2014年11月27日21時頃より国内外複数のWebサイトでSyrian Electronic Army(SEA)の画像に転送されるとの報告が相次ぎました。ここではその関連情報をまとめます。
公式発表
Gigyaの発表
株式会社トーチライト
SEAのTweet
Happy thanks giving, hope you didn't miss us! The press: Please don't pretend #ISIS are civilians. #SEA pic.twitter.com/ZXzMWbXoYp
— SyrianElectronicArmy (@Official_SEA16) 2014, 11月 27
タイムライン
| 日時 | 出来事 |
|---|---|
| 11月27日 20時45分 | GigyaがDNSの登録情報が改ざんされたことを確認。 |
| 11月27日 21時頃〜23時過ぎ | 日本国内でSEAの画像が掲載されたサイトに転送されるとの報告多数。 |
| 11月27日 21時40分 | GigyaがDNSの登録情報の改ざんを修正。 |
| 11月28日 1時頃 | GigyaがBlogに不正アクセスについて報告。 |
| 12月2日 | 日本代理店トーチライトがGIGYAの改ざんについて報告。 |
SEA画像が表示されるまでの流れ(一部推測あり)
確認されている事象
公式、SNS等で報告されている事象は次の通り。
- Gigya社のサービスを利用しているWebサイトで発生。
- 影響を受けたWebサイトを閲覧した際に、アラートダイアログが表示され、画像掲載サービス(imgur)サイトに転送される。
- 画像掲載サービスサイトではSEAのロゴマークを掲載した画像が表示される。
- アクセスタイミングによっては偽物のJavaScriptが呼び出されないことがある。*1
影響を受けた国内のWebサイト
Twitter等で当該事象の発生確認が報告されていたサイトは次の通り。
原因
Gigyaのサービスについて
- GIGYAのSNSの拡散サービスで使用しているドメインが影響を受けた。(GigyaはCDN事業者ではない。)
- 国内外でサービスを提供している。ユーザー数は700以上。
- 国内向けは代理店(確認したのは「Torchlight」「Members」)を通してGIGYAのサービスを提供している。
- 影響を受けた1つの毎日新聞では導入事例が紹介されている。
全世界の他700以上のユーザーに提供をしている模様。
導入ユーザーとして紹介されているもののうち、事象が報告されていない国内関係組織は次のものがある。
事象の詳細
- 日本時間11月28日 21時前にgigya.comのDNS登録情報(NSレコード)が書き換えられた模様。
- DNSの登録情報が書き換えられた状態でcdn.gigya.comにアクセスした場合、参照先IPアドレスが変わり、以下のJavaScriptが別のものにすり替えられていた可能性がある。
cdn.gigya.com/JS/socialize.js
cdn.gigya.com/JS/gigyaGAIntegration.js
- 表示される画像は次のもの。
- imgurは画像掲載サービスのWebサイトであり、SEAの管理するサイトではない。
- imgurは画像掲載サービスのWebサイトであり、SEAの管理するサイトではない。
- 以下のJavaScriptが呼ばれる。(報告事例)
- Alertダイアログの表示とimgurへの遷移する。
- 別パターンはpiyokangoは11月28日3時時点で確認していない。
alert("You've been hacked by the Syrian Electronic Army(SEA)"); windows.location="http://i.imgur.com/qD53RZY.png";
謝辞
このまとめは次の方から頂いた情報を元に追記、修正を行っています。ありがとうございます。
- @OrangeMorishitaさん
更新履歴
- 2014/11/28 AM 新規作成
- 2014/11/28 PM 影響を受けた各サイトの発表情報を追加
- 2014/11/28 PM 改ざんされたDNS登録情報の詳細を追加
- 2014/12/5 PM トーチライトの発表を追加
*1:ドメインハイジャックで不正なJavaScript配信、内外の大手サイトに影響,So-net,2014/11/28アクセス:魚拓
*2:ハッカー攻撃:米IT企業が被害 メディアサイトなど被害,毎日新聞,2014/11/28アクセス:魚拓
*3:https://twitter.com/kaz_konno/status/537971142808862720
*4:http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11138745411
*5:http://okwave.jp/qa/q8839566.html
*6:https://twitter.com/Blackearowl/status/537964196609019904
*7:DELLのサイト、毎日新聞のサイトがハックされてる? - 釣りが大好きなホームページ屋さんの日記
*8:https://twitter.com/plqs_terada/status/537970642709000192
*9:https://twitter.com/mim_co/status/537966549479342080
*10:https://twitter.com/plqs_terada/status/537960152695971840
*11:https://twitter.com/lrdgnm_fx/status/537955527859245056
*12:https://twitter.com/mirror/status/537950319259287552
*13:https://twitter.com/kenz_tweets/status/537956949787037696
*14:https://www.st.ryukoku.ac.jp/~kjm/security/memo/2014/11.html#20141128_sea
*15:https://twitter.com/OrangeMorishita/status/538190075670958080
