ほう、を日常に。評論サークルSORAです。

2015年12月22日 16時21分~51分にかけて、当ウェブサイトは、外部からの改ざん被害に遭っていたことが判明しました。

【発見契機、発見日時】

発見契機は、当ウェブサーバの運用会社からの通知です。運用会社における発見・通知は2015年12月22日23時51分、当サークルにより影響範囲の確認、対処を行ったのは2015年12月23日12時頃〜15時20分でした。

【改ざんの方法】

当ウェブサーバの運用会社が利用可能にしていたCMSであるJoomla!に、脆弱性があることがJoomla!の製造元から公表されていました。しかしながら、脆弱性の公表時点では対応策の発表がありませんでした。対応策発表までの時間を狙って改ざんが行われたものである(ゼロデイ攻撃)と、2015年12月23日13時05分、運用会社から通知を受けております。

しかしながら当ウェブサイトではJoomla!を利用しておりませんので、引き続きJoomla!との関連性を運用会社に確認しております。

【改ざんを行った者について(推定を含む)】

改ざん者はTeam Emirates, GeNErAL KBKBと称する、アラブ首長国連邦のクラッカー(コンピュータ犯罪者)を名乗る者です。当該改ざん者は、特定ソフトウェア製品の脆弱性(SQLインジェクション)を利用し、遅くとも2008年頃から多数のウェブサイトを改ざんしているようです。ファイルを書き換え、英文でイスラムに関する政治的メッセージを表示する場合と、単にサーバーをクラックしたという英文の犯行声明に留まる場合があるようです。

【当サークルウェブサイトの被害】

当ウェブサイトの被害は『サイトに保存された全てのindex.で始まるファイルが、悪魔の絵や外部のMP3ファイルが自動で演奏される犯行声明ウェブページに差し替えられた』というものです。

【ご覧いただいているみなさまへの影響】

本事象により、当ウェブサイトをご覧になった方に何らかのコンピュータ被害が及ぶことはありません。「上記時刻に不快な犯行声明が表示された」以外の事象は確認されておりません。犯行声明のファイルはMicrosoft Wordで作成されたHTMLファイルで、危険なスクリプトなどは埋め込まれていませんでした。

【再発防止策について】

評論サークルSORAでは、2015年12月21日21時ごろに、ブログ用CMSであるWordPressの更新を行い、万全を期しておりましたが、このような事態を引き起こしてしまいました。12月23日、関係するパスワードを複雑なものへ変更、重要ファイルのパーミッション再設定などを行いましたが、まだ万全ではありません。今後WordPressログイン時の2段階認証、WordPress設定ファイルすべてのパーミッション再検討、サーバにおけるアクセスログの取得を順次行って参ります。

上記時刻に当ウェブサイトを訪れてくださった方には、ご不快な画面を表示してしまい、ご迷惑をおかけいたしました。深くお詫び申し上げます。申し訳ございませんでした。

評論サークルSORA 代表 tsubasa

Comments closed