山口県岩国市の「独立行政法人 国立病院機構 岩国医療センター」のWebサイトが
2015年12月23日に改ざんされたと以下のような報道がありました。
・米軍基地関係と勘違い? 病院HPにハッキング攻撃 (魚拓)
・岩国医療センターのホームページに不正アクセス(山口県) (魚拓)
Webサイトの改ざん被害を受け2015年12月27日現在、岩国医療センターのWebサイトはシステムメンテナンスが行われています。
報道の中には以下のような記述がありました。
病院によると、23日午後3時過ぎ、県警からHPが改ざんされていると連絡があり、調べたところ、画面が真っ白で左上に「Hacked By Kuroi’SH」の文字が表示されていた。HPの管理会社に照会すると、不正アクセスは同日午後1時24~38分にあり、「軍事関係施設を狙う集団か個人」による攻撃との説明を受けたという。
病院は「市内に米軍岩国基地があるので、関連施設と勘違いしたのでは」とみている。
なんとなくではあるのですがこの記述に違和感を覚えたため以下の項目について確認を行いました。
① 改ざんを行った人物は誰か
② どのような改ざんが行われたのか
③ 改ざんのターゲットは本当に軍事関係施設だったのか
①から確認していきます。
改ざんを行った人物については報道中にある「Hacked By Kuroi’SH」の部分です。
まずはTwitterでこのハンドルネームと思われる部分で検索したところ以下のアカウントがヒットしました。
プロフィールの自身のサイトを記述するところにはWebサイトの改ざんアーカイブを行っているサイト「zone-h」へのリンクがあったためそちらも併せて確認しました。
ざっと見たところかなりの改ざん報告の実績(改ざんを行った者= 報告者の場合もありますが必ずしもそうとは言い切れないためここではこのように表現しました)があるようです。岩国医療センターの改ざんは2015年12月23日であるとの報道があったためその日付で改ざんの報告がされているかの確認を行いました。
上図のように岩国医療センターのWebサイトのドメイン[iwakuni-nh.go.jp]がありました。報告されているアドレスは[www.iwakuni-nh.go.jp/x.php]とあるのでトップページを改ざんされたわけではなくファイルを追加されるタイプの改ざんが行われたことがうかがい知ることができます。また、報道では以下のようにありました。
ホームページなどに不正アクセスを行う「ハッカー」たちが成果を誇示するサイトを警察庁が巡回していたところ、今回のハッキングに関する書き込みを発見したもの。
トップページなどの既存のコンテンツが改ざんされたのであれば自組織や閲覧者からの通報で気付くというケースが多いのですが上記のように「zone-h」を巡回していたところでの発見というのは自然な流れであるという印象です。
「zone-h」では改ざん時の状態がアーカイブされているのでそちらを確認します。これで②の確認ができます。
改ざんページには報道以上の情報は特にありませんでしたが、当該ツイッターアカウントのプロフィールにある「zone-h」のリンク先に岩国医療センターのドメインがあったことからこのツイッターアカウントが改ざん報告を行ったアカウントであり、改ざんコンテンツに「Hacked By Kuroi’SH」とあったことからこのアカウントが改ざんを行った可能性が濃厚であるということができるかと思います。
③についてですが、「zone-h」にて当該アカウントの改ざんの履歴を見たところ軍事関係施設以外のものも多数ありました。しかし、岩国医療センターWebサイトの管理会社は「軍事関係施設を狙う集団か個人」による攻撃との説明したと報道にはあります。こちらについては、岩国医療センターWebサイトの前の報告にブラジルドメインの軍事関係のサイトの改ざん報告が11件並んでいたからではないかと考えられます。
となるとこの改ざんの真意は分かりませんので当該アカウントに「日本の報道ではあなたの行った改ざんは軍事施設を狙っているとされている。ボクは違うと考えている」といったいったメッセージを送ってみました。すると以下のような回答を得ることができました。
@ntsuji This is not the case however i didn’t attack Japan randomly, I attacked Japan to introduce their government to remove death penalty
— Kuroi’SH (@sh_kuroi) 2015, 12月 24
推測の通り、軍事施設をターゲットにしてはいなかったようです。攻撃の理由としては日本政府が死刑制度を導入しているということのようでした。
【2016年01月13日追記】
「独立行政法人 国立病院機構 岩国医療センター」のWebサイトのトップページに[ホームページ改ざんに関するお詫びとご報告]が掲載されていました。(魚拓)
以下は引用です。
[ホームページ改ざんに関するお詫びとご報告]
当医療センターホームページが、12月23日13時24~38分に第三者からの不正アクセスにより改ざんされていることが判明したため、12月23日 ~1月7日の間閉鎖しておりましたが安全性が確認されたため復旧いたしました。
なお、当医療センターで調査したところ、個人情報の流出及び二次感染のおそれはありませんでしたので報告いたしますとともに、ご利用いただいております皆様におかれましては、ご迷惑をお掛けしましたことを、深くお詫び申し上げます。
【2016年01月03日追記】
国内の組織のサイトで同様の被害が岩国医療センター以外にも2件確認できました。
岩国医療センターを含む3つのサイトの共通点は「Joomla!」を利用していたという点です。
実際に攻撃を行うわけにはいきませんので推測になりますが、ここ最近の「Joomla!」に発見された脆弱性(根本的にはPHP の脆弱性 CVE-2015-6835 )では、CVE-2015-8562が挙げられますのでこちらが利用された可能性が考えられます。「Joomla!」を利用しているサイトの管理者の方は「Joomla! の脆弱性として報告された、リモートから任意のコードを実行可能な脆弱性(CVE-2015-8562)に関する調査レポート」を参考にして対策を講じていただくことを推奨します。