—弊社ホームページへのアクセス復旧のお知らせ(第2報)—
今回発生した不正アクセスによるHPの改ざんについて、経緯と原因、今後の対策について
お知らせいたします。
<経緯>
・日本時間2021/11/07 午前9時前後に、サイト運営ベンダーが弊社ホームページの異常を確認。
・不正アクセス元のIPアドレス(ドイツ)からのアクセスブロックを実施、異常の一次的な原因を特定遮断しました。
・その後、サンメディア側にて不正アクセスによって送り込まれたファイルの排除とその影響によるトップページへの
アクセス障害を復旧しました。
<生じた被害>
・被害の範囲は、ホームページインデックスファイルと表示システムのCMSであるWordPressの一部のファイルです。
・ユーザーデータなど個人情報が特定できるファイルは元来からwebサーバー上に置いておらず、漏洩はございません
でした。また、SSH接続やFTP接続も見られておりません。
<改ざんの方法と原因>
・改ざんの方法は、
https://www.ipa.go.jp/security/ciadr/vul/20211020-jvn.html
に記載されている、
「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755)」
の通り、旧サンメディアホームページを構成していたMovableTypeの脆弱性を利用し、改ざんしたファイルで
インデックスファイルを上書きしたようです。
・ちょうど、11月5日にIPAから警告が出た直後であったため、対応が追いついていませんでした。
・不正アクセス者は、ホームページにあるいくつかのファイルを変更したり新たな不正ファイルを挿入しようと
したため、それが原因で現在のホームページのプラットフォームであるWordPressが不安定となり、
そのことが逆に改ざんを目的とした不正アクセス者によるアクセスそのものもできなくなったようです。
・この段階でサイト運営ベンダーがアクセスをブロックしたので、被害は最小限に食い止められました。
・古いMovableTypeのファイルを残していたことが今回の原因でした。
<今後のセキュリティー対応について>
・原因となった古いMovableTypeのファイルは、すべて削除しました。
・不正アクセス攻撃に対しては、今後も常時監視を行うサイト運営ベンダーとの連絡を密接にし、
緊急の際に迅速に対応できるように緊急連絡体制とフローを構築しました。
・セキュリティ対策の強化としては、IPA等の情報源を注視し、利用CMSであるWordPressや
周辺プラグインが危機に晒されていないかを常に確認するフローを構築しました。
・特に、緊急かつ重大な脆弱性などが指摘された場合には対応策を講じるか、間に合わない場合は
速やかに利用を停止し、アクセスする皆様に被害が及ばないようにいたします。
以上
Follow us
メールマガジン
YouTube