2016年11月16日水曜日

セキュリティネタ:JPCERT/CC 意図しないindex_old.phpへのリンクが置かれるケース(12月1日更新)

秋ですねー。先週、私はFOCUS16で講演をしておりました。
沢山のお客様、私の講演でも立ち見が出ておりました。セキュリティへの注目度の高さを感じる今日この頃です。

さて、本日はJPCERT/CCからでている注意喚起についてです。
まだ分析中ですが・・・すみません。

 <<< JPCERT/CC Alert 2016-11-14 >>>
Web サイト改ざんに関する注意喚起
https://www.jpcert.or.jp/at/2016/at160047.html
I. 概要
  JPCERT/CC では、Web サイト改ざんに関する情報提供を受けています。
報告された情報によると、攻撃者は Web サーバに不正なファイルを設置する
ことで、アクセス回数や閲覧者など Web サイトの利用状況等についての調査
活動を行う目的で、国内の複数の Web サイトを改ざんしているとのことです。

こちらの件、内容としてはこんな感じとのことです。

  - 攻撃者は、Web サーバに不正なファイル index_old.php を設置し、Web
    サイトのトップページに不正なファイルを読み込ませる処理 (以下) を追
    加する
    <script type="text/javascript" src="./index_old.php"></script>

本日(11月15日)Webを巡回しているところ、偶然ですが見つけました。

(12月1日 対応状況を加筆、更新)

そのWebがこちらです。


開発者モードでソースを表示していますが、ソースコード内に以下のような記載を見ることができます。


ちょっと不思議な書き方ですね。Wayback Machineでこのページが作成された(と言っている)2014年2月頃のソースコードを見てみます。


確かにこの部分にindex_old.phpの表記はありません。もう少し後をみてみましょう。2015年8月のデータです。


おや?このころにはこの記載が追記されています。

Fiddlerで現状のトランザクションをとってみました。

302で転送されてしまっていますね。。。

今回、JPCERT/CCで出ていた件で類似したページが見つかりましたが、率直に申して今回のページについては改ざんについては白黒判断ができませんでした。念のため、ページ元には確認の連絡をしてみたいと思います。また、本件についてはしばらくは様々なページの観測を継続していこうと思います。

--------------------------------------------------------------
更新

  • 11月28日 JPCERT/CC通報 同日ケース#発行
  • 12月1日 16:51 JPCERT/CCより下記連絡
  • Topページが非公開となっていることを確認、ケースをいったんクローズ。
JPCERT/CC様、いつも素早いご対応ありがとうございます。

0 件のコメント:

コメントを投稿