それは1件のツイートがきっかけでした。
改竄情報:betsukai jp/blog/0001/ [株式会社オーレンス] https://t.co/2DrUIWYiBG #def_jp https://t.co/3yXc8OMpzB
— JPドメイン Web改竄速報 bot (@def_jp) 2016年3月28日
これ、一見すると一民間企業が運営している情報サイトっぽく感じますが、実は道東にある別海町役場のサイトでした。汎用JPドメインを使っているのと、所有者が民間企業の為に判りにくいのですが、町役場の公式サイトになります。こういう運用はどうかとも思うのですが、それは一旦置いておいて改竄について書いていきます。
実は改竄されたページのスクリーンキャプチャを取るのを忘れてしまったのですが、昨晩の18時23分頃に取ったトップページのスクリーンキャプチャに痕跡が残っていたので貼っておきます。明らかに改竄されていますね。何故、スクリーンキャプチャを取り損ねてしまったのかというと、事の重大さを鑑みて町役場のサイトに設置されている問合せフォームから改竄の事実を連絡した為です。連絡直後に問題のページは削除されました。
ただ、別海町役場のサイトを管理・運用していると思われる会社(ドメインの所有者と同一と思われます)が、トップページの痕跡にも気が付いた為、サイトは一旦遮断されます。昨晩の18時38分頃に取った画面は以下のようにApacheのテストページが出てきていました。これは、ドメインのトップページが存在しない時に出てくる画面になりますので、トップページを削除したものと推測されます。
その後、メンテナンス中を知らせる画面になりました。そして、その状態は本日の16時頃まで継続されていたことが確認できています。
ちなみに、昨日は類似の改竄が多数発生しており、弊社で確認できたものについては以下のサイトになります。
類似の改竄が相次ぐ場合には、かなりの確率でサイトで利用しているプログラムの脆弱性を突かれたケースが考えられますので幾つか調べてみたところ、既に開発・サポートが終了している「a-blog」というブログプログラムが使われていることが判明しました。但し、脆弱性を突かれたものなのか、それともユーザー名・パスワードが漏れて改竄されたものなのかは特定できていません。ちなみに、こちらのプログラムは、現在使われているサイトが多く見られる「a-blog cms」とは別のプログラムになりますのでご注意ください。
ある特定のアドレスを入れると表示される管理画面へのログインページが以下になります。改竄を確認した全てのサイトで存在を確認できました。別海町役場に関してはアクセス制御により特定のアドレスからしかアクセスできないようにされている模様ですが、存在の確認はできています。ちなみに、各サイトとも使われているバージョンはバラバラでした。
そこで、開発元であるアップルップル様に問合せフォームからダメ元で連絡してみました。そうしたところ、迅速にご連絡を頂き「何らか対策を考えてみたい」とのお返事を頂きました。もちろん、既に開発もサポートも終了しているプログラムですので、セキュリティパッチのリリースと言う事は無いでしょうが、販売されたプログラムのようなので顧客情報を元に購入者に注意喚起をして頂ければ良いかと思います。
なお、別海町役場のサイトに関しては本日18時頃に復旧を確認しています。ただ、現段階でも「a-blog」は使われているものと推測される為、再度の改竄被害を防げるのかどうかに関しては未知数となります。
このような改竄被害を防ぐには「使っているプログラムを常に最新にしておく」事と、開発やサポートが切れたプログラムは使用しないようにすることが重要になります。古くからあるサイトでは様々なプログラム(有料/無料問わず)が使われていることが多い為、今一度確認して対応されることを強く推奨します。