平成24年3月25日(日)に発生した、感染研および栄養研が共用で使う公式Webサーバシステム “www.niid.go.jp”で発生した不正アクセスとWebページの改竄について、ここに報告いたします。
1.不正アクセスの概要
発見日時:3月25日(日)午後4時頃
被害内容:http://www.niid.go.jp/index.html
発見経緯:
改竄されたWebサイトを検索・報告するサイトに、25日朝から本件を含む日本の複数のサイトが登録されたことを、同日3時ごろ内閣官房情報セキュリティセンター(NISC)が発見、厚生労働省統計情報部を通じで国立感染症研究所へ情報提供されました(午後4時ごろ)。直後に情報セキュリティ管理者のもとに連絡が届きました。直ちに、リモートでサイトの情報提供を止めるとともに、www.niid.go.jp の接続先を1週間前に更新を停止した旧サイトに戻しました。その後、直ちにサーバ内の解析作業を進めました。
改竄されたサイト:
感染研・栄養研共通で使う、双方のトップページへのリンクのみが置かれたページが、以下の文言が書き込まれた黒地のページに書き換えられていました。
LatinHackTeam Ownz Your Box
..We Are..
infEkt - Adminp4nic - eCORE
Againts governments corruptions !!
your security.. get down !!
Follow us @LatinHackTeam @infEkt1
2.不正アクセスの経路解析結果
- 午後2時5分ごろ、更新作業に便宜をはかるために公開状態にあった更新ユーザ用ページ(パスワードのみでアクセス制御)に、何らかの脆弱性を突いてアカウントが作成されました。
- 直後に、2つのPHPスクリプトがアップロードされました。
- PHPスクリプトが実行され、ドキュメントルートのindex.htmlが書き換えられました。
- PHPスクリプトは、書き換えのほかにwebサーバ本体のパスワードファイル(CMSとは別運用)を閲覧していました。
3.システムの問題点と事後の対策
アクセス経路の解析から考えて、事件発生時のシステムには以下の問題がありました
- 利用するいくつかのソフトウェアが既知の脆弱性を持つバージョンであった。
- 記事更新用のページが、インターネットからアクセス可能な状態であった。
- 書き換えの検出や、アクセス記録の保全に不備があった。
そこで、今後の情報セキュリティ保持のために、以下の対策を施しました
- ソフトウェアのバージョンを、システムの稼働を担保しつつ最新版に上げた。
- 記事更新用のページにパスワード以外のアクセス制限をかけた。
- サーバ側でアクセス記録の外部アドレスを記録できるようにした。
- 全ユーザのパスワード変更を行った。
対策実施後(3月30日金曜日)に、外部業者に依頼して脆弱性およびWebアプリケーションの検査を実施ししました。その結果、既知の脆弱性については見出せないという結果が得られています。
このたびは、本サイトの事件により、多大なるご迷惑をおかけしたことをお詫びいたします。このサイトは、現時点でできるかぎりの情報セキュリティ対策を施した上で再公開しております。また、今後は常時脆弱性のチェックとソフトウェアの更新に努めると同時に、データのバックアップ頻度をあげて、同一事象が起きた際の復帰時間の短縮に努めたいと考えております。
