piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

日産販売会社の採用サイト改ざんをまとめてみた

日産グループの販売会社は採用者向けに公開しているWebサイトが改ざんされたとして2015年7月頃に発表しました。ここでは関連情報をまとめます。

公式発表

日産販売のWebサイトが改ざんされていたことを教えていただきました。

日産販売の採用者向けサイトは複数存在し、次のリンクに一覧が掲載されています。

この内、教えていただいた会社を含む次の3社で改ざんされたとの発表文が掲載されていることを確認しました。

日産大阪販売の公式発表を引用します。

6月25日(木)~7月10日(金)に当ホームページを閲覧されたお客さまへ
 
上記期間において、当ページが第三者による不正なアクセスを受け、一部プログラムが改ざんされていることが判明しました。この期間に当ページにアクセスされた可能性があるお客さまにおかれましては、誠にお手数ですがお手持ちのセキュリティソフトを最新の状態にし、ウイルス感染確認の実施を行っていただきますようお願い致します。お客さまには、多大なご迷惑、ご心配をおかけしましたことを深くお詫び致します。
 
お問い合わせ先:日産販売会社グループ採用事務局 0120-978-408

https://www.d-saiyo.nissan.co.jp/d/2600/

改ざんされた時期は3社で異なります。

日産販売 URL 改ざん時期
日産大阪販売株式会社 www.d-saiyo.nissan.co.jp/d/2600/ 2015年6月25日〜7月10日
山形日産自動車株式会社 www.d-saiyo.nissan.co.jp/d/161/ 2015年6月16日〜7月10日
日産プリンス福岡販売株式会社 www.d-saiyo.nissan.co.jp/d/1901/ 2015年6月11日〜7月10日

改ざん方法はタイトル部へiframeの埋め込み

いずれの3社も既に修正されていたことからキャッシュより改ざんの状況を確認しました。いずれもタイトル部分にIframeで外部サイトが埋め込まれていました。

キャッシュからは2つのドメインを確認しています。いずれもドメインはまだ生きているのでアクセスはしないでください。(ngrokのドメインは現在Safebrowsingで警告表示が出ます。)

埋め込まれていた先 外部ドメイン
日産大阪販売株式会社
日産プリンス福岡販売株式会社
www[.]paramerat[.]com
山形日産自動車株式会社 tokyojin[.]ngrok[.]io
日産大阪販売株式会社

山形日産自動車株式会社

日産プリンス福岡販売株式会社


複数の改ざん方法を確認

改ざんされた内容で複数のケースを確認しました。URLは違いますが、6月28日時点のキャッシュではHTMLファイルが埋め込まれているもの、7月8日時点ではSWFファイルが埋め込まれているのを確認しています。

index.htmlが埋め込まれているケース (6月28日のキャッシュ)

movie.swfが埋め込まれているケース (7月8日のキャッシュ)


埋め込まれていたものはExploitコードやそれを読み込むWebサイトの可能性

index.htmlはインターネットアーカイブに残っており、ファイル内容を確認することが出来ました。HTMLファイルの中身はJavaScriptで書かれたもので、興味深いことにコメント欄に数か所中国語が記載されていることを確認しました。

JavaScriptで実装された内容は何らかの脆弱性を付くものと推定されますが、手っ取り早くJavaScript部分だけ切り出しVirustotalにかけた結果は次の通りです。確証はないものの、MicrosoftはCVE-2013-2551のExploitコードに由来する検知名で検出をしています。

CVE-2013-2551は2013年5月にMS13-037で修正されたInternetExplorerの脆弱性です。

次にmovie.swfですが、これは2015年7月に国内で複数確認されているAdobe FlashPlayerの脆弱性をつくSWFファイルと推定されます。VirustotalではこのURLから7月14日以降にアップされたSWFファイルを確認しました。「flash_exploit_002」とあることから少なくともこのSWFファイルはCVE-2015-5122のExploitコードを含むものと思われます。

ただ、改ざん時期(7月8日)、Exploitコードが出回った時期(7月11日前後)、VTにアップロードされた時期(7月14日)、これらのタイミングがずれているため、SWFファイルが差し替えられている可能性は考えられます。

尚、日産プリンス福岡販売株式会社では「Yhewk.html」といったファイル名の埋め込みを確認していますが、キャッシュやアーカイブを確認出来ておらず、具体的な手口については調べられていません。

謝辞

このまとめは次の方から頂いた情報、及び調査協力を得て作成しています。ありがとうございます。

  • @liina_3さん
  • @ntsujiさん
  • AJさん

更新履歴

  • 2015年7月24日 AM 新規作成