各位
Web サイト改ざんに関する注意喚起
https://www.jpcert.or.jp/at/2016/at160047.html
I. 概要
JPCERT/CC では、Web サイト改ざんに関する情報提供を受けています。報告された情報によると、攻撃者は Web サーバに不正なファイルを設置することで、アクセス回数や閲覧者など Web サイトの利用状況等についての調査活動を行う目的で、国内の複数の Web サイトを改ざんしているとのことです。
- 攻撃者は、Web サーバに不正なファイル index_old.php を設置し、Web
サイトのトップページに不正なファイルを読み込ませる処理 (以下) を追
加する
<script type="text/javascript" src="./index_old.php"></script>
- 利用者が Web サイトを閲覧すると、上記不正ファイルが実行され、閲覧者
の IP アドレス、閲覧日時等がログとして記録される
また、同調査活動は、Web サイトの利用状況等の調査のほか、水飲み場型攻撃などサイバー攻撃の踏み台としての悪用可否を確認していると見られます。
Web サイトの管理者は、「II. 対策」を参考に、管理している Web サイトのコンテンツが改ざんされていないか確認するとともに、必要な対策を施すことを検討してください。
II. 対策
以下の確認事項、対策をご検討ください。
(確認事項)
- Web サイトのトップページ等に、以下の様な不正なファイルの読み込み処
理が書き込まれていないか確認する
<script type="text/javascript" src="./index_old.php"></script>
- Web サイトで公開しているコンテンツを確認し、不正なファイルが設置さ
れていないか、コンテンツが改ざんされていないか確認する
- Web サーバの FTP/SSH、Web アプリケーションのアクセス等のログを確認
し、アクセス元 IP アドレス、アクセス日時、リクエスト URI などに不審
な点がないか確認する
※不審な活動が確認された場合、Web サーバを保全の上、Web サイト更新
に関連するアカウント、パスワードを変更し、警察または JPCERT/CC
に相談する
(対策)
- Web サーバで使用している OS やソフトウエアのセキュリティアップデー
トを実施する
- 20,21/TCP (FTP) , 23/TCP (TELNET) を無効化し、SSH などのセキュアな
プロトコルを用いて Web サイトのメンテナンスを実施する
- Web サイトのコンテンツ更新を運用で使用する特定の PC (IP アドレス)
からのみ実施出来るように制限する
- Web サイト更新用のアカウント (SSH/CMS 等) のパスワードを強固なもの
に変更する
- Web サイトのコンテンツのバックアップを取得し、差分確認を定期的に実
施する
III. 参考情報
@Police
Web サイト改ざんに関する注意喚起について (PDF)
https://www.npa.go.jp/cyberpolice/detect/pdf/20161114.pdf
JPCERT/CC
注意喚起「サイバー攻撃に備えてWebサイトの定期的な点検を」
https://www.jpcert.or.jp/pr/2016/pr160004.html
IV. 本件に関するお問い合わせ先
JPCERT/CC インシデントレスポンスグループTel: 03-3518-4600 Fax: 03-3518-2177E-mail: info@jpcert.or.jp
JPCERT/CC 早期警戒グループTel: 03-3518-4600 Fax: 03-3518-4602E-mail: ww-info@jpcert.or.jp
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2016-0047
JPCERT/CC
2016-11-14
JPCERT/CC Alert 2016-11-14
Web サイト改ざんに関する注意喚起
https://www.jpcert.or.jp/at/2016/at160047.html
I. 概要
JPCERT/CC では、Web サイト改ざんに関する情報提供を受けています。報告された情報によると、攻撃者は Web サーバに不正なファイルを設置することで、アクセス回数や閲覧者など Web サイトの利用状況等についての調査活動を行う目的で、国内の複数の Web サイトを改ざんしているとのことです。
- 攻撃者は、Web サーバに不正なファイル index_old.php を設置し、Web
サイトのトップページに不正なファイルを読み込ませる処理 (以下) を追
加する
<script type="text/javascript" src="./index_old.php"></script>
- 利用者が Web サイトを閲覧すると、上記不正ファイルが実行され、閲覧者
の IP アドレス、閲覧日時等がログとして記録される
また、同調査活動は、Web サイトの利用状況等の調査のほか、水飲み場型攻撃などサイバー攻撃の踏み台としての悪用可否を確認していると見られます。
Web サイトの管理者は、「II. 対策」を参考に、管理している Web サイトのコンテンツが改ざんされていないか確認するとともに、必要な対策を施すことを検討してください。
II. 対策
以下の確認事項、対策をご検討ください。
(確認事項)
- Web サイトのトップページ等に、以下の様な不正なファイルの読み込み処
理が書き込まれていないか確認する
<script type="text/javascript" src="./index_old.php"></script>
- Web サイトで公開しているコンテンツを確認し、不正なファイルが設置さ
れていないか、コンテンツが改ざんされていないか確認する
- Web サーバの FTP/SSH、Web アプリケーションのアクセス等のログを確認
し、アクセス元 IP アドレス、アクセス日時、リクエスト URI などに不審
な点がないか確認する
※不審な活動が確認された場合、Web サーバを保全の上、Web サイト更新
に関連するアカウント、パスワードを変更し、警察または JPCERT/CC
に相談する
(対策)
- Web サーバで使用している OS やソフトウエアのセキュリティアップデー
トを実施する
- 20,21/TCP (FTP) , 23/TCP (TELNET) を無効化し、SSH などのセキュアな
プロトコルを用いて Web サイトのメンテナンスを実施する
- Web サイトのコンテンツ更新を運用で使用する特定の PC (IP アドレス)
からのみ実施出来るように制限する
- Web サイト更新用のアカウント (SSH/CMS 等) のパスワードを強固なもの
に変更する
- Web サイトのコンテンツのバックアップを取得し、差分確認を定期的に実
施する
III. 参考情報
@Police
Web サイト改ざんに関する注意喚起について (PDF)
https://www.npa.go.jp/cyberpolice/detect/pdf/20161114.pdf
JPCERT/CC
注意喚起「サイバー攻撃に備えてWebサイトの定期的な点検を」
https://www.jpcert.or.jp/pr/2016/pr160004.html
IV. 本件に関するお問い合わせ先
JPCERT/CC インシデントレスポンスグループTel: 03-3518-4600 Fax: 03-3518-2177E-mail: info@jpcert.or.jp
JPCERT/CC 早期警戒グループTel: 03-3518-4600 Fax: 03-3518-4602E-mail: ww-info@jpcert.or.jp
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
