tike blog

セキュリティで気になった事をダラダラと。

共用サーバに対する不正アクセスと思わしき事象について

 

 

 

はじめに

 

 

 

SEOポイズニングによりユーザを偽ECサイトに誘導しようとする試みは今もなお続いています。

 

 

 

当ブログでは、過去にSEOポイズニングの手法の一つについてご紹介しました。

 

tike.hatenablog.com

 

 

 

このような偽ECサイトに誘導することを目的としたコンテンツが、ある共用サーバ上の複数のWebサイトに集中的に配置された形跡が確認できましたので、ご紹介したいと思います。

 

  

 

 

きっかけ

 

 

 

調査のきっかけとなったは、以下の不正コンテンツを目にしたことでした。

 

 

f:id:tiketiketikeke:20190301184312p:plain

 

 

 

ある 属性・地域型JPドメインのサイトに対して、偽ECサイトに誘導するコンテンツが設置されていました。

 

 

 

同種のJPドメインのWebサイトで同じような不正コンテンツが設置されているケースをいくつか見かけていたという経緯もあり、調査することにしました。

 

 

 

 

Webサイトを調査してみた

 

 

 

 

先ずは urlscan.io で見てみます。

 

urlscan.io

 

 

 

urlscan.io の 「Detected technologies」の項目を見てみます。

 

f:id:tiketiketikeke:20190301185608p:plain

 

 

 

Windows Server上の IISでWebサイトが稼働しているようです。

 

 

 

 

更に shodan.io でも見てみます。

 

www.shodan.io

 

 

shodan.io の 「Web Technologies 」の項目を見てみます。

 

 

f:id:tiketiketikeke:20190301191234p:plain

 

 

 

この Windows Server にはPHPが導入されているようです。

 

 

 

更に、導入されたPHPには多くの脆弱性が含まれることを示唆する結果が表示されました。

(画像は一部を抜粋したもの)

 

f:id:tiketiketikeke:20190301191404p:plain

 

 

 

調査対象のWebサイトを一通り見てみましたが、静的なページで構成されており、PHPは利用されていないように見えました。

 

 

 

更に詳しく見てみると、以下のページがルートディレクトリ直下に存在していることが確認できました。

 

 

f:id:tiketiketikeke:20190301191633p:plain



 

ホスティング事業者が設置したと思われるコントロールパネル画面です。

この画面はPHPで構成されていました。

 

 


このサイトのIPアドレスが共用サーバである可能性を探るため、同一IPアドレスに紐付くホスト名をPassive DNSの情報から探ってみたところ、130件のWebサイトがこのIPアドレスに紐付いていることが確認できました。

 

 

 

気になるのは、130件のWebサイトの中で不正コンテンツが設置されたのはこの1件のWebサイトのみなのかという点です。

 

 

 

 

130件のWebサイトを調査してみた

 

 

 

Google の site: コマンドを使用して、各FQDNに不正コンテンツが配置された形跡がないか見てみたいと思います。

 

 

 


site:コマンドによるサイト指定と合わせて、今回の調査のキッカケとなった不正コンテンツに含まれる 『Yahoo!ショッピング』 というキーワードも指定します。

 

f:id:tiketiketikeke:20190301192442p:plain

 

 

 

すると、同一IPアドレスに共存する130件のWebサイトのうち、54件のWebサイトに不正なコンテンツが配置された形跡が判明しました。

 

※ここで形跡と言っているのは、Googleの検索キャッシュには残っているものの、既に不正コンテンツを削除した等の理由により、実ファイルが存在しない事例もあったためです。

 

 

 

不正コンテンツに見られる規則性

 

 

 

検索結果に表示されたリンクのURLを見ると、これらの不正コンテンツのファイル名には以下のような命名規則が適用されていました。

 

 

 

<英字3文字>-<英数字6文字>.html

 

 

 

そして、不正にコンテンツが配置されたフォルダ構成にも以下のような一定のルールがありました。

 

 

 

/wp-includes/images/<英字3文字のフォルダ名>/

 

/wp-includes/css/<英字3文字のフォルダ名>/

 

/既存のフォルダ/<英字3文字のフォルダ名>/

 

 

 

 

WordPressで構成されたWebサイトにはwp-includesフォルダ配下、そうでないWebサイトには既存フォルダ配下に英字3文字のフォルダがそれぞれ設置され、その中に不正コンテンツが格納されるという構成でした。

 

 

 

コンテンツの設置時期は2018年の10月、12月が多く、ファイル名やファイル配置先に一定のルールがあることから、同一の攻撃キャンペーンの一環として共用サーバが侵害され、複数のWebサイトに不正コンテンツが配置されたのではないかと推測できます。

 

 

 

共用サーバへの不正コンテンツ配置と言えば・・・

 

 

 

共用サーバへの不正ファイル配置と言えば、今年1月に発生した某ホスティング事業者の事例が思い浮かびます。

 

piyolog.hatenadiary.jp

 

 

 

 

この事例では、犯行グループと思われる人物による犯行声明が出されたこと、ハッキング行為を誇示するかのようなコンテンツが配置されたことから、当該ホスティング事業者は攻撃事象を公表せざるを得なかったのではないかと考えることもできます。

 

 

 

公表に至らずとも、今回取り上げたような偽ECサイトへの誘導に繋がる不正コンテンツの設置は「よくある話」として流されているだけで、同じようなケースは他にも存在する可能性は否定できません。

 

 

 

共用サーバ上でWebサイトを運用している利用者の立場からすると、共用サーバへの攻撃事象を回避することは正直難しいのではないかと思われます。

 

 

 

 

利用者側ができること

 

 

 

共用サーバの利用者側としてできる事後対策は、自サイト内の不正なファイルの存在を確認することです。

 

 

先ほどご紹介した Google の site: コマンドにより、自サイト内の不正なコンテンツの有無をご確認頂き、更に (可能であれば) バックアップと公開中のコンテンツの差分を継続して確認することで、意図しないファイルの設置に気付くことができるのではないかと思います。

 

 

 

まとめ

 

 

 

不正コンテンツの有無を確認することで、自サイトが侵害されたことを知るきっかけになります。

 

 

ECサイトに誘導される"程度"であれば、特段大きな被害が発生した訳ではないと考えることもできます。

 

 

マルウェアの配布元に仕立て上げられるなど、更に悪質な侵害を受ける前に、一度自サイトへの不正ファイルの有無を確認することをお勧めします。

 

それと、もし不正ファイルの設置が確認できた場合は、ファイルを削除するだけではなく、Googleの検索キャッシュを削除することもお忘れなく。

 

support.google.com

 

 

 

最後までご覧いただきありがとうございました。

 

 

 

以上 

 

 

更新履歴
2019年3月1日 初版作成