トップスペース
|
| << March 2010 >> | |||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||
XREAの無料アクセス解析サービス AccessAnalyzer にウィルスが仕込まれました。
改竄部分が変わったかのように書いたのだが、2台あるax.xrea.comの内219.101.229.188が元々改竄されていて、不正コードはHEADタグの中に書かれていた。
んで、もう1台の219.101.229.189は改竄されていなかったらしい(2chによる)のだが、解析ページの100行目ぐらいのTABLEタグの前に不正コードが書かれている。
で、トップページを見ると、確かに219.101.229.189は改竄されていないかのように見える。
お客様 各位
平素はアクセスアナライザーをご利用いただき誠にありがとうございます。
下記内容で、アクセス解析用のサーバーにおきまして不具合がございました。
○内容
分散しておりますデータ解析用のサーバーの2番目のサーバーにおいて、7月7日
頃から改ざんされ、不正なページ(10日頃までウィルスが自動ダウンロードさ
れていた)へリンクするスクリプトが設置されておりました。
21日までにサーバーを交換し最新版のソフトウェア、設定に切り替え、運用を
再開しています。
○原因・経緯
サーバー、ソフトウェア共に、外部に構築依頼しておりましたが、昨年、同様
の問題(ホームページ編集用のパスワードが受託者以外に漏れていた問題)が
あった以後から、管理を引き継いでおりました。正直に申し上げますと、委託
契約を解除し、そのままシステムを引き継ぎましたが、1番目の解析用サーバー
は、昨年、自社管理のシステムに移して運用中でございましたが、2番目のサー
バーについては、直接の問題対象外であったということもあり、システム移行
作業を怠り、前システムのまま、つまり、類似の問題が解消されない状態で運
用されておりました。
この度、2番目、合わせて3番目のサーバーについて自社システムに切り替え、
運用を再開しました。
対応に関する不手際、対応時間など、問題自体以外にも、多々問題があり、大
変申し訳なく思っております。本件について猛省し、再度、セキュリティ対策
を講じたいと存じます。
この度は、ご迷惑、ご心配をおかけし、大変申し訳ございませんでした。
今後ともよろしくお願い申し上げます。
以上です。
2009/07/21 06:00 AM
■ログインページにおける不正表示について
お客様 各位
平素はバリュードメインをご利用いただき誠にありがとうございます。
下記内容で、ログインページにおきまして不正表示がございました。
○症状
7月6日、ログインページにて、ウィルスダウンロードを誘導するページへのリ
ンクが設置されていました。ウィルスについては下記が参考になります。
Microsoft Video ActiveX コントロール の脆弱性(MS09-032)について
http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html
○事実・経緯
7月6日朝に、新しい機能に対応するため本番用ウェブサーバーのメンテナンス
作業を行いました。その際の流れは、下記の通りとなります。
通常、メンテナンス時は、普段は停止中である代替用ウェブサーバー(202.222.
31.78)をアクセス可能にし、本番用ウェブサーバー(202.222.31.77)からウェブ
ページをコピーし、DNSの切り替えと、データベースサーバー側での受け入れ認
証設定の変更を行い、本番用サーバーの作業をします。また、本番用サーバー
がアクセス不能である場合は、割り当てIPを即座に切り替えて、障害に対応す
るようになっています。メンテナンス終了時、また、障害解消時に、本番用サ
ーバーに戻し、運用を再開します。
そのメンテナンス時に利用した代替用ウェブサーバーにて、不正改ざんページ
が設置されておりました。
同日夜、メンテナンスが終了し、および、DNSの切り替えが反映されると共に
症状は解消されました。
○原因・調査結果
代替ウェブサーバーでの書き換えについて、本番用、代替サーバー内、および
DBサーバー等のログ等の調査を行いました。システム的な乗っ取りは確認でき
ず、手動アップロードであると確認しました。また、本番用のログインページ
の表示はプログラムで生成していますが、不正ページはプログラムで動作する
形ではなく、静的なHTMLファイルが書かれているページ・HTMLテンプレートで
した。
代替サーバー自体の運用に問題あり、ウェブサーバーを停止し、対策を行いま
した。
根本的な解決策ではありませんが、少なくとも症状を回避するには、代替サー
バーに本番用サーバーの最新データを強制上書きして運用すべきでした。
ログインページ自体の開発、変更をしばらく行っていなかったため、代替サー
バーの不正なページファイルの変更時間の方が、本番用サーバーよりも新しか
ったため、上書きされずに不正なファイルが残り、表示されてしまいました。
復旧後の調査でございますが、代替サーバーでの調査では、ログインページ以
外の動作はなく、その他の被害はございませんでした。また、DBサーバーへの
アクセス等も調査を行いましたが、パケットでのフィルタ、ソフトウェアでの
フィルタ等を行っているため、アクセスはございませんでした。
ブラウザIEで、ログアウトされている状態で、新しくログインページを開いた
お客様が閲覧された可能性があると存じますが、ログ、最終ログイン時間等の
判断で、約90アカウントと判断しております。6日朝〜夜に新しくログインし
た履歴のあるお客様のアカウントにおきましては、注意表示をするようにして
おります。また、ログインユーザ名が特定できたお客様には、個別にお詫び
と確認のメール連絡を差し上げています。
対応に関する不手際、時間など、問題自体以外にも、多々問題があり、大変申
し訳なく思っております。特に遅くなった情報提供、アナウンスについての体
制、姿勢を深く反省し、今後の改善につなげて参りたいと存じます。
この度は、ご利用の皆様には、ご迷惑、ご心配をおかけし、大変申し訳ござい
ませんでした。
今後ともよろしくお願い申し上げます。
以上です。
このまま送信してください。何も記入する必要はありません。 ※Yahooメールやhotmail等のWEBメールから送りたい方は、上の宛先に書いてあるメールアドレスをコピーして、使いたいWEBメールから送信して下さい。その際も何も記入する必要はありません。そのまま送信して下さい。 Yahoo、Hotmailなどのフリーメールアカウントをお使いの方は返信メールが迷惑メールフォルダに入る事がありますのでご注意下さい。
利用規約第7項
当サイトは、下記のような内容を見つけ次第、ユーザーに通知することなくアカウントの削除ができるものといたします。
本サービスは199825円の料金でご利用頂けます。次の画面でOKボタンまたは画像リンク等を押した時点でご入会となります。当サイトは後払い制コンテンツの為クーリングオフ制度は適応外ですので誤登録等無い様注意深くお読みください。
※SEO対策目的や、詐欺的なサイトへの誘導のTBが非常に多いため、「記事参照通知を重視する考え方」の方が良いのかもしれません。 (追記 : 2007-06-20)
