2014年12月5日11時頃から、技術評論社のWebサイトを閲覧すると別のサイトに転送される事象が発生しました。ここではその関連情報をまとめます。
公式発表
- 12/6 サーバ障害のお詫び
- 12/8 弊社ホームページ改ざんに関するお詫びとご報告
技術評論社Twitterアカウントのアナウンス(一部)
【本日11時ころより発生してる状況について】本日11時ころ,サーバ管理ツールに侵入されサーバそのものを入れ替えることにより,外部サイトにリダイレクトされるように設定されました。危険なサイトである可能性があるため,現状アクセスしないでください。
— gihyo.jp (@gihyojp) 2014, 12月 6サーバOSそのものへの侵入ではなく,OSの入れ替えが行われたため,情報漏洩等は確認されておりません。詳細は後日改めてご報告いたします。
ご報告が遅れておりますことをお詫びいたします。
— gihyo.jp (@gihyojp) 2014, 12月 6【本日11時ころより発生してる状況について2】14時頃,管理会社と協力のもとコントロールを取り戻し,現在復帰作業中です。犯人の行動は特定されており,OS入れ替え以外の状況(サーバへのログイン等)は確認されておりません。原因も判明しておりますので,後日あらためてご報告いたします。
— gihyo.jp (@gihyojp) 2014, 12月 6【本日11時ころより発生してる状況について3】先ほど復旧いたしました。ご迷惑をおかけいたしました。
DNS更新のため仮サイトに接続されている場合がございます。仮サイトでは電子書籍サイト等ご利用いただけません。その場合はしばらくお待ちください。
— gihyo.jp (@gihyojp) 2014, 12月 6なお一部ご心配いただいておりますが,サーバはコントロール下にあり,管理会社含め監視を強化しております。
さまざまな憶測が流れておりますが,後日改めて説明いたしますのでお待ちください。
— gihyo.jp (@gihyojp) 2014, 12月 6タイムライン
| 日時 | 出来事 |
|---|---|
| 12月5日 時期不明 | さくらインターネットがフィッシングサイトについて注意喚起を掲載 |
| 12月5日 | 技術評論社にさくらインターネットのドメインに設置されたフィッシングサイトへ誘導するメールが届く。 |
| 12月5日 11時頃 | 技術評論社がフィッシングサイトに騙され、認証情報を窃取される。 |
| 12月5日 11時10分頃 | 技術評論社のWebサイトが停止。 |
| 12月5日 その後 | 技術評論社が管理会社へ報告。 |
| 12月5日 13時20分頃 | 技術評論社のWebサイトが復旧。 |
| 12月6日 11時頃 | 技術評論社のWebサイトを閲覧すると別のドメインに接続する事象が発生。 |
| 12月6日 11時半頃 | 技術評論社のTwitterアカウントから接続障害が発生しているとアナウンス。 |
| 12月6日 14時頃 | 技術評論社が窃取された同社のサーバーアカウントを取り戻し復旧作業を開始したと報告。 |
| 12月6日 15時52分 | 技術評論社が暫定的に復旧したことを報告。 |
| 12月6日 19時27分 | 技術評論社が本復旧作業を開始。 |
| 12月6日 22時頃 | 技術評論社が完全に復旧したことを報告。 |
| 12月8日 | 技術評論社が被害詳細や経緯について報告。 |
被害対象
発端
原因
12月5日の不正アクセス
- 第三者がフィッシングにて窃取した情報を用いて技術評論社アカウントのさくらインターネットのVPSのコントロールパネルをのっとったため。
- さくらインターネット さくらのVPS コントロールパネルの操作(オンラインマニュアル)
12月6日の不正アクセス
- さくらインターネットと技術評論社の連絡に齟齬があり、IPアドレスログインのパスワードが変更されず再度の侵入を許したため。
- 第三者により技術評論社のWebサイトが稼動するOSの入れ替えが行われた。
- 技術評論社もOSの入れ替え以外の行為は確認していないと報告している。
12月5日付でさくらインターネットから不正ログインに関する注意喚起
- 12/5 【重要】なりすましサイトや不正ログインに関する注意喚起
- 技術評論社のアカウントが盗られた方法がこれかどうかは不明。
- 偽のログインフォームを設置し認証情報を窃取する手口が確認されている模様。
-
- 犯行元と思われるアカウントはフィッシングで窃取したことを認めるTweetをしている。
- 犯行元と思われるアカウントはフィッシングで窃取したことを認めるTweetをしている。
対応
- 改ざんに関するお詫びを掲載
- 改ざんされたWebサイトを復旧
- 監視を強化
犯行元と思われるアカウントの関連Tweet
フィッシングサイトの詳細
- SSL対応していた。
- さくらインターネットのドメイン(sakura.ne.jp)上に設置されていた。
- さくらのVPSに登録していた技術評論社のメールアドレスに届いた。
- 他のサービスでは使用していないメールアドレスであった。
- ヘッダを確認せずにアクセスをしてせいまった
転送されていた外部のドメインについて
gihyo.jp(11時頃)
- www.koushin-lawfirm.net (128.199.218.38) シンガポール urlQuery VT
- 2014年12月1日頃取得されたドメイン *1
- 恒心綜合法律事務所のドメイン名からつけたものと思われる。
- 当該ドメインに現在アクセスすると302でYahoo! JapanのWebサイトへ転送される。
- www.koushin-lawfirm.netのレスポンスコード
cache-control:max-age=0
content-encoding:gzip
content-length:20
content-type:text/html; charset=utf-8
date:Sat, 06 Dec 2014 06:07:17 GMT
expires:Thu, 21 Jul 1977 07:30:00 GMT
last-modified:Sat, 06 Dec 2014 06:07:17 GMT
location:http://www.yahoo.co.jp
pragma:no-cache
server:Apache/2.2.16 (Debian)
status:302 Found
vary:Accept-Encoding
version:HTTP/1.1
x-powered-by:PHP/5.3.3-7+squeeze23
gihyo.jp(13時頃)
- リダイレクト先が変更された
- live.livelistingreport.com (37.200.68.53) ロシア
- セッションIDらしき文字列はwww.gihyo.co.jpのifarmeタグで埋め込まれていたものと同一。
- gihyo.jpのレスポンスコード
Content-Length:399
Content-Type:text/html; charset=iso-8859-1
Date:Sat, 06 Dec 2014 03:48:02 GMT
Location:hxxp://live.livelistingreport.com/?PHPSSESID=njrMNruDMhvJFIPGKuXDSKVbM07PThnJko2ahe6JVg%7cYWIyYzgzZDgwNTI1MTFjYmQwMDk4ZjFlODM0ODA4ZjI
Server:Apache
www.gihyo.co.jp(13時頃)
- www.koushin-lawfirm.jp (恒心綜合法律事務所のWebサイト)
- live.livelistingreport.com (37.200.68.53) ロシア urlQuery VT
- Iframeタグで埋め込まれていた
- ロシアのURLは「ET CURRENT_EVENTS RIG EK Landing URI Struct」でIDS検知
Date: Sat, 06 Dec 2014 04:25:34 GMT
https://twitter.com/kenji_s/status/541086984991965184
Server: Apache
Last-Modified: Sat, 06 Dec 2014 04:08:43 GMT
ETag: "38146c-128-509845967b200"
Accept-Ranges: bytes
Content-Length: 296
Connection: close
Content-Type: text/html; charset=UTF-8
更新履歴
- 2014/12/06 PM 新規作成
- 2014/12/06 PM 原因について記述内容を修正
- 2014/12/06 PM お詫び公開に伴う追記
- 2014/12/08 PM 詳細情報公開に伴う修正、追記
