~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

HOME > ニュース > 協議会からのお知らせ > 日本版 「STOP. THINK. CONNECT.」 Web サイト改ざん被害に関する中間報告

協議会からのお知らせ

日本版 「STOP. THINK. CONNECT.」 Web サイト改ざん被害に関する中間報告

2017年01月26日

フィッシング対策協議会が、米国 Anti Phishing Working Group (以降 APWG) と協同して運営する、セキュリティ啓発キャンペーンサイト 「STOP. THINK. CONNECT.」 Web サイトが不正アクセスを受け、Web サイトの改ざん被害が発生しました。これをうけてフィッシング対策協議会は 2016 年 1 月 15 日より Web サイトを閉鎖しております。 本報告は、現在までに判明いたしました、事実関係と対処について途中経過をお知らせするものです。


【 1 月 15 日掲載】 日本版 「STOP. THINK. CONNECT.」 Webサイト改ざんに関するお詫び
 https://www.antiphishing.jp/news/info/STC20170115.html


■今回の被害について
今回、改ざん対象となったのは、「STOP. THINK. CONNECT.」 Web サイトです。フィッシング対策協議会はこの Web サイトの日本語ページ部分 (stopthinkconnect.jp) のコンテンツ制作、更新を担っており、Web サイトで使用する Contents Management System (以降 CMS) ※1 へのアクセス権限を与えられておりました。また、今回の改ざん被害は日本語 Web サイトだけでなく、複数のアジア圏の国の言語に割り当てられたローカライズサイトにも及んでおりました。各国 Web サイトにおける Web サーバー (ネットワーク、ハードウェア、オペレーティングシステム、ミドルウェア) については、APWG にて管理が行われていました。 以下の報告は、フィッシング対策協議会にて管理し、把握できている範囲の事象についてとなります。


■被害状況
Web サイトの管理、更新を行なう CMS に対して、部外者からの不正アクセス (侵入) があり、 Web サイトの一部を書き換えることによって、当 Web サイトへのアクセスによって不正なページ (犯行声明) が表示されるようになっていました。


■対象 Web サイト
日本語版 STOP.THINK.CONNECT. Web サイト
http://stopthinkconnect.jp/


■改ざん内容
上記の Web サイトへアクセスすると、犯人の用意した犯行声明ページが表示されるようになっていました。悪意のあるプログラムのダウンロードやマルウェアへの感染を拡大させるような改ざんは確認されておりません。


■改ざんされていた可能性のある期間
2017 年 1 月 14 日 13 時 50 分ごろから 2017 年 1 月 15 日 16 時ごろまで


■影響範囲
上記の期間に Web サイトへアクセスしたと考えられるユーザー数 (ユニークユーザー数) 84 名に不正なページの表示がされましたが、当 Web サイトにはマルウェアは置かれていると認められなかったことから、当 Web サイト経由でのマルウェア感染は無かったものと考えられます。また、当 Web サイトには個人情報や機密情報は一切含まれておらず、情報漏えいによる被害もございませんでした。


■現在までの主な対応内容
・ Web サイトへのアクセスルートの遮断、DNS ※2 の書き換え
  Web サーバー自体がフィッシング対策協議会の管理下に無いため、外部からの流入を遮断するため、把握している範囲の URL リンクを削除、もしくは変更しました。
 また stopthinkconnect.jp の DNS 情報を変更し、改ざんの発生した Web サイトの名前解決が行なわれないようにしました。
・APWG 管理 CMS への不正アクセス状況の調査依頼
 改ざんのあったと考えられる時間帯における、ログや侵入手口についての調査を依頼しました。
・APWG 管理 CMS の登録パスワードの変更、強化
 日本語版 STOP.THINK.CONNECT. の編集権限を与えられていたメンバー全員 (フィッシング対策協議会内) の CMS へのログインパスワードの変更、強化を実施しました。


【被害発生時点からの経緯】

2017/01/15 08:20 犯行声明を表示させるためのプログラムコードが Pastebin ※3 ページが公開される。
2017/01/15 08:52 犯人と推定される Twitter アカウントによる犯行声明
2017/01/15 13:40 Web サイト改ざんの発見者より通報
2017/01/15 16:42 改ざん Web サイトの DNS 情報の変更、当 Web サイトへの URL リンクの解除を実施
2017/01/15 16:52 Web サーバー管理を行なう APWG へ CMS のログ確認を依頼
2017/01/15 17:46 DNS 情報変更により、該当ドメインの名前解決ができない (Web サイトにアクセスできない) 状態を確認
2017/01/15 19:15 協議会の Web サイトへ報告を掲載
2017/01/15 19:20 協議会の Twitter アカウントで周知を実施
2017/01/15 21:38 協議会より Pastebin 運営会社に対して該当 Pastebin ページの削除依頼
2017/01/16 04:13 APWG にて CMS のパスワードリセットとコンテンツのリストアを実施
2017/01/16 10:34 日本側 CMS のパスワードのポリシー変更とそれに基づいたパスワード再設定


■原因
今回の改ざん被害は、犯人が何らかの方法でサーバーに不正アクセス (侵入) し、不正なページを表示させるプログラムコード (スクリプト) を CMS に追加したことが原因となります。追加された不正なスクリプトは外部 Web サイト (Pastebin) に用意されたプログラムコードを読み込み、犯行声明を表示していました。 不正なスクリプトを追加した方法については特定に至っておりません。


■現時点での対策
現在、改ざんを受けた Web サイトの管理、更新を行なう CMS の利用を停止しております。またフィッシング対策協議会にて、システム管理から運用まで一貫したセキュリティ管理体制がとれるよう、Web サーバーの分離を進めております。準備が整い次第、Web サイトの再公開を行なう予定です。


■今後の予定
Web サイト改ざん、不正アクセスを防ぐための、システム構成、監視、運用体制について詳細を決定し、いち早く再公開が行なえるよう準備を進めております。
本件につきましては、Web サイトをご利用いただいている皆様へご迷惑及びご心配をお掛けいたしましたこと、重ねて深くお詫び申し上げます。

[注]
※1 Web サイトに表示するテキストや画像、レイアウト情報を一元的に保存・監視し、配信に必要な処理を行うシステム
※2 インターネットにおける住所に相当する IP アドレスと、それをわかりやすい名前にするドメインを紐付けるためのシステム
※3 テキストデータを保存し公開することのできる外部の Web アプリケーションサービス


フィッシング対策協議会 STOP.THINK.CONNECT. 普及啓発ワーキンググループ


お問い合わせ先

Mail (STC 普及啓発 WG 事務局) :stc-sec@antiphishing