カカクコム事件-続報1

カカクコム事件に関して続報が出ている。

価格.comの不正アクセスは原因は解明されたものの、被害規模の把握にはいたらず RBB TODAY 2005/05/16 20:05

「最高レベルのセキュリティ」でも不正アクセス許す - 価格.com MYCOM PC WEB 2005/5/16

  • 価格.comの被害台数は60台
  • 復旧まで一週間の見込みだが、警察の要求によっては伸びる可能性も
  • 同社によるサイトの巡回とユーザからの連絡により11日11時ごろに発覚。11日の時点で閉鎖する選択肢もあったが、侵入経路がつかめない可能性もあったため、継続した。24時間体制の監視と、書き換えられたプログラムを手作業で直す作業で乗り切ろうとした
  • 14日になって攻撃が急増、手作業での修復が困難になったことからサイト閉鎖を決めた。その間、「対策をしてもまた書き換えられる恐れ」(穐田社長)から、最終的な情報提示は、閉鎖の翌日に別サーバーを用意するまで行われなかった
  • お知らせメール機能」に登録していたユーザーのメールアドレスが閲覧された形跡があった
  • サービスを復旧させた後の1週間後をめどに、被害状況などを確定させて報告する予定

カカクコムのトップページでは順次報告が行われているようだが、先日指摘したとおり、未だ具体的に何がおこったのか詳細は公表されていない。警察の捜査などのためかもしれないが、けっきょくユーザは疑心暗鬼のまま「とりあえず全員チェックはやっとけ」状態に放り出されるというわけか(苦笑)。

 現時点までの情報では、感染するのはMicrosoft Internet Explorer ITS プロトコルゾーンバイパスの脆弱性 (BID 9658) を利用して感染し、キーストロークを横取りして外部に流すトロイの木馬らしい。

シマンテック Trojan.Jasbom

トレンドマイクロ TROJ_DELF.RM 駆除ツール提供あり

 「Microsoft Internet Explorer ITS プロトコルゾーンバイパスの脆弱性 (BID 9658)」というのは、CVE識別で言うとCAN-2004-0380であると思われる。
 当該識別番号対応は、マイクロソフトからはOutlook Express用としてMS04-013は出ている。
 CAN-2004-0380はコンパイル済みHTML(CHM)ヘルプシステムの脆弱性であり、IE経由でも当然この穴は突けるわけだが(突かれているわけだが)、IE用/OS用としてパッチが出ているかは未確認(探したけど見つからなかった^^;)。このOutlook Express用のパッチを適用すればIE経由の場合も有効なのかも未確認(感染してみて試せる環境がない^^;)。
 ソースを見る限り、IFRAME脆弱性も使っているみたいなので、Bofraワームが広告サイトに仕組まれた件と似ているのか? だとすると、最新のWindowsUpdateを当てていれば感染自体は防げているかも。

 アクセスしてる先は、j4sb.comというドメインのcounter.apというプログラムで、こいつがcssの形でchmコードを送りつけてくるらしいが、珍しい拡張子なので、"counter.ap?id="でぐぐってみると、他にshtm1.com、0x61.comというドメインのサーバに同じものらしきプログラムがある。仕掛けられているページは、キャッシュで確認できたのは日本と韓国のサイトだけみたいだ。
 このドメインを取った奴は何者?と思いwhoisしてみると、管理者の連絡先アドレスが「piger 4 xxx@21cn.com」(21cn.comは中国のポータルサイト)だの「fuckjpmm@china.com」 (Fuck JP …なんだろうなぁ)だのと、いずれも中国方面を示唆している
もちろん、これをもって何かが言える訳ではないが、時節柄ちょっとキナくさいものを感じるなぁ

 カカクコムからいきなり「サイバーテロ」という言葉が出てきたのはいささか奇異に感じたのだが、もしかして何かそれらしき疑いがあるのか…な?
 
 そういやぁ、俺が仕事で使ってるメアド、5月に入っていきなり今まで皆無だったSPAMが増えたのだが(しかも踏んでくるのはどれも中国のサーバ)、まさかこれもテロの一環なのではないだろうな(笑)。
 まぁ、管理が甘いだけとは思うが。
[PR]
by SIGNAL-9 | 2005-05-17 11:22 | 情報保護・セキュリティ | Comments(0)
<< カカクコム事件-続報2 カカクコム クラックされてウィ... >>