2019年10月28日、ジョージアで政府や裁判所など多数のWebサイトが改ざんされるなどの被害が出たと報じられました。また同時期に同国内のテレビ局でもシステム障害が発生しました。ここでは関連する情報をまとめます。
元大統領の写真を使った改ざん
- 政府当局が確認した改ざん被害は約2000サイト。その後原因となったホスティング事業者からは1万5000のサイトが影響を受けたと発表された。(現在そのリリース文は更新されていて数は確認できず)
- 大量の改ざん被害は2019年10月28日午後に発生したと大統領報道官が述べている。
- 改ざん後のサイトでは2013年まで大統領でその後ウクライナに亡命したMikheil Saakashvili氏の写真が表示。「 I'LL BE BACK」というメッセージもつけられていた。
- Gov.geドメインで公開されている大統領府や裁判所、ニュースサイト、市議会等、様々な公的なサイトも影響を受けた。
2つのテレビ局で同時発生した障害
- ジョージアのテレビ局「TV Imedi」「TV Maestro」でも同時期にシステム障害が発生。
- TV Imedi関係者が障害の様子をFacebookに投稿。サイバー攻撃に起因するものと説明。
- その後現地時間で28日17時までには復旧されると投稿していた。
- TV Maestroでも当時の様子を動画で公開している。砂嵐状態のテレビが設置されたスタジオの様子などが映されていた。
- ZDnetではTV Pirveliも影響を受けたのではないかと報じている。
ホスティング事業者に不正アクセス
- 一斉改ざんはジョージアのホスティング事業者「PRO Service」が不正アクセスを受けたことが原因。
- 攻撃の標的は州政府、民間企業、メディア等のWebサイトを管理するサーバー。結果的に1万5000のサイトに影響が及ぶこととなった。
- PRO Serviceは10月28日明け方にサイバー攻撃を受けたと説明している。
- 10月28日20時頃までに影響を受けたサイトの約半数を復旧。29日15時までに復旧を終えたと発表。
- 攻撃元に関する推測はメディア先行で行われているが、不正アクセスの帰属や手法に関する説明は掲載されていない。
- PRO Serviceは内務省のサイバーセキュリティ部門、データ交換局、主要な業界関係者と連携。
- 根本的な原因は特定されたと説明。後日その顛末を説明するとしている。
タイムラインの整理
- 関連するタイムラインを整理すると以下の通り。
| 日時 | 出来事 |
|---|---|
| 2019年10月28日早朝 | PRO Serviceのホスティングサービスに不正アクセス。 |
| 同日午後 | ジョージア国内の大量のサイトが改ざんされる事象が発生。 |
| 同日午後 | ジョージアのテレビ局2つでシステム障害が発生。 |
| 同日午後 | ジョージア政府がサイバー攻撃の調査を開始したと報じられる。 |
| 同日17時頃 | TV Imediのシステム障害が回復したとみられる。(関係者がSNSへ投稿) |
| 同日20時 | PRO Serviceが影響を受けたシステムの半数が復旧したと発表。 |
| 2019年10月29日 15時 | PRO Serviceが影響を受けたシステム全数が復旧したと発表。 |
改ざんサイトにGIF画像埋込
- 改ざん発生当時のコードは以下のもの。(キャッシュより)
- HTMLのコード中にGIF画像
brother.lviv.ua/content/dot.gifが埋め込まれているがこれが何かは確認ができず。30日時点でこのGIF画像の設置はされておらず、これが元々削除されていたのか、この件を受けて対応されたのかは不明。 - GIFとは異なり元大統領の画像
1.jpegはPRO Serviceの改ざんされたサーバー自体に設置されたファイルが表示されていた。
更新履歴
- 2019年10月30日 PM 新規作成
- 2019年10月31日 PM 国名が正しくなかったため、ジョージアに表記を修正。
