JR東日本サイトがまた改ざんされた模様 47
ストーリー by soara
大めいわく Gumblar ふたたびあらわる 部門より
大めいわく Gumblar ふたたびあらわる 部門より
Technical Type 曰く、
昨年12月23日にサイトが改ざんされたJR東日本のサイトが、また改ざんされた模様です(INTERNET Watch、読売、Security NEXT)。
僅か2ヶ月でまた検索ページがGumblar亜種に感染し、自社では発見できず外部からの指摘を受けるのではJR東日本のセキュリティ体制はノーガード戦法と判断する以外にありません。
仏の顔も三度まで(二回なら許してあげてw) (スコア:3, 興味深い)
改ざんされたファイルは前回とは違い、現在のところ原因も不明とのこと(Security NEXT)。
JR東日本の管理体制が甘いと言われても仕方ないけど、今回は4日
(2010年2月18日(木)22時29分~2010年2月22日(月)17時18分) [jreast.co.jp]でサービスを停止できたわけだからまだマシな感染事例ではないかと。
一方ガンブラー攻撃は次々亜種が登場し、攻撃の様相が様変わりしている模様。
イタチごっこ続くWebサイト改ざん、埋め込みコードがまたまた変化 [so-net.ne.jp](2010/01/28 セキュリティ通信)
ここでJR東日本を「ノーガード戦法」と非難したところで、他の改ざんサイトが改善するわけでなし。
ガンブラーの攻撃は進化しているわけだから、これはもうユーザー側で防御するしかないでしょう。
# 同じ管理体制ならJR東日本に三度目がありそうですけどね
モデレータは基本役立たずなの気にしてないよ
Re:仏の顔も三度まで(二回なら許してあげてw) (スコア:3, 興味深い)
気になるのは
1.サイトの管理体制
同じ失敗を繰り返すって、とてつもない人が管理していそうだな。
予算が無いからとかいう理由だったら悲しい。
2.管理用コンソールがまた感染したのか?
セキュリティ対策はしなかったのか?
3.駆除しきれなかったのか?
Rootkit系にやられてる?
実はガンブラー系に見せかけた、スピア型の攻撃を受けてる?
Re:仏の顔も三度まで(二回なら許してあげてw) (スコア:1)
なので、今回の件を「同じ失敗」とみなすのはちょっと可哀想だと思います。
Webサイト管理者の職位に優秀な技術者が十分供給されているわけではないことは、ご存知のはずです。
Lv5以下の社員全員にデスマーチ!
こういうマヌケな対策、多いのですか? (スコア:2, 興味深い)
コメント変えたり、変数名変えたり、間に関係のない処理を挟んだら検出できなくなるものが結構あるとか?
1を聞いて0を知れ!
Re:仏の顔も三度まで(二回なら許してあげてw) (スコア:2, すばらしい洞察)
心の広い仏でさえ二度までが限度で三度目はNGです。
一般人は仏みたいに心が広くないので二度目でNGです。一度目でNGの場合もあり得ます。
Re: (スコア:0)
> これまでのマークをキーワードに改ざんチェックをしていると、あっさり見過ごしてしまう。
「鈴木という名前で犯行を繰り返しています」「鈴木が来たら注意しましょう」(全国の、そしてシアトルの鈴木さんごめんなさい)
というやりかたじゃ、そりゃ鈴木が佐藤に名を変えて犯行をおこなったら捕まえられないでしょう。
犯行手口というか、実際のスクリプト部分の内容でチェックできないのでしょうか。
Re: (スコア:0)
履歴管理がしっかりしている製作現場ならば出来ます。
単純にファイルのタイムスタンプを照らし合わせただけでも改竄は確認できますし、
仰る「スクリプト部分の内容」についても、それほどバリエーションがあるわけではないので、
「このファイル以外で××を使っているはずが無い」等と言う事になります。
ただ、そのようにちゃんと環境や仕組みを整備するまでが難儀です。
特に古くから存在するWebSiteについては、中の人が現存するファイルの大部分を把握出来ていません。
コンテンツ管理、ファイル管理、履歴管理の仕組みが当たり前になる以前にサーバに上がっちゃったファイルが足を引っ張ります。
5年以内にゼロから構築したようなサーバでは、最初から管理された環境で作られているはずなので、たぶん平気。
# 「捨てる勇気」って大事だなぁと思いつつ、個人的には出来てない。
Re: (スコア:0)
Re: (スコア:0)
― 隣の会社 ―
Re: (スコア:0)
> 22日未明に「/*LGPL*/」から「/*Exception*/」に変わった際には、それまで検出できていたウイルス対策ソフトが一斉に検出不能に陥ってしまったが、今回も見事に>検出を回避してしまった。攻撃の手は緩むことなく、まだまだイタチごっこが続くようだ。
なんというやっつけ仕事。
責められるべきはこっちのような…。
Re:仏の顔も三度まで(二回なら許してあげてw) (スコア:2, 興味深い)
気持はわかりますが、誤検出(偽陽性という方向かな?)があると、それはそれで問題になりやすいし、改訂速度と伝播量/存在量を考えて厳しめのチェックルールになったりするのは、理解できるかなと。
# まあ、嬉しくないですけどね。
最近はそれじゃまともに検出できないこと多数なので、サンドボックスでの実行結果をもとに~みたいな話しもありますが、そうすると検出エンジンの大改訂が必要でしょうねぇ...いやすでにあるレベルでは搭載されてるかもですが。
M-FalconSky (暑いか寒い)
Re:仏の顔も三度まで(二回なら許してあげてw) (スコア:1, すばらしい洞察)
そうとしても、スクリプトのコメントを目印にするのはあんまりかと。
これではだれでもすぐに検出されないように改変できてしまいます。
緊急対応は別としても、実動作部分でマッチングを取れないものでしょうかね。
例えば中間言語に落したものを特徴抽出するとか。
公開サーバに置く場合にはサンドボックス式でチェックするにしても、常用リアルタイムのものには
なかなか適用できないでしょうからパターンマッチング式がメインでしょうが、その肝心の
パターンに穴があるような作りでは困ります.
それにしても、いまだにftpのアカウントさえ合っていればアクセス元を制限せず公開用サーバに
ファイルを置くことを許してしまうんだろうか。
信頼性に欠けるとおもうのは、別に同じ穴から異なるファイルが改竄されたって全然不思議ではないのに
こんな広報をしてしまうことです。
・サイト内のキーワード検索機能以外のページは改竄されていないことをチェックしたの?
・前回の改竄からどんな対策したの? 制作部署のウィルスチェックしただけとかftpアカウント変えただけとかとか。
・当該アカウントを使用しているのは、"キーワード検索機能"だけなの? 普通、他も手がけているよね?
この件についてJRのサイトにアナウンスも見えず、internet.watchからのリンク先も
「2月26日(金)より再開いたしました。」しか情報がなく、利用者にウィルスをダウンロードさせた可能性があったという責任感が薄いように思われます。
Re: (スコア:0)
そうとしても、スクリプトのコメントを目印にするのはあんまりかと。
誤検出の可能性が一番下げやすい場所なんですよ。
緊急対応は別としても、実動作部分でマッチングを取れないものでしょうかね。
例えば中間言語に落したものを特徴抽出するとか。
無理、広告用のscriptタグの埋込みによく使われる方法をなぞっているので、誤爆が多すぎます。
特徴はアクセス先のサーバとコメント位です。
それにしても、いまだにftpのアカウントさえ合っていればアクセス元を制限せず公開用サーバに
ファイルを置くことを許してしまうんだろうか。
感染したマシンがFTPアクセスしてる可能性もあるので、そのチェックでは駄目なんじゃないかと思いますよ。
正規のFTPアクセスを行っている端末が既に感染しているわけなので、その端末経由で改竄を行うことも容易なはずです。
Re:仏の顔も三度まで(二回なら許してあげてw) (スコア:2, 参考になる)
FTPでサーバーに置いた後別のシステムで承認したらコミットするような仕組みとか。
CMSがそういった仕組みを持っていても良いですよね。
とりあえず一時的な防護にはなりそう。
# 踏み台にされてトロイの木馬とかが仕込まれてたら既にアウトですが。
Re:仏の顔も三度まで(二回なら許してあげてw) (スコア:1)
単純にアップロードする前にハッシュ取っておいて、
定期的にハッシュと比較して違ってたら公開停止……みたいなのは負荷が高そうですな。
そんなにちょこちょこ変えるもんでもなかろうし、FTPに動きがあったらメールが飛ぶ、とかでも充分な気がしなくもない。
# もちろんメンテナンス時はメール送信は止めとく
Re:仏の顔も三度まで(二回なら許してあげてw) (スコア:2, 参考になる)
動的/静的なファイルを分別してサーバサイドで改竄検知システム動かしておけば
ftp のアカウントで改竄検知システム止められるサーバか、
権限昇格の脆弱性でもなければ防げる問題なんじゃないかと
某 Gumblar 対策セミナーの資料を見た限り思ったのですけど甘いかな。
自分がやること想像してもファイルの分別が難しいってのは思いつくけどー
http://www.tripwire.co.jp/solutions/gumblar.html [tripwire.co.jp]
おお、ちゃんと商機に乗ってる。
http://srad.jp/~mubi/journal/485172 [srad.jp]
http://afick.sourceforge.net/ [sourceforge.net]
afick ってのもあるのですね。perl スクリプト? FreeBSD で動くかなー?
Re: (スコア:0)
FTPのアカウントを覗くなら、そのファイルにアクセスするプロセスをチェックすれば良いんじゃね?
Re: (スコア:0)
> 例えば中間言語に落したものを特徴抽出するとか。
JavaScriptにはevalがあるので、そういうC/C++で書かれたウイルスのような発想では検出が非常に困難です。
> パターンに穴があるような作りでは困ります.
そもそもパターンマッチングで何とかしようとすることに根本的な無理がある。
とはいえ「/*LGPL*/」や「/*Exception*/」にマッチさせてたというのはあんまりすぎますけどね。
Re: (スコア:0)
については、コーディング規約で「eval禁止。理由はセキュリティチェック。他の方法で回避できない場合は逸脱決裁を受け、特別のパターンファイルの提供を受けること」みたいにするのもアリだと思う
Re:仏の顔も三度まで(二回なら許してあげてw) (スコア:1)
Javascriptの場合、new Function("alert('EVIL CODE!!');")();のような方法もありますし、
HTMLと組み合わせた場合、document.body.innerHTML = '
'+document.body.innerHTML+'
'
なんてこともできますし、それらを全部防ごうとするのは結構大変ですよ。
# パターンファイル化のためとは関係なく、eval系を極力使わない/使うときは細心の注意を払って、というのはセキュリティ上、大変よいことですが。
1を聞いて0を知れ!
Re: (スコア:0)
これでいいじゃん。
Re: (スコア:0)
「Javascriptを中間コードに置き換えて検出する」に対して、「文字列の形でウィルスコードが書かれていたら検出するのが難しい」って話じゃないの?
Re:仏の顔も三度まで(二回なら許してあげてw) (スコア:1)
document.body.innerHTML = '<div onmouseover="alert(\'EVIL CODE!!\');">'+document.body.innerHTML+'</div>'
1を聞いて0を知れ!
Re: (スコア:0)
本来、とても高度な技術が必要なはずのセキュリティ対策ソフト市場に、有象無象の多数の企業が参入しているという時点でアヤシイんです。
実は何もしないプラセボのセキュリティ対策ソフトでも、第三者から知らされなければ、役に立たなかったことが判明するまで、気が付かないのではないでしょうか。
それにしても、JR東日本には学習能力がないのか?
一度ヤられてるのに、
「このページはJavaScriptを使用しています。 」
なんて表示をして、ユーザーにJavaScriptを許可するよう暗に求めてる。
そう表示されて、ホイホイとJavaScriptを許可する人もマヌケだとは思うが、
セキュアなWebサイトを作れないのなら、JavaScriptを使わずにサイトを作れ。
対策したつもりとノーガード戦法は別では? (スコア:0)
・ウイルスに対する理解が不足していて対策になってなかったとか
・委託していた業者を対策済みという業者に変えたら、まるで対策されてなかったとか
・業者に変えたら、孫請けが一緒だったとか
そういう事例ではないかと思ったので。
人任せはよくない (スコア:0)
いや、それはそれで業者任せにしてるってことで、どうかという気もします。
まあ専門家でもなんでもないJRがじゃあどうすればと言われると難しいですが・・・。
# 専門家のはずのNから、Gumbler感染してないか調査してくれ、とお手紙きたよ\(^o^)/
# いいんだな?調査方法も何も指定せずに、俺に丸投げして本当にいいんだな?俺がぐぐった範囲でしか調べられんぞ?
部門名 (オフトピック) (スコア:3, 興味深い)
ホッツェンクロップだっけ? ホッツェンプロッフだっけ? ……どっちも違った [amazon.co.jp]。
Re:部門名 (オフトピック) (スコア:1)
だが、私が最初に想起したのはヘンリヒ・マイヤーだった。
// と思ったら「い」ではなく「~」だった
「僕じゃないもん戦法」 (スコア:3, おもしろおかしい)
「ノーガード戦法」なんてかっこいい名前付けちゃだめでしょう。
「僕じゃないもん戦法」とか情けないのにしてさらし者にしないと。
検知 (スコア:2)
すごい初歩的かもしれないけど
1時間に1度、サーバにおいたファイルをscp等でサーバからひっぱってきて
オリジナルのファイルとdiff(差分比較)して、差分が出たら警報を上げて
速攻改ざんの判断してサーバをメンテ画面に差し替えちゃう、って
ダメなのかしらん?
そもそもアップしてあったはずのファイルと違うじゃん→改ざん ということで。
データベース経由で表示させるデータにウイルスが登録されて
しまった場合は別として、静的ファイルに紛れ込ませる手段で
感染させるにはそれで検知できて対策できるかなあと。
サイトをupdateする段階でオリジナル置き場も用意して
2箇所にアップロードして、比較と。
外部からwebアクセスできて感染できる状態では意味が無いので、
できればサーバ群から切り離して... ローカルPCでもいいとおもうんだけど ...
というのはどうなんでしょう...
あ、もし感染する方法と場所を勘違いてたらごめんなさい
( ´・ω・`)いままでとこれからを比べる生活
ぱんかれ
Re:検知 (スコア:1)
で、どこのツール・アプライアンスなら対策できるのよ (スコア:1, すばらしい洞察)
声高に「うちは大丈夫です!」と言ってる所あるの?
逆にJR東はどこの製品を使っていたのか? というところが皆さん知りたいところでは??
(多分、その会社は運用が悪いって言うんだろうケドさ)
撃墜マークは高らかにいうけど、墜落マークはなかなか表に出ないよね^^;
Re: (スコア:0)
そんなこと言ったら速攻目を付けられますよ。
Re:で、どこのツール・アプライアンスなら対策できるのよ (スコア:1)
/.jは大丈夫ですよ
関連ストーリーのリンクでトロイの木馬 (スコア:1)
JR東日本サイトが改ざんされた模様
http://srad.jp/security/09/12/23/0455204.shtml
に飛ぶとトロイの木馬が検出されます。
アンチウィルスはAvast! です。
ファイル名: http://srad.jp/security/09/12/23/0455204.shtml
マルウェアの名前: JS:Illredir-H[Trj]
マルウェアのタイプ: トロイの木馬
VPSバージョン: 100227-2,2010/02/27
誤検出だと思いますけど...
Re:関連ストーリーのリンクでトロイの木馬 (スコア:2, 興味深い)
Re:関連ストーリーのリンクでトロイの木馬 (スコア:1)
実際に埋め込まれているコードとテキストとして表示されているものが区別されないという訳なんですね。
これをもって安心と言えるのか判りませんけど、納得はしました。
今後は同じように検出されたときに慌てなくて済みそうです。
ありがとうございました。
Re: (スコア:0)
Re:関連ストーリーのリンクでトロイの木馬 (スコア:1, 興味深い)
だって、そもそもHTMLとして間違っていたりするコードの何処をスクリプトで何処をテキストとして解釈するかなんてブラウザのさじ加減ひとつなんだから。
だったら、マルウェアと同じコードを含んだテキストはブラウザが何かの拍子に実行してしまわぬよう、全部検出するのが鉄板になる。
Re: (スコア:0)
とか居直った結果が「/*LGPL*/」や「/*Exception*/」を書き換えただけで検出できなくなる糞エンジンなわけですね。たいへんよくわかりました。
なんか (スコア:0)
なんか2chで見たくないAAをそのAAの使用頻度の高い部分でNGワードに設定したら、
全部変更されてNGワードにならなくなったって感じだね
もう各サイトはJavaScript使うのやめたら?
リンクを新規ウインドウで開くのにJavaScript使ってるどうしようもないサイトをはじめとして、
もうJavaScript使わなくてもいいんじゃね?
というか (スコア:0)
ロクに管理できない奴に限ってやたら使いたがる。
スクリプトに限らず何でもそう。
やっぱりわからないのかな・・・ (スコア:0)
きっと何が原因で改竄されたとかどうやったら防げるとかがわからないままに急場の復旧チーム(対策ではないよ・・)で対応しただけなんだろうね。
サイトを管理する人は(規模にかかわらず)セキュリティ事情を心得ている人じゃないと難しいんだろうね、と思います・・・
たとえあなたがサイトの管理者であったとしても (スコア:0)
Re: (スコア:0)