パスワードを忘れた? アカウント作成
7901159 story
ワーム

環境省のWebサイトがマルウェアによって改ざんされる。閲覧者への感染の可能性も 66

ストーリー by hylom
今年はこういう話が多いような気が 部門より

あるAnonymous Cowardのタレコミより。最近Webサイトの改ざんニュースが多く聞かれるが、環境省のWebサイトでも改ざんが確認されたという(INTERNET Watch環境省の発表PDF)。

問題となっているのは、家庭でのCO2排出量を表示するWebサイト「CO2みえ~るツール」。現在このサイトにアクセスすると、サイト改ざんに関するお知らせが表示される。 原因は「Darkleech Apache Module」というマルウェアだそうで、3月3日に設定ファイルが改ざんされていたことが確認できたという。また、改ざんされたサイトを閲覧すると、マルウェアを配布するサイトに誘導され、マルウェアに感染する可能性があったという。このサイトにアクセスしたことのあるユーザーに対しては、セキュリティソフトでのスキャンといった確認を行うよう「お願い」している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by ex (1307) on 2013年03月19日 9時44分 (#2346014) ホームページ 日記

    環境省だけの問題じゃなく、そもそも分かっているだけで同時期に国内少なくとも285サイトが同時に同様の感染をしている事例なので、こっち採用するくらいならタレコミ『「Darkleech Apache Module」に感染した日本のサイトにIEでアクセスするとマルウェア感染サイトに飛ばされる』 [srad.jp]を採用した方がよかったんじゃないかと思う。タイトルに「環境省」とか入ってなくてキャッチーじゃないとか言うなら(いつも通り)採用時に変えればいいだけだし。

    • by Anonymous Coward

      生むそれは思った。技術的にもよりいいしね。

      でも私は編集者じゃないんだ

      • 環境省は週末からお知らせを出しているというのに、0day.jp のリストに載っている285件のほとんどのサイトは今週に入ってようやく止まったようだ。

        ゆかしメディア [image.skr.jp]

        現在メンテナンス中です。
        ご迷惑をおかけしますが、ご理解・ご協力のほどよろしくお願い申し上げます。

        中津川市公式ウェブサイト [nakatsugawa.gifu.jp]

        3月15日~3月18日の間、市公式ホームページを緊急メンテナンスのために一時的に停止しました。
        現在は再開し、通常どおりご利用いただけます。

        再開までの経緯
          3月15日 市公式ホームページサーバが外部から書き換えられた可能性があると情報提供を受けた。
          利用者の安全性を最優先にするため、市公式ホームページの公開を停止。
          3月15日~3月18日 サーバのすべてのデータなどをウィルススキャンするなど調査を実施。
          3月18日 ホームページサーバの書き換えや不正なプログラムは確認されなかった。
          更なる安全を確保するための対策を実施し、サーバを再構築して再開。

        あれ?もしかして 0day.jp のリストは誤りを含んでいたか。

        なお# 2346017 [srad.jp]で「この件IEだけ感染するようなので、またIEが叩かれてしまいそうだなぁ。」と書いてあるけど、Internet Explorer はトリガーになっているだけで、ブラウザ自体に罪はない。

        --
        モデレータは基本役立たずなの気にしてないよ
        親コメント
        • by Anonymous Coward

          > あれ?もしかして 0day.jp のリストは誤りを含んでいたか。

          0day.jpの確認方法は妥当(実際のマルウェアの挙動に即している)し、
          怪しい400件から確定285件を絞り込んだものなので、リストには
          誤りがないと仮定するけど

          > 3月18日 ホームページサーバの書き換えや不正なプログラムは確認されなかった。
          > 更なる安全を確保するための対策を実施し、サーバを再構築して再開。

          感染の対象モジュールが分からない程度の技術者が再構築しても、
          また感染するだけじゃないですかね?
          「確認されなかった」と言うからには、感染経路の特定もできていないだろうし。

          • by Anonymous Coward

            > 0day.jpの確認方法は妥当(実際のマルウェアの挙動に即している)し、

            ()の中も読まないと日本語としておかしい文章を書くくらいなら
            最初から()抜きで書いて欲しい。

            #って思っている人って少ないのだろうか。最近よくこういう書き方を見かける。

          • by Anonymous Coward

            感染されてないのに、どうやって感染経路を特定しろって言うの?

  • またノーガード戦法か。環境省のサイトhttp://mieeeru.go.jp/ [mieeeru.go.jp]をhttp://news.netcraft.com/ [netcraft.com] で調べると、9-May-2011 から CentOS で Apache/2.2.3 を動かしてた。既に2007年に脆弱性が報告されている [jvndb.jvn.jp]のに、わざわざ化石のようなバージョンを使って平成23(2011)年から公開開始? セキュリティー対策をせずに6年前のバージョンのapacheでサーバー動かし続けていたらヤラれちゃいましたってか。そりゃ可哀想だな、環境省の情弱ぶりは。

    調査した結果、管理を委託している先のサーバー上の設定ファイルの一部が平成25年3月3日(日)に何者かにより改ざんされていることが判明しました。

    httpd.conf を書き換えられたか。そりゃ、rootを盗られたって意味だろ。これだと、マルウェア感染サイト誘導の踏み台にされただけじゃなく、サーバーからの情報漏洩もあり得るから通信ログ精査しろよ。まぁ、ログを取っているか、ログを分析できるのか、分析した所で対外発表するかは知らないけど。

    環境省のサイトは今は Apache のバージョンを伏せているが、時々、バージョンを伏せただけで対策完了、もうバージョンを上げる必要なしと思う情弱もいるから(正々堂々、最新のバージョンだと示せない)環境省のサイトは他も感染しそうでコワいからアクセスは控えた方が賢明だな。

    本サイトを閲覧した方は、直ちにお使いのパソコンを最新のウイルス対策ソフトでスキャンしていただくとともに、パソコンのOS、PDF、Java、Flash 関連のソフトウェアに対しては、最新のアップデートを適用し、セキュリティパッチの適用漏れがないようにしていただきますようお願いいたします。

    サーバーの脆弱性対策を一切求めない間抜けな業務委託契約を結んでおいて、ヤラれるまで完全放置プレイの挙句、マルウェア作成者と委託先とアクセスしてきた側のセキュリティー対策不足が悪いみたいな言い方で反省ゼロですな。

    中津川市のhttp://www.city.nakatsugawa.gifu.jp/ [nakatsugawa.gifu.jp] の方も、化石みたいなバージョンの Apache をヤラれるまで使ってたんですね。10-Apr-2007 から Fedora で Apache/2.0.54 か。凄いな。ん?市公式ホームページを停止し、ご迷惑をおかけしました。 [nakatsugawa.gifu.jp]

    サーバのすべてのデータなどをウィルススキャンするなど調査を実施。

    うわぁああああ~~~~ サーバーがヤラれてるのにデータなどをウィルススキャンだってぇ~!! 何の調査になってないだろ。全然、判ってないな。この辺を読んで理解する能力が無いらしい。いや、ここでコメントしている若干名も同様だが。

    更なる安全を確保するための対策を実施し、サーバを再構築して再開。

    ええと…今は Apache/2.2.2 (Fedora) DAV/2 PHP/5.1.6 か。うわぁああああ~~~~、凄いな。Apache も PHPは2006年のバージョンだ。ていうかバージョンダウンかよ。情弱にも程があろう。(PHP のバックポートとかしてないだろうな。高々テキストのページ表示するのにも PHP が無けりゃ表示できないガチガチの構成になっちゃっててバージョン上げられませんてか) これじゃまたすぐroot盗られるだろ。何も対策していないっぽいな。感染したサーバーを入れ替えたか、Apache のバージョンを下げただけだろう。

    ここで替え歌を。「マルウェア探してく~れるの待つの む~かしのバァジョ~ンでぇ~ 出て~えい~いまぁす~~~」 (song by 中津川市ほか多数) ここもアクセス非奨励。

    結局、今回のはヤラれて当然の化石バージョン使用のサーバーが軒並みヤラれたに過ぎず、ニュースでも何でもない。Windows PC を6年間、一切セキュリティー対策をしなかったらマルウェア感染しましたというのと一緒。ついでに言うと、中津川市のは「再インストールしたから大丈夫です。サービスパック?パッチ? 何ですかそれ。ウィルススキャンは入れてますよ(キリッ)」というわけだ。

  • 参考情報 (スコア:3, 興味深い)

    by JULY (38066) on 2013年03月19日 9時38分 (#2346009)

    テクニカルな情報は下記のページが詳しい。
    0day.jp (ゼロデイ.JP): #OCJP-098: 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されてしまいます! [blogspot.jp]

    今のところ、Apache モジュールを突っ込むための経路に関してはよくわかってなくて、管理している人の PC にマルウェアが入っていて、root をとるためのアカウント情報が抜かれていた、というのなら、まだ、マシなんだけど、リモートからの攻撃可能なサーバ上の脆弱性、とかだったら嫌だなぁ。Apache のモジュールをロードさせる、なんて、Apache 自体の脆弱性が無い限り、root を取らずには難しいと思うんだけど。

  • by Anonymous Coward on 2013年03月19日 9時29分 (#2346006)

    http://blog.trendmicro.co.jp/archives/6888 [trendmicro.co.jp]

    過去24時間でもっとも感染連鎖の入口となっている不正URL にアクセスしている地域は日本でした。

    http://srad.jp/~masakun/journal/564512 [srad.jp]

    現在確認されただけで 285件あり、

    副作用が心配だけど、数日くらいはq.phpを遮断したほうがいいのだろうか。

  • by Anonymous Coward on 2013年03月19日 9時39分 (#2346011)

    Linuxでapacheをターゲットにmod_chart_proxy.soというファイルを入れられる。
    これがIEで接続しようとしたクライアントをBlackholeの感染サイトへこっそり転送する。
    そこで、PDF/Java/Flash古いバーションの脆弱性を使われて、Blackholeで提供されているマルウェアに感染する。
    3/15の時点で285件のサーバーの感染が見つかった。

    でもmod_chart_proxy.soは、何の脆弱性を使ってwebサーバーへ入り込んだんだろ?
    http://unixfreaxjp.blogspot.jp/2013/03/ocjp-098-285blackhole-exploit-k... [blogspot.jp]

    #もちろんmod_chart_proxy.soなんてファイル名は簡単に変えられるだろうから注意。

  • by Anonymous Coward on 2013年03月19日 8時32分 (#2345989)

    予言しよう。
    もうすぐ、某大企業が運営するサイトがリニューアルされるであろう。
    くっだらねぇ所でiframeを使いたいがためだけに「サードパーティークッキーを受け入れるよう設定してくれ」と案内が出るであろう。

    ってまあ、それくらいですぐにユーザを脅威にさらすわけじゃないだろうけどさ。
    こういう甘い認識が2tか3つ重なると、そこにつけこまれるもんなんだよ。

    予言しよう。
    この某大企業はまだずっとしばらく、標的型攻撃に怯えることになうだろう。

    • by Anonymous Coward

      なんだろう?
      このtypoの多い予言者さんの信憑性の無さ加減は

      • by Anonymous Coward

        信憑性もクソもあるか。
        単純に
        「どこもかしこも認識が甘いとこだらけだ、俺が携わったサイトリニューアル案件も
         微妙なことばかりやりやがって、いつどうなるか分からんぜ」
        ってだけだろうに。
        お前さんはそういう経験は無いのかね?

  • by Anonymous Coward on 2013年03月19日 8時34分 (#2345991)

    ちなみにこれ真っ先にアノニマスが浮かんだだろうけどアノニマスは関係ないと思う。
    あの人たち塊で行動するし。

    • by Anonymous Coward


    • by Anonymous Coward

      あの人達ってどの人達だよ・・・まだAnonymousっていう特定団体があると思ってんのかよ・・・
      そういう自分もAanonymousだってことにいい加減気付こうよ・・・

      • by Anonymous Coward

        Aanonymousではないですけど、あなたは気付いていないんですか?

  • by Anonymous Coward on 2013年03月19日 10時18分 (#2346027)

    警察は環境庁の人を逮捕するん?

    • by Anonymous Coward

      するかもしれないよ
      しないかもしれないよ

      それ以上はわからない

    • by Anonymous Coward

      環境庁なんてもう今はありません。
      で、環境省のトップは環境大臣の……のぶてるか。

    • by Anonymous Coward

      マジレスすると、意図的に感染を広めようとしていない限り罪には問われない。
      だから環境省の人が逮捕されることはない。

      でもこれが個人サイトだったら問答無用で拘留されて、
      「意図的にやったんだろ!さあ吐け!家族と縁を切らせるぞ!」
      ……という取り調べを受けるかも知れない。

  • by Anonymous Coward on 2013年03月19日 16時04分 (#2346291)

    どっかのサイトに例えばHIV感染者リストとかに個人名をあげられてて、
    どこそこのリストに名前が挙がってるから、HIV検査して陰性だった証拠をあげてみろって言われたら?

    • by Anonymous Coward

      検査して検査結果を出しても、まだ潜伏期間中だとか、検査結果自体が改竄されてるんだろ、とか言ってくるんだろうな。

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...