-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2016-0047
                                                             JPCERT/CC
                                                            2016-11-14


                  <<< JPCERT/CC Alert 2016-11-14 >>>

                   Web サイト改ざんに関する注意喚起

            https://www.jpcert.or.jp/at/2016/at160047.html


I. 概要
  JPCERT/CC では、Web サイト改ざんに関する情報提供を受けています。
報告された情報によると、攻撃者は Web サーバに不正なファイルを設置する
ことで、アクセス回数や閲覧者など Web サイトの利用状況等についての調査
活動を行う目的で、国内の複数の Web サイトを改ざんしているとのことです。

  - 攻撃者は、Web サーバに不正なファイル index_old.php を設置し、Web
    サイトのトップページに不正なファイルを読み込ませる処理 (以下) を追
    加する
    <script type="text/javascript" src="./index_old.php"></script>

  - 利用者が Web サイトを閲覧すると、上記不正ファイルが実行され、閲覧者
    の IP アドレス、閲覧日時等がログとして記録される

  また、同調査活動は、Web サイトの利用状況等の調査のほか、水飲み場型攻
撃などサイバー攻撃の踏み台としての悪用可否を確認していると見られます。
  Web サイトの管理者は、「II. 対策」を参考に、管理している Web サイトの
コンテンツが改ざんされていないか確認するとともに、必要な対策を施すこと
を検討してください。


II. 対策
  以下の確認事項、対策をご検討ください。

  (確認事項)
  - Web サイトのトップページ等に、以下の様な不正なファイルの読み込み処
    理が書き込まれていないか確認する
       <script type="text/javascript" src="./index_old.php"></script>
  - Web サイトで公開しているコンテンツを確認し、不正なファイルが設置さ
    れていないか、コンテンツが改ざんされていないか確認する
  - Web サーバの FTP/SSH、Web アプリケーションのアクセス等のログを確認
    し、アクセス元 IP アドレス、アクセス日時、リクエスト URI などに不審
    な点がないか確認する

    ※不審な活動が確認された場合、Web サーバを保全の上、Web サイト更新
      に関連するアカウント、パスワードを変更し、警察または JPCERT/CC
      に相談する

  (対策)
  - Web サーバで使用している OS やソフトウエアのセキュリティアップデー
    トを実施する
  - 20,21/TCP (FTP) , 23/TCP (TELNET) を無効化し、SSH などのセキュアな
    プロトコルを用いて Web サイトのメンテナンスを実施する
  - Web サイトのコンテンツ更新を運用で使用する特定の PC (IP アドレス) 
    からのみ実施出来るように制限する
  - Web サイト更新用のアカウント (SSH/CMS 等) のパスワードを強固なもの
    に変更する
  - Web サイトのコンテンツのバックアップを取得し、差分確認を定期的に実
    施する


III. 参考情報
    @Police
    Web サイト改ざんに関する注意喚起について (PDF)
    https://www.npa.go.jp/cyberpolice/detect/pdf/20161114.pdf

    JPCERT/CC
    注意喚起「サイバー攻撃に備えてWebサイトの定期的な点検を」
    https://www.jpcert.or.jp/pr/2016/pr160004.html


IV. 本件に関するお問い合わせ先

JPCERT/CC インシデントレスポンスグループ
Tel: 03-3518-4600  Fax: 03-3518-2177
E-mail: info@jpcert.or.jp

JPCERT/CC 早期警戒グループ
Tel: 03-3518-4600  Fax: 03-3518-4602
E-mail: ww-info@jpcert.or.jp


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJYK6URAAoJEDF9l6Rp7OBI+rgIAIFzbmvKsyK/Y9cPjdh3ZwSf
DACLJXHkb4vr20Rts+pp1c2QzXXx7FzIzRk15RYY8RdlDQ5zqb0CKaqXWQLTy/iP
p3tJ4YVZR1SyiWSwpR/MVN1BjqpK/Hxvj5/CVg0H56ijr7sM60h8kz0c9pWwHCwS
atWmOg3TF9Fn/XwSBvXp6zaut/BWZBMr06fI96v0w1bWsvmt1znCACG4HC52VVy9
4ptjTOMstiA5+j6aIhgXuQii+Nfojx145TLV4h7wCRrTB8dJzoEs79pG1sdHPHYi
GUCscuEsKobDMvNud8k+c9v3x2GXb7mB6YqO/dgl9d4HWdzpzFcpEvIo4uwZLeI=
=sVMx
-----END PGP SIGNATURE-----