環境省のWebサイトがマルウェアによって改ざんされる。閲覧者への感染の可能性も 66
ストーリー by hylom
今年はこういう話が多いような気が 部門より
今年はこういう話が多いような気が 部門より
あるAnonymous Cowardのタレコミより。最近Webサイトの改ざんニュースが多く聞かれるが、環境省のWebサイトでも改ざんが確認されたという(INTERNET Watch、環境省の発表PDF)。
問題となっているのは、家庭でのCO2排出量を表示するWebサイト「CO2みえ~るツール」。現在このサイトにアクセスすると、サイト改ざんに関するお知らせが表示される。 原因は「Darkleech Apache Module」というマルウェアだそうで、3月3日に設定ファイルが改ざんされていたことが確認できたという。また、改ざんされたサイトを閲覧すると、マルウェアを配布するサイトに誘導され、マルウェアに感染する可能性があったという。このサイトにアクセスしたことのあるユーザーに対しては、セキュリティソフトでのスキャンといった確認を行うよう「お願い」している。
環境省だけの問題じゃない (スコア:5, 参考になる)
環境省だけの問題じゃなく、そもそも分かっているだけで同時期に国内少なくとも285サイトが同時に同様の感染をしている事例なので、こっち採用するくらいならタレコミ『「Darkleech Apache Module」に感染した日本のサイトにIEでアクセスするとマルウェア感染サイトに飛ばされる』 [srad.jp]を採用した方がよかったんじゃないかと思う。タイトルに「環境省」とか入ってなくてキャッチーじゃないとか言うなら(いつも通り)採用時に変えればいいだけだし。
Re: (スコア:0)
生むそれは思った。技術的にもよりいいしね。
でも私は編集者じゃないんだ
もしかして 0day.jp のリストは誤りを含んでいたか。 (スコア:1)
環境省は週末からお知らせを出しているというのに、0day.jp のリストに載っている285件のほとんどのサイトは今週に入ってようやく止まったようだ。
ゆかしメディア [image.skr.jp]
中津川市公式ウェブサイト [nakatsugawa.gifu.jp]
あれ?もしかして 0day.jp のリストは誤りを含んでいたか。
なお# 2346017 [srad.jp]で「この件IEだけ感染するようなので、またIEが叩かれてしまいそうだなぁ。」と書いてあるけど、Internet Explorer はトリガーになっているだけで、ブラウザ自体に罪はない。
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
> あれ?もしかして 0day.jp のリストは誤りを含んでいたか。
0day.jpの確認方法は妥当(実際のマルウェアの挙動に即している)し、
怪しい400件から確定285件を絞り込んだものなので、リストには
誤りがないと仮定するけど
> 3月18日 ホームページサーバの書き換えや不正なプログラムは確認されなかった。
> 更なる安全を確保するための対策を実施し、サーバを再構築して再開。
感染の対象モジュールが分からない程度の技術者が再構築しても、
また感染するだけじゃないですかね?
「確認されなかった」と言うからには、感染経路の特定もできていないだろうし。
Re: (スコア:0)
> 0day.jpの確認方法は妥当(実際のマルウェアの挙動に即している)し、
()の中も読まないと日本語としておかしい文章を書くくらいなら
最初から()抜きで書いて欲しい。
#って思っている人って少ないのだろうか。最近よくこういう書き方を見かける。
Re: (スコア:0)
感染されてないのに、どうやって感染経路を特定しろって言うの?
Re: (スコア:0)
http://unixfreaxjp.blogspot.jp/2013/03/ocjp-098-285blackhole-exploit-k... [blogspot.jp]
他の人がコメントしてるけど、上のURLに詳細が書いてあるから読むとよいかと。
https://twitter.com/unixfreaxjp [twitter.com]
また『自身のホストで発見できない』と言っている人とのやりとりを見るに、
「そもそもホスト名のリストアップを間違えた」みたいなポカミスでもない限り、
『発見できた』の方を信用するのが妥当と考えます。
Re: (スコア:0)
そのURLのサイトは見ました。
>【感染状況の説明】
>その285件のサイトにアクセスしたら、どんな転送動きになるのか説明します↓
>例えば一覧にある「www.systemmetrix.jp」ドメインですね、ウェブサイトをInternet Explorerでアクセスしたら、下記のキャップチャーデータとなります↓
(以下略)
アクセスしたパソコン側の動きは詳しいですが、サーバをどうやって400件以上もリストアップして285件が感染していると確認したのかなぁ?
リストに挙げられている中津川市のホームページも、調査の結果、感染されていないと言ってるようですよ。
Re: (スコア:0)
むしろ、各サーバの担当者がどうやって感染していないことを確認したかでしょう。
virus checkしましたではダメなことくらいはわかってて書いてるんですよね?
Re: (スコア:0)
感染されていたことは確認できるとしても、
恥を忍んでお聞きしますが、
「感染されていない」ことをどうやって証明(信用してもらえば)したらいいのですか?
Re: (スコア:0)
UA等の条件はあるにせよ、外部から普通にHTTPリクエスト/レスポンスの挙動
のみで確認できるんだから、400件程度の調査なんか簡単でしょ。
それに0day.jp側の確認方法は公開されていて、中津川市側の調査方法は公開
されていないので、中津川市側を信用する根拠はないですね。
Re: (スコア:0)
まず、
1. 国内にWebサイトなんて山ほどあるのに、どうやってまず400件をリストアップしたのか?
公共団体や学校、中小企業、アダルトサイト〜個人の趣味のページ(?)まであるのに、
これ、ランダムに抽出して400件のうち285件感染していたとしたら、大問題ですよ?
2.中津川市は不正なApacheのモジュールは発見できなかったと言っているので、それで十分では?
わざわざざハッカーに手の内を見せるようなことは誰もしないでしょう?
Re: (スコア:0)
悪魔の証明に近い(範囲が有限なので不可能ではない)。
バックアップ環境と比較して一致を確認するのが最短だけど、バックアップがなかったら難しいね。
バックアップも昨日一昨日とか、既に感染してる可能性のあるのとじゃだめだから最初の構築時のがあるといい。
環境が仮想PC上で、in service時の環境が保存されてて、Web serviceしか動いてないってのが現実的な最適解だと思う。
>リストに挙げられている中津川市のホームページも、調査の結果、感染されていないと言ってるようですよ。
この人はあっさり信用したみたいだけど、何を調査して、どうやって確認したかわからないし、
これで信用しろって言われても無理。
Re: (スコア:0)
自宅鯖を運営してる方だったですか?
Re: (スコア:0)
昔作って公開してたことはありました。社内向けなら今でも作ることはあります。
外向けのサーバを作って公開するなんて、怖くてもうわたしには無理です。
ソノスジの人が構築したサーバを借りて使うほうが、リスク移転できて安心です。
Re: (スコア:0)
> ランダムに抽出して400件のうち285件感染していたとしたら
違います。
怪しいのが400件以上、うち確定が285件と発表されています。
おそらく、調査対象の全数はもっと多くでしょう。
Re: (スコア:0)
> 「感染されていない」ことをどうやって証明(信用してもらえば)したらいいのですか?
一般的には開発・運用ベンダー以外の第三者を交えて調査してもらい、
結果を発表という形じゃないですかね。
下の例みたいに。
http://www.vector.co.jp/special/spinfo/ [vector.co.jp]
結果「マルウェアは確認できませんでした」でもいいですが、調査方法・内容を
公表したくないなら、調査会社の社名で信用してもらうしかないですよ。
Apacheの バージョン上げない ※※サイト root盗られて 「対策しろ!」か (スコア:4, 参考になる)
httpd.conf を書き換えられたか。そりゃ、rootを盗られたって意味だろ。これだと、マルウェア感染サイト誘導の踏み台にされただけじゃなく、サーバーからの情報漏洩もあり得るから通信ログ精査しろよ。まぁ、ログを取っているか、ログを分析できるのか、分析した所で対外発表するかは知らないけど。
環境省のサイトは今は Apache のバージョンを伏せているが、時々、バージョンを伏せただけで対策完了、もうバージョンを上げる必要なしと思う情弱もいるから(正々堂々、最新のバージョンだと示せない)環境省のサイトは他も感染しそうでコワいからアクセスは控えた方が賢明だな。
サーバーの脆弱性対策を一切求めない間抜けな業務委託契約を結んでおいて、ヤラれるまで完全放置プレイの挙句、マルウェア作成者と委託先とアクセスしてきた側のセキュリティー対策不足が悪いみたいな言い方で反省ゼロですな。
中津川市のhttp://www.city.nakatsugawa.gifu.jp/ [nakatsugawa.gifu.jp] の方も、化石みたいなバージョンの Apache をヤラれるまで使ってたんですね。10-Apr-2007 から Fedora で Apache/2.0.54 か。凄いな。ん?市公式ホームページを停止し、ご迷惑をおかけしました。 [nakatsugawa.gifu.jp]
うわぁああああ~~~~ サーバーがヤラれてるのにデータなどをウィルススキャンだってぇ~!! 何の調査になってないだろ。全然、判ってないな。この辺を読んで理解する能力が無いらしい。いや、ここでコメントしている若干名も同様だが。
ええと…今は Apache/2.2.2 (Fedora) DAV/2 PHP/5.1.6 か。うわぁああああ~~~~、凄いな。Apache も PHPは2006年のバージョンだ。ていうかバージョンダウンかよ。情弱にも程があろう。(PHP のバックポートとかしてないだろうな。高々テキストのページ表示するのにも PHP が無けりゃ表示できないガチガチの構成になっちゃっててバージョン上げられませんてか) これじゃまたすぐroot盗られるだろ。何も対策していないっぽいな。感染したサーバーを入れ替えたか、Apache のバージョンを下げただけだろう。
ここで替え歌を。「マルウェア探してく~れるの待つの む~かしのバァジョ~ンでぇ~ 出て~えい~いまぁす~~~」 (song by 中津川市ほか多数) ここもアクセス非奨励。
結局、今回のはヤラれて当然の化石バージョン使用のサーバーが軒並みヤラれたに過ぎず、ニュースでも何でもない。Windows PC を6年間、一切セキュリティー対策をしなかったらマルウェア感染しましたというのと一緒。ついでに言うと、中津川市のは「再インストールしたから大丈夫です。サービスパック?パッチ? 何ですかそれ。ウィルススキャンは入れてますよ(キリッ)」というわけだ。
Re: (スコア:0)
むしろバージョンアップにかかる費用を予算に積んでおかない時点で…って見方もできますな。
OSのパッケージ使ってるなら通常バックポートパッチで脆弱性の修正だけが行われているので、下位互換性ありますよ。
Re:Apacheの バージョン上げない ※※サイト root盗られて 「対策しろ!」か (スコア:2)
そもそもサーバー構築のミドルウェアにPHPを選んだ段階で、深刻な脆弱性と頻繁なバージョンアップの連続と、旧バージョンの早々とした打ち切りを想定しない、という段階でアホ。そもそも中津川のコンテンツはPHPが必須なほど高度な内容とは到底、思えない。(MySQL+PHPで「おぉお、市のサイトでそこまで高度な事を!」な訳じゃない) CMSでも動かしてる?
要るコンポーネントだけを選んでインストールする技術も無い悲惨なベンダだと、ディストリビューションでデフォでPHPが入るからという理由で要りもしないPHPを動かしてたりするけどな。
Apacheごときバージョン上げるのに「調査費用ガー」「改訂ガー」「だから脆弱性があるままで運用するしかないんダー」だったら、Webで情報発信する資格無し。自動応答FAXでも設置すべき。まぁ、Apacheごときのバージョンも上げられないのに管理者を自称してる奴もいるけどね。
参考情報 (スコア:3, 興味深い)
テクニカルな情報は下記のページが詳しい。
0day.jp (ゼロデイ.JP): #OCJP-098: 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されてしまいます! [blogspot.jp]
今のところ、Apache モジュールを突っ込むための経路に関してはよくわかってなくて、管理している人の PC にマルウェアが入っていて、root をとるためのアカウント情報が抜かれていた、というのなら、まだ、マシなんだけど、リモートからの攻撃可能なサーバ上の脆弱性、とかだったら嫌だなぁ。Apache のモジュールをロードさせる、なんて、Apache 自体の脆弱性が無い限り、root を取らずには難しいと思うんだけど。
Re:参考情報 (スコア:2, 興味深い)
BHEK2 による大量改ざん [iij.ad.jp]
親コメのブログを受けてのIIJの追加調査
注意喚起:古いバージョンのJava,Flash,PDFから感染するマルウェアサイトへの転送が国内の多数のサイトで発見された模様 [zukeran.org]
まとめ、本件以外に岐阜県中津川市、放送大学大阪学習センターについては報道された模様
①ブラウザはIE、②REFERERが無いと行け無い、”例え、googleで確認したいのでサイトを検索してからクリックする、③最新版AdobeReader,Java,Flashが入っているPCにはBHEK2.xサイトに転送されたが感染にはならない。 [twitter.com]
とりあえず、ユーザー側は最新のJava、Flash Player、Adobe Reader入れれば防げるかと(当然IEも最新版にしてね)
====================
この件IEだけ感染するようなので、またIEが叩かれてしまいそうだなぁ。
最近のIE自体は割りと頑張ってて、本件も含め大体はJava、Flash Player、Adobe Readerが足引っ張ってるわけだし。
非Microsoft製品の脆弱性、最大の脅威に――Secunia報告書 [itmedia.co.jp]
Re: (スコア:0)
0day.jpの『【ご注意】本件のポストに書いた情報は(c)0day.jpのマルウェア研究調査の物となります。調査内容を勝てに使うと禁止です。使いたい方々が@unixfreaxjpにご連絡下さい』って注意書きは変だよなあ。
Re: (スコア:0)
日本びいきの外人さんなんだよ。
少しくらい大目に見てやりなよ。
Re: (スコア:0)
ほんとにそうなの?
なんか、他のページにも、あらゆるところに不自然な、とても日本語母語者とは思えない表現とか、単純な誤字脱字が多いんですよね。
ちょっと信頼感が…
Re: (スコア:0)
アドリアン・ヘンドリックって元KLJ社長の人でしょ
相当前からだし日本好きなんじゃない?
Re: (スコア:0)
>Apache 自体の脆弱性が無い限り、root を取らずには難しいと思うんだけど。
ほんとにそう思います。
ちょっと考えにくいんですよね、一度にこれほどのサイトが感染されるって
Re:参考情報 (スコア:1)
続報だと、書き換えられたサイトの多くに、Plesk Panel というサーバ管理ソフトが使われていたけど、全部がそうという訳ではなくて、普通にアカウント抜かれていた可能性もある、といった感じでした。
BHEK2を悪用した国内改ざん事件の続報 [iij.ad.jp]
とりあえず、Apache のゼロデイ、とかではなさそうで、ちょっとホッとした。
環境省だけではない (スコア:2, 興味深い)
http://blog.trendmicro.co.jp/archives/6888 [trendmicro.co.jp]
過去24時間でもっとも感染連鎖の入口となっている不正URL にアクセスしている地域は日本でした。
http://srad.jp/~masakun/journal/564512 [srad.jp]
現在確認されただけで 285件あり、
副作用が心配だけど、数日くらいはq.phpを遮断したほうがいいのだろうか。
とりあえず、mod_chart_proxy.soを探せばいい (スコア:2, 興味深い)
Linuxでapacheをターゲットにmod_chart_proxy.soというファイルを入れられる。
これがIEで接続しようとしたクライアントをBlackholeの感染サイトへこっそり転送する。
そこで、PDF/Java/Flash古いバーションの脆弱性を使われて、Blackholeで提供されているマルウェアに感染する。
3/15の時点で285件のサーバーの感染が見つかった。
でもmod_chart_proxy.soは、何の脆弱性を使ってwebサーバーへ入り込んだんだろ?
http://unixfreaxjp.blogspot.jp/2013/03/ocjp-098-285blackhole-exploit-k... [blogspot.jp]
#もちろんmod_chart_proxy.soなんてファイル名は簡単に変えられるだろうから注意。
我は予言者なり (スコア:0)
予言しよう。
もうすぐ、某大企業が運営するサイトがリニューアルされるであろう。
くっだらねぇ所でiframeを使いたいがためだけに「サードパーティークッキーを受け入れるよう設定してくれ」と案内が出るであろう。
ってまあ、それくらいですぐにユーザを脅威にさらすわけじゃないだろうけどさ。
こういう甘い認識が2tか3つ重なると、そこにつけこまれるもんなんだよ。
予言しよう。
この某大企業はまだずっとしばらく、標的型攻撃に怯えることになうだろう。
Re: (スコア:0)
なんだろう?
このtypoの多い予言者さんの信憑性の無さ加減は
Re: (スコア:0)
信憑性もクソもあるか。
単純に
「どこもかしこも認識が甘いとこだらけだ、俺が携わったサイトリニューアル案件も
微妙なことばかりやりやがって、いつどうなるか分からんぜ」
ってだけだろうに。
お前さんはそういう経験は無いのかね?
うん (スコア:0)
ちなみにこれ真っ先にアノニマスが浮かんだだろうけどアノニマスは関係ないと思う。
あの人たち塊で行動するし。
Re: (スコア:0)
あ
○
Re: (スコア:0)
あの人達ってどの人達だよ・・・まだAnonymousっていう特定団体があると思ってんのかよ・・・
そういう自分もAanonymousだってことにいい加減気付こうよ・・・
Re: (スコア:0)
Aanonymousではないですけど、あなたは気付いていないんですか?
マルウェアに感染させるだと? (スコア:0)
警察は環境庁の人を逮捕するん?
Re: (スコア:0)
するかもしれないよ
しないかもしれないよ
それ以上はわからない
Re: (スコア:0)
環境庁なんてもう今はありません。
で、環境省のトップは環境大臣の……のぶてるか。
Re: (スコア:0)
マジレスすると、意図的に感染を広めようとしていない限り罪には問われない。
だから環境省の人が逮捕されることはない。
でもこれが個人サイトだったら問答無用で拘留されて、
「意図的にやったんだろ!さあ吐け!家族と縁を切らせるぞ!」
……という取り調べを受けるかも知れない。
こんなのさぁ (スコア:0)
どっかのサイトに例えばHIV感染者リストとかに個人名をあげられてて、
どこそこのリストに名前が挙がってるから、HIV検査して陰性だった証拠をあげてみろって言われたら?
Re: (スコア:0)
検査して検査結果を出しても、まだ潜伏期間中だとか、検査結果自体が改竄されてるんだろ、とか言ってくるんだろうな。
Re: (スコア:0)
ネタか釣りかわからんけどここのところ面倒な人によるコメントか多いなと思っていたが、そうか春休みだったのか。
社会人はこの時期忙しすぎて、コメ書く気力もないからなぁ。
さて、薬飲んで寝るか。
Re: (スコア:0)
福島第一の冷却も止まったままだし、テロ行為だな
Re: (スコア:0)
正午過ぎましたけど、結局原因もわからないし、回復時期もわかりません。
# みなさんにげてーって言う時期では?
Re: (スコア:0)
コメント書いているあなたは、ニートか学生
自分で証明してどうする。
Re: (スコア:0)
>薬飲んで寝るか
と書いているから、病休だよ。
Re: (スコア:0)
ニートが眠剤飲んでるのかもよ
Re: (スコア:0)
> 薬飲んで寝るか。
なんて予防線をいちいち添えるあたりがもう…。