【注意喚起】Webサイトの改ざんについて

Webサイトの改ざんに関する注意喚起です。
対象はホームページやWebシステムを担当するシステム担当者向け情報になります。
Webサイトの管理者は、サーバの点検及び被害防止対策を早急に実施することを推奨します。
-----------------------------------------------------------------------------------

● 概要
Webサイトのトップページの改ざん及びファイルの蔵置により、アクセス回数や閲覧者などWebサイトの利用状況等についての調査活動が行われていることが判明しました。
攻撃者は、Webサーバに不正ファイル「index_old.php」を蔵置し、
(1) トップページに、蔵置した「index_old.php」を閲覧者に読み込ませる命令文<script type="text/javascript" src="./index_old.php"></script> を追加
(2) 「index_old.php」を読み込ませることで、閲覧者のIPアドレス、閲覧日時等を別ファイル名でログとして記録していることが確認されています。
同調査活動は、不正に取得したWebサイトのアクセス情報等の調査のほか、水飲み場型攻撃やサイバー攻撃の踏み台としての利用の可否を確認していると見られ、現在まで国内の複数のWebサイトにおいて上記ファイルの蔵置が確認されています。

● 対処方法
(1) サーバの点検等
○ Webサイトのトップページに <script type="text/javascript" src="./index_old.php"></script> 等の身に覚えの無い命令文が書き込まれていないかを確認する。
○ サーバ内の点検やファイルの差分等の確認により、サーバ内に「index_old.php」等の不審なファイルが蔵置されてないかを確認する。
○ 上記の状況が確認された場合は、サーバが攻撃者の制御下にあると認められることから、 保全した後に、サーバに係る全ID及びパスワードを変更し、警察に相談する。
○ サーバの再構築を実施する。

(2) 被害防止対策
○ OS及びIIS(Internet Information Service)、Apache等のミドルウェアのバージョンアップ等によりぜい弱性を解消する。
○ ウイルス対策ソフトによる検索を定期的に実施する。
○ 20番(FTPデータ)、21番(FTPコントロール)及び23番(telnet)ポートを無効化する。
○ 管理者によるWebサイトへのアクセスをSSH(Secure Shell)プロトコルにより実施する。
○ 不正通信の早期発見のため、プロキシサーバログの点検を定期的に実施する。
○ Webサイトの差分確認を定期的に実施する。
-----------------------------------------------------------------------------------

もし改ざんが発見されたら学術情報基盤センター事務室情報基盤技術係までご連絡をお願いします。
学術情報基盤センター事務室情報基盤技術係
042-677-2415 （内線：2620）
densan●tmu.ac.jp　※メール送信する際は●を@に変換してください。