2019年1月19日、SNS上で日本国内のホスティングをのっとり、大量のサイトを改ざんしたと主張する投稿がありました。
その後大塚商会からこの件に関連するとみられる不正アクセスの被害が発表されました。ここでは関連する情報をまとめます。
大塚商会の公式発表
インシデントタイムライン
日時 | 出来事 |
---|---|
2019年1月19日10時頃 | 大塚商会のホスティングで不正アクセス発生。 |
同日 13時頃 | Pastebin上に国内ホスティングをハイジャックしファイル蔵置したと掲載される。 |
2019年1月20日 1時頃 | 大塚商会が不正アクセスを検出し対処を完了。 |
2019年1月23日 | 大塚商会が不正アクセス被害とその対処が完了したことを発表。 |
2019年1月25日 | 大塚商会が不正アクセスの詳細を発表。 |
不正アクセスの手口まとめ
大塚商会ホスティングサービスへの不正アクセス(約5,000サイト改ざん)の手口まとめ pic.twitter.com/pcCqkW4p4x
— piyokango (@piyokango) January 25, 2019
- 特定の利用者が独自に設置したWordpressのIDが侵害されたのがキッカケ。
- 独自設置のWordpressのアカウント情報が漏れた経緯は大塚商会側は把握していない。
- 関係は不明だが何らかのブルートフォース攻撃が発生していた。
- CMSを踏み台にホスティングサービスが稼働するサーバーOSに脆弱性があり、それが悪用された。
- どのようにCMSを踏み台にして攻撃したかの経緯は明らかにされていない。
- どのような脆弱性が悪用されたのかの詳細は明らかにされていない。
- 大塚商会は脆弱性非開示はセキュリティインシデントであるためを理由にしている。
- Pastebinに掲載された内容と今回の事案との関連は言及されていない。
「Legion BOmb3r」がホスティングハイジャックを主張
- 「Japanese Hosting Hijacked By Legion BOmb3r」というタイトルでPastebin上に大量のWebサイトの一覧が掲載された。
- 内容は国内のホスティングをハイジャックし5000件以上のサイトを対象にしたと主張するものであった。
- Facebookページ「ErrOr SquaD」でPastebinに掲載した内容を宣伝する投稿が行われた。
改ざんしたと主張するサイト数 5000件以上
- Pastebin上に掲載されたWebサイトの件数は5,052件。
- ほぼ全てのサイトにBD.htmlを蔵置したとしてこれを含むURLを掲載されている。
- 主なドメインの内訳は以下の通り。
ドメイン | 件数 |
---|---|
.go.jp | 1件 |
.ac.jp | 1件 |
.co.jp | 2,473件 |
.com | 1,002件 |
.net | 81件 |
.ne.jp | 5件 |
.or.jp | 118件 |
- 以下10件はドメインとして記述されたものではなかった。
http://localhost/BD.html(4件存在) http://data/BD.html(2件存在) http://wp-print.php/BD.html http://LS/BD.html http://output2.txt/BD.html http://BD.html/BD.html
確認したキャッシュ
- 1月22日22時時点でリスト掲載のWebサイトすべてから主張するファイルの蔵置は確認ができなかった。
- zone-H上に大量にこの件に関連する投稿が行われていた。*1
- 検索キャッシュにも216.230.250.172をIPアドレスとするサイトについてHTML蔵置の痕跡らしき結果が残っていた。
掲載されたGO.JPドメイン
- リストに掲載されたgo.jpドメインは「sapoin-mtech.go.jp」
- 経産省の戦略的基盤技術高度化支援事業(サポイン事業)に関連するものとみられる。
- 過去利用されていたとみられるURLにアクセスしたところ「Maintenance mode」と表示されていた。(関連があるかは不明)
- このURLには1月22日23時時点で接続ができなくなっている。
蔵置されたとみられる「BD.html」の内容
- 「BD.html」は誰による改ざんかなど記述されたものとみられる。(piyokangoは一部のみ確認。)
- 閲覧時音楽(Youtube)が再生されるが、マルウェアなど悪作用するものは確認できなかった。
- 以下のスクリーンショットはzone-h上に残されていたミラーから。
リスト掲載サイト IPアドレスは特定事業者に偏り
- 5,042件のドメインから142個のIPアドレスを確認することができた。
- 以下の4つのアドレスで約96%(4,868件)を占めていた。
IPアドレス | 件数 |
---|---|
216.230.250.172 | 1,290件 |
216.230.250.183 | 1,240件 |
216.230.250.188 | 1,181件 |
216.230.250.168 | 1,157件 |
- この4つのアドレスは逆引きで「*.alpha-lt.net」が返される。
- これらは大塚商会の提供するホスティングサービスに関連するものとみられる。
- 大塚商会のWebサイトなどでこの件に関連する情報は確認できていない。
謝辞
この記事は次の方の調査協力により作成したものです。ありがとうございます。
- NICT サイバーセキュリティ研究室 寺田氏
更新履歴
- 2019年1月23日 AM 新規作成
- 2019年1月23日 AM 改ざんされた当時とみられるキャッシュ追記
- 2019年1月24日 PM 大塚商会の発表、タイムラインを追記
- 2019年1月26日 AM 続報追記
- 2019年2月7日 PM Pastebin公開時間が誤っていたため修正(12時頃⇒13時頃)
*1:蔵置後に誰かが削除した可能性が考えられる。