa_takuji) 2015, 3月 12発端
対象ウェブサイトのトップページ、あるいは特定のページが改ざんされたことによる。幾つかのパターンが確認されている。
改ざんパターン(1)
改ざんされたウェブサイトにおいて、ページ上部に次のような画像が表示、かつ音楽が再生される。埋め込まれた画像をクリックするとFacebookサイトに誘導されるとの報道があったが、手元の環境では確認ができなかった。
改ざんパターン(2)
「Hacked by Islamic State (ISIS)」とテキストだけが表記される。
改ざんパターン(3)
(1),(2)とは別パターン。「IslamicState」といった文言も入っていないため、他事例との関係性も不明。またどのようにして改ざんされたかについても明らかになっていません。以下@ntsujiさんのつぶやきの一部引用。
?改ざんした人物のハンドルと思われるものとその人物のFBと思われるURLが書かれたパターン pic.twitter.com/vstgPG05hM
— 辻 伸弘(nobuhiro tsuji) (@ntsuji) 2015, 3月 11続き)?のものは報道でFancyBoxというWordPressのプラグインの脆弱性を利用されただろうとされています。?に関してはURLからSlider Revolutionの脆弱性が利用されたのではないかと考えれます。?に関しては不明。(続く
— 辻 伸弘(nobuhiro tsuji) (@ntsuji) 2015, 3月 11原因
Wodpress プラグイン「Fancybox」「Slider Revolution」の既知の脆弱性を修正していなかったため。*6 (一部サイトでは原因不明の改ざん事例も確認されている。)
改ざんパターン1のソース
改ざんされたページのソースを見ると「Fancybox」の箇所に埋め込まれていることが分かる。
影響バージョン
- Wordpress Fancybox 3.0.2 以前のバージョン(2015年2月4日以前のバージョン)
解決策
- Fancybox for Wordpress を更新し、最新版(3.0.4以上)を利用する。
回避策
3.0.4
https://wordpress.org/plugins/fancybox-for-wordpress/changelog/
Renamed the setting affected by the security issue mentioned in 3.0.3. This should stop the malicious code from appearing on sites where the plugin is updated without removing the malicious code.
関連情報
- WordPressプラグインの「Fancybox」、未解決の脆弱性を突く攻撃が横行 - ITmedia エンタープライズ
- 【セキュリティ ニュース】WordPressの人気プラグイン「FancyBox」に深刻な脆弱性:Security NEXT
- Fancyboxをアップデートせよ! WordPressの人気プラグインに深刻な脆弱性 すでに攻撃多発中|I believe in technology
- FancyBox for WordPress resolved Possible malware (105 posts)
- (PDF) 「Islamic State (ISIS)」と称する者によるウェブサイト改ざんについて - 警察庁警備局警備企画課 (平成27年3月11日)
影響バージョン
- Slider Revolution 4.1.4以前のバージョン
当該プラグインがThemeにバンドルされているケースがある模様。この場合、Slider Revolutionがプラグインとして入っていることを認識できない? 以下のURLで影響を受けるThemeを確認することができる。
解決策
- Slider Revolutionを更新し、最新版(修正版は4.2以上)を利用する。
- Themeにバンドルされている場合は当該テーマを最新に更新する。
関連情報
- RevSlider Vulnerability Leads To Massive WordPress SoakSoak Compromise | Sucuri Blog
- 謎のロシア製マルウェアがWordpressのサイトを狙って拡散中 : ギズモード・ジャパン
- 10万サイトやられた! 謎のロシア製マルウェアがWordpressで拡散中 | ライフハッカー
- 【対策あり】10万以上のWordPressサイトが「SoakSoak」により攻撃を受け、11,000ドメインがブラックリスト入り|I believe in technology
- ハニーポット観察記録(20) at www.morihi-soc.net
タイムライン
| 日時 | 出来事 |
|---|---|
| 2014年2月 | Slider Revolutionの脆弱性を修正した4.2が公開 |
| 2014年9月1日 | ExploitDBにSlider Revolutionに起因する脆弱性のExploitが登録 |
| 2014年9月3日 | SucuriがSlider Revolutionの脆弱性を突く攻撃を確認していると報告。 |
| 2014年12月15日 | SucuriがSlider Revolutionの脆弱性を悪用した侵害が多発していると報告。 |
| 2015年2月頃 | WPのフォーラムにFancyboxを原因とする改ざんについての投稿 |
| 2015年2月4日 | SucuriがFancyboxにゼロデイの脆弱性があり、攻撃が行われていることを取り上げる。 |
| 2015年2月5日 | Fancyboxの脆弱性を修正した3.0.4が公開 |
| 2015年3月5日 | IslamicStateという改ざんが行われ始める。 |
| 2015年3月8日 | 国内サイトでも改ざんが確認される。 |
| 2015年3月11日 | 11日午前の記者会見で官房長官が改ざん事案について重要インフラ事業者へ周知する等のコメント*7 |
謝辞
このまとめは次の方の情報により、修正・更新を行っています。
- @ntsujiさん
- @leighbhroganさん
- @kitagawa_takujiさん
更新履歴
- 2015年3月12日 AM 新規作成
- 2015年3月12日 AM 改ざんパターン増加に伴い追記。
- 2015年3月12日 PM 同一グループによるものかのように誤解を招く記載となっていたため加筆修正。
*1:複数サイト改ざん、「イスラム国」のマーク表示,読売新聞,2015年3月12日アクセス:魚拓
*2:「イスラム国」改ざん、8サイト=同じ欠陥ソフト使用か—警察庁,時事通信,2015年3月12日アクセス:魚拓
*3:「イスラム国」画像に置き換えるハッキング、米FBIが捜査,AFP通信,2015/03/12アクセス:魚拓
*4:これについて@ntsujiさんも補足されています。
*5:IS名乗り、サイト改ざん 全国で8件の被害 警察庁,朝日新聞,2015年3月12日アクセス:魚拓
*6:「イスラム国」マーク、管理ソフトの不具合狙う,読売理新聞,2015年3月12日アクセス:魚拓
*7:HP改ざん拡大防ぐ=菅官房長官,時事通信,2015年3月12日アクセス:魚拓
