公式発表

日産販売のWebサイトが改ざんされていたことを教えていただきました。

@piyokango 日産大坂販売にもwebサイト改ざんのお詫びが出ておりました　https://t.co/haXAfZe7rb

— DADA (@liina_3) 2015, 7月 22

日産販売の採用者向けサイトは複数存在し、次のリンクに一覧が掲載されています。

• 日産販売会社採用ホームページ

この内、教えていただいた会社を含む次の3社で改ざんされたとの発表文が掲載されていることを確認しました。

• 日産大阪販売株式会社
• 山形日産自動車株式会社
• 日産プリンス福岡販売株式会社

日産大阪販売の公式発表を引用します。

6月25日（木）~7月10日（金）に当ホームページを閲覧されたお客さまへ
　
上記期間において、当ページが第三者による不正なアクセスを受け、一部プログラムが改ざんされていることが判明しました。この期間に当ページにアクセスされた可能性があるお客さまにおかれましては、誠にお手数ですがお手持ちのセキュリティソフトを最新の状態にし、ウイルス感染確認の実施を行っていただきますようお願い致します。お客さまには、多大なご迷惑、ご心配をおかけしましたことを深くお詫び致します。
　
お問い合わせ先：日産販売会社グループ採用事務局　0120-978-408

https://www.d-saiyo.nissan.co.jp/d/2600/

改ざんされた時期は3社で異なります。

改ざん方法はタイトル部へiframeの埋め込み

いずれの3社も既に修正されていたことからキャッシュより改ざんの状況を確認しました。いずれもタイトル部分にIframeで外部サイトが埋め込まれていました。

キャッシュからは2つのドメインを確認しています。いずれもドメインはまだ生きているのでアクセスはしないでください。（ngrokのドメインは現在Safebrowsingで警告表示が出ます。）

複数の改ざん方法を確認

改ざんされた内容で複数のケースを確認しました。URLは違いますが、6月28日時点のキャッシュではHTMLファイルが埋め込まれているもの、7月8日時点ではSWFファイルが埋め込まれているのを確認しています。

埋め込まれていたものはExploitコードやそれを読み込むWebサイトの可能性

index.htmlはインターネットアーカイブに残っており、ファイル内容を確認することが出来ました。HTMLファイルの中身はJavaScriptで書かれたもので、興味深いことにコメント欄に数か所中国語が記載されていることを確認しました。

JavaScriptで実装された内容は何らかの脆弱性を付くものと推定されますが、手っ取り早くJavaScript部分だけ切り出しVirustotalにかけた結果は次の通りです。確証はないものの、MicrosoftはCVE-2013-2551のExploitコードに由来する検知名で検出をしています。

CVE-2013-2551は2013年5月にMS13-037で修正されたInternetExplorerの脆弱性です。

• JVNDB-2013-001821 Microsoft Internet Explorer 6 から 10 における任意のコードを実行される脆弱性

次にmovie.swfですが、これは2015年7月に国内で複数確認されているAdobe FlashPlayerの脆弱性をつくSWFファイルと推定されます。VirustotalではこのURLから7月14日以降にアップされたSWFファイルを確認しました。「flash_exploit_002」とあることから少なくともこのSWFファイルはCVE-2015-5122のExploitコードを含むものと思われます。

ただ、改ざん時期(7月8日)、Exploitコードが出回った時期(7月11日前後)、VTにアップロードされた時期(7月14日)、これらのタイミングがずれているため、SWFファイルが差し替えられている可能性は考えられます。

尚、日産プリンス福岡販売株式会社では「Yhewk.html」といったファイル名の埋め込みを確認していますが、キャッシュやアーカイブを確認出来ておらず、具体的な手口については調べられていません。

謝辞

このまとめは次の方から頂いた情報、及び調査協力を得て作成しています。ありがとうございます。

• @liina_3さん
• @ntsujiさん
• AJさん

更新履歴

• 2015年7月24日 AM 新規作成