2017 04123456789101112131415161718192021222324252627282930312017 06  
他人事じゃない、ヤマレコがハッキング被害
2014 / 02 / 27 ( Thu )
更新、ご無沙汰、どうもすみませぬ <(_ _)>

仕事が忙しくて、お休みもなくて、
お山にも行けないわ、疲れてブログも書けないわ、で、
申し訳ございませぬ <(_ _)>


さてさて。

利用者も多い(僕はまるっきりですが)、山行記録とか登録できて、
みんなで情報共有できる登山系SNSサイトの「ヤマレコ」が、
何者かによってサイトが改ざんされていたそうです!

それも、閲覧したPCにウイルスを感染させる仕掛けがなされていたとのこと (>_<)

現在は修正・セキュリティも強化されたようですが、
2014年2月24日 2:00から12:00、16:00から16:20まで」の間、
改ざん状態だった間にヤマレコを閲覧された方は、
ウイルスに感染している恐れがあるとのこと。

一刻も早く、ウイルススキャンを行い、感染の有無を確認して欲しいそうです。

詳細について、ヤマレコの日記から、

サイト改ざんの影響について

2014年2月24日 2:00から12:00、16:00から16:20までの間、ヤマレコのサイトが改ざんされ、コンピューターウィルス(トロイの木馬)(JavaアプレットおよびFlashの実行ファイル)をダウンロードし実行する状況になっておりました。

セキュリティ対策が十分ではないパソコンでヤマレコにアクセスした場合、ウィルスに感染している可能性があります。
該当する時間帯にヤマレコにアクセスされた方は、ウィルスに感染していないか、ウィルス対策ソフトでスキャンをお願いいたします。

ウィルス対策ソフトをインストールされていない方は、オンラインのスキャンサービスなどを利用して、まずウィルスに感染していないかを確認してください。

(ご参考)トレンドマイクロ社のオンラインスキャンツール
http://safe.trendmicro.jp/products/onlinescan.aspx
(ご参考)McAfee社のオンラインスキャンツール
http://home.mcafee.com/downloads/free-virus-scan?culture=ja-jp&

感染済みとなった場合は、ウィルス駆除ができるソフトウェアをご利用いただくことになります。

多大なご迷惑をおかけし、申し訳ございません。

以下、現状の調査状況及び対策についてご説明させていただきます。
(2014.2.25 10:42現在)

■改ざんの経路・方法について

現在調査中の状況ですが、情報が不十分で、完全な特定は難しい可能性があります。

外部からのログインの形跡・削除した形跡が今のところ発見できておらず、
何らかのサーバーアプリケーションの脆弱性を利用して、外部から
ファイルが登録されたのではないかと考えております。

javascriptファイルの改ざんにより、ウィルスに感染したファイルに
アクセスするiframeタグを挿入されておりました。
また、ウィルスに感染したファイルもサーバー上に追加登録されておりました。

それ以外の個人情報の漏洩、データベースなどへの不正な操作については、現状は確認できておりません。

■登録されていたウィルスファイルについて

3種類のウィルスに感染したファイルがサーバー上に登録されておりました。
それぞれをウィルス解析サービスで解析した結果は下記となります。

・ファイル1
https://www.virustotal.com/ja/file/486f5f7419afcfdc275a54d95c7e5af7fe26f6bc34aa0913ddc962430c6fc477/analysis/
・ファイル2
https://www.virustotal.com/ja/file/b9c9dab0fd30418884800afebbaba4d99f4526ef0c9a47972a20ab20fed0a06d/analysis/
・ファイル3
https://www.virustotal.com/ja/file/01fa105e84aa410ab4c035a8a72b008f69727fd5bede5346e0b0a7b30dab765c/analysis/

(2014.2.25 11:31追記)----------------------------------------------
22日ごろより他サイトでも改ざんにより「CVE-2014-0322」というIE10の脆弱性をついたウィルスが配布されており、当サイトも同様のウィルスを登録されていた可能性があります。
http://blog.trendmicro.co.jp/archives/8632
http://www.security-next.com/046778
一部のユーザー様から提供いただいたウィルス検知ソフトの情報では 「Win32/Exploit.CVE-2014-0332.A トロイの木馬」とのご報告もいただいています。
------------------------------------------------------------------

■対策について

現時点で行った対策としては、以下となります。
・サービス維持に不可欠なものを除き、インターネット側からアクセス可能なL4ポートをすべて遮断
・SSHサーバーをファイルサーバーから分離し、インターネット側からファイルへの直接アクセスを不可能に
・サーバー上の各アプリケーションを最新の状態にアップデート
・サーバー上の各Linuxユーザーアカウントの認証情報の変更
・WAF(Web Application Firewall)の導入
なお、セキュリティを確保するため、対策に関する詳細はお答えすることができません。

今後は、定期的なアプリケーションのアップデートに加え、サービス提供に必須なフロントサーバー群を除き、インターネット側からは完全に遮断し、DMZを構築する方向で検討を進めて行きます。

(2014.2.26 23:07追記)----------------------------------------------
■不正プログラムの動作について

ウィルスの目的は、ゆうちょ銀行およびみずほ銀行のオンラインバンキングへのアクセス時にニセのログイン画面でパスワードを抜き取ることのようです。
下記の記事のような画面が出た場合は、パスワードを入力しないようにご注意ください。

『IEの脆弱性を悪用して不正プログラムをインストールさせるためのコードが埋め込まれていた。
不正プログラムは、日本のインターネットバンキング利用者を狙う不正プログラム「Infostealer.Bankeiya」で、ゆうちょ銀行とみずほ銀行のオンラインバンキングへのアクセスを監視し、アクセス時に偽のログイン画面を表示し、IDやパスワード、第2暗証番号などの情報を盗もうとするものだという。

IE10へのゼロデイ攻撃が日本で拡大、改ざんサイト閲覧で不正プログラム感染 - INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20140226_637153.html
------------------------------------------------------------------

今後状況に変化があれば、本ページに追記を行っていきます。

今回の事態を厳粛に受け止め、今後はこのようなことが再発しないようセキュリティ
対策およびセキュリティ体制の強化を行ってまいります。
申し訳ございませんでした。


ヤマレコが狙われたなんて、まさかというか、怖い怖い (-_-)

ちなみに、うちのサイトは無料サービスを間借りしてやってるので、
ホムペを投稿・編集するためのログイン・パスワードが流出しない限りは大丈夫だし、
ヤマレコに比べたらPV(ページビュー)もわずかなもんだから、狙われにくいとは思うけど、
人の振り見て、で、気をつけてないと。

(改ざん中の)ヤマレコ利用者の方、ウイルススキャン、必ずやってみて下さいね。

それと、IE(インターネット・エクスプローラ)の古いバージョンを利用されてる方、
とっとと最新のにアップデートしてください。

古いIEは穴だらけです!

ウイルスに感染しまくりまっせ!

ちなみに、うちのサイトの今日の訪問者数を調べてみたら、
約3割がなんと IE 8 !
IE 6 の方も約2%も!

もしかすると、IE 6 の方のPCはすでにウイルスまみれかも!

PC上のすべてのデータ(個人情報含め)が世界中にばらまかれ、
アドレス帳に登録されている友人知人の情報なんか、とっくに、犯罪組織の手に渡ってるかも。

ホント、古いバージョンの IE を使われてる方、一刻も早く、新しいものに替えて下さいね。
関連記事

23:27:11 | コメント(回答)(0) | page top↑
遭難の裏で 40数時間励まし続けた警察無線<<古い方< 最新記事 >新しい方>>久万の山岳救助隊
コメント
コメントの投稿














←管理人以外は読むことができないメッセージにしたい場合はチェックを

「バカ」「アホ」「変態」「狂」... 使いようによっては他人を不愉快にさせるワードは投稿不可となっています、ご注意下さい。

コメントいただくのはとてもうれしいんですが、
「送信」ボタンを押す前にいま一度、読み返してみて下さい。

「よく読んでもらえば分かる」「行間を…」ということを相手に望むのはわがままです。

お怒りな場合でも、大人な対応でぜひ、よろしくお願いします。 <(_ _)>

お山でも町でもメールでも、自分がイヤなことは他人にしてはいけませんよね。

なお、当ブログは一個人のブログです。
コメントの削除や受信拒否の設定をする・しないも正直、私個人の勝手です。
不愉快だと思ったコメントはばっさり削除します。
違う意見を持つ人と共存できないクレーマーと判断したら、即、ブロックします。

相手が聞く耳を塞いだら、どんなに正論でも一生届くことはないでしょう。

いろいろ、すみませんが、ご了承下さい。

遭難の裏で 40数時間励まし続けた警察無線<<古い方< 最新記事 >新しい方>>久万の山岳救助隊