角川のWebサイト改ざん事件
2014年1月7日に、角川書店などのグループ企業を統括するKADOKAWAホールディングスのWebサイトが改ざんされました。
このサイトを閲覧したパソコンがウイルスに感染するおそれがありました。
この改ざん事件の問題は、すぐに発表しなかったことです。閲覧した人が感染したことを知らなかったかもしれないので、被害が拡大したおそれがあるからです。
感染すると、
asd2qw.229.idcpcpc.com
に接続するようです。
IPアドレスは
108.171.252.229
この逆引きは
unassigned.psychz.net
このIPアドレスの保有国はアメリカです。
時系列
2014年01月07日 00時49分 犯人がKADOKAWAのWebサーバーに侵入し、トップページを改ざん
2014年01月08日 11時ごろ 外部から「Webサイトが改ざんされているのではないか?」との指摘
2014年01月08日 11時30分 委託しているサーバー管理会社が調査スタート、改ざんを確認
2014年01月08日 13時07分 改ざんを修正
2014年01月08日 16時42分 セキュリティー対策を完了
2014年01月15日 シマンテックがブログで「日本の大手出版社のWebサイトが悪用ツールキットに利用される」という記事を発表。
2014年01月16日 21時ごろ NHKテレビが「角川のWebサイトが改ざん」と報道
2014年01月16日 23時ごろ KADOKAWAがお詫びの文書を発表
改ざんされたページは、iframeを用いられ別のWebサイトにジャンプし、不正プログラムを実行させ、閲覧者のパソコンを感染させます。
不正プログラムは「Gongda」。
シマンテックの検知名称は「Infostealer.Torpplar」。
感染すると、閲覧者が以下のサイトを閲覧する際、データを盗み取る。
・2カ所のオンラインバンキングサイト
・3カ所のオンラインショッピングサイト
・3カ所のWebメールサイト
・3カ所のゲーム/動画Webサイト
・14カ所クレジットカードサイト
攻撃に使われた脆弱性
・Oracle Java SE Runtime Environment に存在するリモートコード実行の脆弱性(
CVE-2012-0507)
・Microsoft XML コアサービスに存在するリモートコード実行の脆弱性(
CVE-2012-1889)
・Oracle Java Runtime Environment に存在する複数のリモートコード実行の脆弱性(
CVE-2013-0422)
・Adobe Flash Player に存在するリモートメモリ破損の脆弱性(
CVE-2013-0634)
・Oracle Java SE に存在するメモリ破損の脆弱性(
CVE-2013-2465)
角川文庫(弊社ホームページ改ざんに関するお詫びとご報告)(PDFファイル)
ファイル名:20140116_security-kdkw.pdf
ファイルサイズ:77,488バイト
MD5:C38E1D107947EB35BD18935B4E1CD34
SHA1:2B3538278CF7E810136DFF7C5B7E56A86F2A9BF8
ウイルス検索ソフトでの検知:0/48 (0%)で危険性無し
http://ir.kadokawa.co.jp/topics/20140116_security-kdkw.pdf
シマンテック(日本の大手出版社の Web サイトが Gongda 悪用ツールキットに利用される)
http://www.symantec.com/connect/ja/blogs/web-gongda
Internet Watch(ある国内大手出版社、悪質なiframe仕込まれる、閲覧者が「Gongda」の餌食に)
http://internet.watch.impress.co.jp/docs/news/20140115_630943.html
(怪しくないサイトも危ない! KADOKAWAのサイトで一時マルウェア感染の恐れ )
http://internet.watch.impress.co.jp/docs/news/20140117_631154.html
日経トレンディ(角川のWebサイト改ざん事件で明らかになった“ハッカーの狙いは日本人”)
http://trendy.nikkeibp.co.jp/article/pickup/20140117/1054600/
読売新聞(閲覧で感染?「KADOKAWA」サイト改ざん)
http://www.yomiuri.co.jp/net/news0/national/20140117-OYT1T00207.htm
NHK(角川HP改ざん 閲覧者感染のおそれ)
http://www3.nhk.or.jp/news/html/20140116/k10014544561000.html
IT Media(出版社サイトに改ざん攻撃、地方銀行の情報を盗むマルウェアを配布)
http://www.itmedia.co.jp/news/articles/1401/17/news047.html
マイナビ(すぐにチェックを - KADOKAWAのWebサイト改ざん被害、閲覧したPCに不正プログラム感染の危険性)
http://news.mynavi.jp/articles/2014/01/17/security/
インターネットコム(日本の大手出版社 Web サイト、悪用ツールキットに利用される)
http://japan.internet.com/webtech/20140116/7.html
山本一郎氏
http://bylines.news.yahoo.co.jp/yamamotoichiro/20140117-00031714/