今回の話題提供は【熊本県】情報処理安全確保支援士(登録セキュリティスペシャリスト)、株式会社タカ 代表取締役の福永隆文会員です。
セキュリティ診断を行っている福永です。現在、ホームページシステムを書き換えて、そのサイトにアクセスしたユーザを怪しいショッピングサイトに自動転送する被害が増えています。ユーザのブラウザには見知らぬショッピングサイトが表示されます。多くはウイルス「SID GIFARI」に感染して起こります。このウイルスはWordPressというフリーのソフトを使ってホームページを作成したシステムへ感染します。多くのレンタルサーバで利用されています。低価格でホームページ運用をされている場合はWordPressを使っていると考えてほぼ間違いありません。
※以後、「ホームページ」は「HP」と略します
今回、実際にHP改ざん被害を受けた企業からの依頼で原因追及、復旧、セキュリティ強化を行いましたのでご紹介します。ユーザ様とは秘密保持契約を結んでいますので抽象的になってしまいますが、ご理解ください。ウイルス「SID GIFARI」に感染すると下記現象が起こります。
※実際の感染症状は攻撃者の意図で変わります。今回の説明は私の実体験をもとにしています。
(1)トップページへのアクセス(URL直打ちでも検索結果画面からリンクをクリックしても)は怪しいショッピングサイトへ転送されてしまいます。
(2)WordPressの管理者画面へログインできない。トップページに移動してしまう。
(3)顧客用ログインページなどトップページ以外のページを表示しようとしてもトップページに移動してしまう。何もできない状態となる。
(4)ファイル数が急に増えている。特に設定ファイル(HPの動きを変えることができる)の書き換え、追加やプログラムの書き換え、追加が行われる。
被害対応依頼を受けた直後はウイルス「SID GIFARI」による症状ということは分かっていませんでした。しかも私に依頼が来た時点ではその被害企業がHP作成を委託していた業者(以後HP業者)が多くの不正ファイルを削除されていたので調査しにくい状況でした。また、多くのレンタルサーバは自分で管理しているサーバのようにフルアクセスはできず、許可された操作しかできないことも調査を難しくします。とりあえず削除された後のバックアップデータをいただきました。書庫(複数のファイルをまとめたもの)にして圧縮してzipという拡張子のファイルになったものです。目検では大変なので、それをWindowsにもっていきウイルス対策ソフト(今回はESET)のzipファイル検索機能を利用しました。駆除はできませんが、検知をしてくれます。運良く、と言っては何ですが、ウイルスが残っていました。
それらウイルスを開くことはWindowsではできません。開こうとするとESETが検知して削除してしまいます。ESETを止めると危険です。余談ですが、OneDriveなどのクラウドにもっていこうとしても自動削除されます(さすがです)。よって、LinuxOSにもっていき開きます。下記がウイルスコードの一部です。丁寧にウイルス名まで表示してくれてます。
<title>Sid Uploader</title>
<center><h1>Sid Gifari WebShell Uplaoder</h1></center>
・・・
<?php
eval(base64_decode('Ly8gU2ltcGxlIFBIUCBVcGxvYWQgU2NyaXB0OiAgaHR0c・・・
訳が分からない後半部分は不正プログラムをBASE64という方式で変換したものです。動くときは元のプログラムに戻してから動きます。ウイルスの多くはウイルス対策ソフトの検知から逃れるために難読化(見ても分からない)されています。上記は初歩の難読化なので見える部分があります。簡単に検知されます。今回は6ファイルがウイルス(トロイの木馬)として検知されましたが、最後の1つは数日遅れで(ESETのウイルス定義ファイルがバージョンアップして)検知されました。ここは重要なとこで、現在はウイルス対策ソフトも数日遅れでしか検知できないパターンがあります。定期的に(お勧めは毎日)フルスキャンすべき理由はここにあります。攻撃者はウイルス自身を違う形で難読化するからです。例えば今回検知が遅れた不正コードは8進数、16進数を混ぜた形でプログラムが書いてありました。16進数、8進数をアルファベットにすれば元のプログラムになります。
(例)”\x62″ . “\141” . “\x73\x65\x36\64” . “\x5f\x65\x6e” . “\x63” . “\x6f\x64\145” はbase64_encode関数を表します。
Webサーバのアクセスログと不正ファイルの作成日、不正プログラムコードから攻撃の手順を調べます。今回の攻撃方法を突き止めないと完全に防ぐことはできないからです。
攻撃の第1段階で、攻撃者はHP業者がテスト用に残しておいた本番システムとは異なる別システムへログインしていました。再インストール画面からログイン画面に遷移し、正しいパスワード(たぶん初期値)でログインし、不正プログラムを含むプラグインをインストールしていました。下記はそれが分かるログです。攻撃者は香港からだと思われますがこの時点ではVPNを使い日本経由で攻撃を行うことでレンタルサーバ会社の「海外IPアドレス攻撃防御」機能を回避していました。
"GET /wp/wp-admin/setup-config.php HTTP/1.1" 200
"GET /wp/wp-admin/install.php?language=ja HTTP/1.1" 200 ・・対策の1つはこれをアクセス不可に
"POST /wp/wp-login.php HTTP/1.1" 302 ・・・ログイン成功
攻撃は第2段階へ進みます。別のIPアドレスで攻撃が継続されました。今度は最初の攻撃で配置されたバックドアウイルス(攻撃者が送ったファイル名とプログラムコードを受け取りサーバ内に不正ファイルを作成する)を使って攻撃に必要な残りの不正ファイルを作成しました。この時点ではまだホームページ閲覧は正常に動きます。不正ファイルが数多くインストールされていますが、まだ、本番環境は書き換えられていない状態です。ユーザは誰も気づいていません。
攻撃の最終段階は次の日に行われました。香港からのアクセスでした。昨日配置したバックドアを使い、本番環境の書き換えを実行しました。この段階でそのサイトにアクセスしたユーザは怪しいショッピングサイトの画面が表示されることになります。管理画面にもアクセスできず、ブラウザからは何もできない状態になります。
復旧はHP業者が不正なファイルは削除したと言っていましたが、私が調べただけでもいくつも不正ファイルが残っていましたので、バックアップ(依頼企業はとってなかったと思っていましたが、調査したらありました)から復元して、その後に行った更新は再度行うよう提案しました。面倒でもバックアップから復元するが必須です。注意することは手の込んだ攻撃者はバックアップにもウイルスを仕込むので、バックアップ自体が感染していないかを注意深く確認することです。更新日付は改ざんできるので当てになりません。
被害にあわないための技術対策は今回は割愛させていただきます。長々と書きましたが、最後に皆様にお伝えしたいことは下記です。当たり前のことですが、被害の多くはそれをやらないことで発生しています。
ホームページを運用されている皆様へ
- 良心的なホームページ作成業者を選びましょう。ここで忘れてならないのはHP業者の方に丸投げせず、ある程度の開発ルールを一緒に作りましょう。仮に内容が分からなくてもその姿勢が業者の方にも伝わります。私やよろずの上村さんに相談されても構いません。
- WordPressは最新の状態で使い、WordPressのプラグインは必要最小限の利用に留めましょう。WordPress自身およびプラグインソフトの不備で攻撃される危険性を小さくできます。上記(1)のとき、HP業者に依頼しましょう。
- 複雑なパスワード設定と定期的な変更をルール化、できればシステム化しましょう。
- バックアップを定期的に取りましょう。どこのクラウド(ホームページシステム)を利用していてもWindowsのようにグラフィカルな画面でバックアップできるはずです。重要なことはバックアップデータを攻撃されないよう手元の機器に移すことです。
- (できれば)ホームページを新たに作成したら、第三者(技術者)にセキュリティチェックをしてもらいましょう。HP作成業者とは別の方です。
- 仮に被害にあったらすぐに削除せず、その環境をバックアップしてから対策に移りましょう。(または削除する前にセキュリティ業者へ連絡しましょう)
何かご質問がある方はfukunaga@ict-taka.jp 福永隆文 まで遠慮なく連絡ください。