piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

2月初めの複数の国内サイトの改ざんについてまとめてみた

2月4日から複数のサイトが改ざんされる被害が発生しています。被害を受けたサイトの多くはWordPressで構築されているとみられ、Sucuriが2月1日に公開した脆弱性情報との関連が疑われます。ここでは改ざんの状況、脆弱性情報についてまとめます。

改ざん被害はWordPressに集中

2月4日11時頃よりZone-Hへ投稿される改ざん被害を受けたサイトの件数が増えているようです。
確認した改ざん事例では次のような「Hacked by〜」のような書き込みが行われていました。

事例(1) hacked by NG689Skw

事例(2) Hacked By SA3D HaCk3D / HaCkeD By MuhmadEmad

事例(3) hacked by magelang6etar

事例(4) Hacked by RxR HaCkEr

事例(5) Hacked By GeNErAL

事例(6) Hacked By HolaKo

事例(7) Hacked By Imam with Love

事例(8) Hacked By BALA SNIPER

事例(9) by w4l3XzY3

事例(10) Hacked By Unknown


被害件数は700サイト超

JPドメイン Web改竄速報 botさんがZone-Hへ投稿されるJPドメインの改ざんサイト件数の推移について投稿しています。

JPドメイン Web改竄速報 botさんの調査結果は「JPドメイン Web改竄速報」で公開されています。

「JPドメイン Web改竄速報」に公開されている情報を参考に改ざん被害を受けたサイトについて確認しました。

以下は2月6日 1時現在の状況です。
Zone-Hに投稿されたJPドメインのサイトの内、METAタグやURL等よりWordPressで構築されたとみられるWebサイトの件数は185件確認できました。

またWordPressのバージョンは、不明分を除けば、4.7.0、4.7.1のいずれか*1と見られます。

改ざんは国内外で発生

Zone-Hへの投稿状況を見ると、同投稿者からは日本に限らず様々な国のサイトが投稿されています。


改ざん被害の報道

また関連不明ですが、Zone-Hに投稿されたサイトの他にも同時期に改ざんされたとして報道が出ています。

被害を受けたサイトのGoogleのキャッシュを確認したところ、2月5日時点でWordPress 4.7.0が使用されていたようです。

この他にも次のサイトが改ざんの被害を受けたとして報道されています。

東京五輪パラリンピック担当大臣公式サイトも被害


丸川珠代五輪担当大臣の公式サイトも改ざん被害を受けています。既に改ざんされたコンテンツは削除され、取材に対しても被害事実を認めるコメントをしているものの、被害を受けた公式サイト上でのアナウンス(改ざん被害を受けた原因など)は現在のところ確認できませんでした。*10

WordPressのコンテンツインジェクションの脆弱性

改ざんされた多くのサイトに共通するWordPress 4.7.0/4.7.1ですが、2月1日にSucuriがWordPressにコンテンツインジェクションが可能な脆弱性が4.7.0、4.7.1に存在し、1月26日公開された4.7.2でこれが修正されたことを2月1日に明らかにしています。
被害を受けたサイトの状況とタイミングから見てこの脆弱性が悪用された可能性があります。

脆弱性の影響
  • REST APIを介し、認証されていないユーザーによりWordPress上で公開されているページやコンテンツが改ざん(投稿の表示、編集、削除、作成)される恐れがある。
影響を受けるバージョン
対策
  • WordPress 4.7.2へバージョンアップを行う。
  • 1月26日以降第三者による改ざん(編集)が行われていないか確認する。

脆弱性タイムライン

日付 出来事
2016年12月6日 WordPress 4.7.0(Vaughan)がリリース。REST APIがこのバージョンより実装。
2017年1月20日 SucuriがWordPress脆弱性情報を通知。
2017年1月25日まで WordPressホスティングサービス等で当該脆弱性を悪用された痕跡は確認されず。
2017年1月26日 脆弱性を修正したWordPress 4.7.2が公開。
2017年2月1日 SucuriがWordPressのコンテンツインジェクションの脆弱性について脆弱性情報を公開。
2017年2月3日8時半時頃より 複数のサイトで改ざん被害が発生。
2017年2月6日 IPAJPCERT/CC脆弱性の注意喚起を掲載。

経過時間視点でまとめたタイムラインは以下の通り。

更新履歴

  • 2017年2月6日 AM 新規作成
  • 2017年2月6日 AM 続報追記、誤植訂正
  • 2017年2月6日 PM 注意喚起を追記
  • 2017年2月6日 PM 関連報道を追記
  • 2017年2月8日 AM 脆弱性への対策、関連情報を追記
  • 2017年2月8日 AM 関連情報、タイムラインを追記
  • 2017年2月8日 PM タイムラインを修正
  • 2017年2月9日 AM 報道情報を追記
  • 2017年2月10日 PM 改ざん事例、お知らせを追記