メニュー

5件の国内サイト改ざんをきっかけにした共通点の調査メモ

2016年1月4日 - deface
5件の国内サイト改ざんをきっかけにした共通点の調査メモ

先日、「岩国医療センター」の改ざんについてのエントリーを公開しました
その後、調査をした結果、「岩国医療センター」以外に4件の国内サイト
(jpドメインで言語が日本語)も改ざんされていることが分かりました。
この4つのサイトについてはJPCERT/CCに報告済みです。
この改ざんを行ったと思われる攻撃者は以前のエントリーでも紹介した人物ともう1名によるものでした。

 

以下は、その2名が行動を共にしているということが伺い知ることができたのは彼(女)らの改ざんコンテンツの中に以下のようなものがあったためです。(この改ざん画面は国内サイトの改ざん結果ではありません。また、前回紹介した攻撃者とは別の攻撃者のハンドルについてはマスクし、アニメらしき画像についても加工を施してあります)
02

調査の結果、3つのサイトに共通する点はWebサーバにIIS以外、CMSには「Joomla!」を利用している点でした。
その他にも同様の改ざんが多数、海外ドメインで行われていることが確認できましたので直近の改ざんでWindows Server以外を利用していると思われているもの50サイトの調査をしました。確認項目としては以下のものです。

ソース内に「Joomla!」に関連するpathが存在するか。
表示されたエラーに「Joomla!」関連のpathが存在するか。

現時点のコンテンツを見られない場合はGoogleのキャッシュや「Internet Archive」で直近のものを確認しました。
結果としては50サイトすべてCMSに「Joomla!」が利用されていたことが確認できました。2015/01/03だけでも500近いサイトが改ざんの被害に遭っていました。この数を考えると同じ脆弱性を抱えているサイトをGoogle Hackingなどの手法を用いて検索した結果、マッチしたものを軒並み改ざんして回っているということが推測されます。実際にどの脆弱性が利用されたのかを外部から特定するためには、実際の攻撃を行う以外には困難です。そのようなことは決してできないため、利用している脆弱性の特定には至っておりません。しかしながら、これだけの多くのサイトの改ざんが成功してしまっていることを考慮すると比較的新しく、個別のプラグインの脆弱性ではなく、「Joomla!」本体の脆弱性が利用されたのではないかということが考えられます。「Joomla!」の脆弱性(厳密にはPHPの脆弱性)では、CVE-2015-8562が挙げられます。そちらに関しては以下のような条件下で影響を受けることが分かっています。

Joomla! バージョン 1.5.0 から 3.4.5
および、Joomla! が動作する PHP のバージョンが以下の場合
PHP バージョン 5.4.44 以前の 5.4.x
PHP バージョン 5.5.28 以前の 5.5.x
PHP バージョン 5.6.12 以前の 5.6.x

詳しくは、こちらのレポートを参考にしていただければと思います。

改ざんは、特定のサイトを狙っているというよりは改ざんができるところを半ば無差別に行われていると言っても過言ではない状況であるため「Joomla!」を利用しているサイトの管理者の方やお客様への導入を行っている企業の方は改めて「Joomla!」及び「PHP」のバージョンをご確認いただき、該当する場合は可及的速やかに脆弱性が存在しないものへとアップグレードしていただくことを推奨いたします。また、「Joomla!」では個別のプラグインでも比較的頻繁に脆弱性が報告される傾向にあるため、そちらも併せて確認の上、脆弱性が存在するバージョンを利用している場合は、こちらも対処いただくこともあわせて推奨いたします。