今回のハッキングの事件についての調査結果のご報告
今回のハッキングの事件に関して、お客様には大変ご迷惑をお掛けして申し訳ありませんでした。
昨日、JPCERT/CC (コーディネーションセンター) 様より、調査の最終的なご報告をいただきました。
(以下の文章で、IPアドレスの一部は、個人情報の保護の観点から # で隠しています。)
不正侵入の原因
残っていた各種ログからは、不正侵入の原因について特定できませんでした。ただ、攻撃の痕跡とて、203.194.144.# からの不審なアクセス (Webアクセス、FTPのログイン試行) を確認しており、8月上旬から攻撃の試行が行われていた痕跡を確認しました。しかし、これだけで、不正侵入の原因までは特定できませんでした。なお、FTPのログイン試行はいずれも成功していません。
不正誘導について
残っていたログから、以下の 2回のアクセスはハッカーにより不正に置かれた .htaccess ファイルによってリダイレクトされた、不正なファイルへのアクセスだと考えられます。
#.#.#.# - - [18/Aug/2014:05:41:38 -0500] "GET /pub/updates/emed64_updates_ja.txt HTTP/1.1" 200 884 "-" "AdvancedInstaller" #.#.#.# - - [18/Aug/2014:06:19:04 -0500] "GET /pub/updates/emed64_updates_ja.txt HTTP/1.1" 200 884 "-" "AdvancedInstaller"
これらのアクセスは、.htaccess に記述されていた IP アドレスの一覧の範囲と一致し、問題のあった時間帯とも一致していて、しかもアクセス ログに記録されているバイト数 (884) が、同ファイルへの他の時間帯、他のIPアドレスからのアクセスに記録されているバイト数と異なっていました。
つまり、通常は、
#.#.#.# - - [10/Aug/2014:03:45:09 -0500] "GET /pub/updates/emed64_updates_ja.txt HTTP/1.1" 200 855 "-" "AdvancedInstaller"
のように、855 バイトと表示されるはずですが、上記 2 回のアクセスだけ、ファイルのバイト数が 884 バイトとなっていました。
上記 2件 の IP アドレスの発信元のお客様には、JPCERT/CC 様より連絡を行っていただきましたが、マルウェアに感染といった事件は発生していませんでした。アクセスログには、実際のインストールが行われなくても、更新のチェックを行うだけでも、上のようにアクセス ログに記録が残ります。
今後の対策について
弊社では、使用している WordPress のプラグインとテーマの更新を毎日行うといった基本的な対応に加えて、定期的に、マルウェア スキャンの実施、サーバー上のファイルの変更の監視、アクセスログの監視を行い、不審な挙動に伴う IP アドレスについてはアクセスをブロックするといった処置をより積極的に行うことにしました。また、8月29日より、emeditor.com のサイト全体を SSL 暗号化通信に移行し、ハッカーによる個人情報の盗聴を防止しています。さらに、本サイト内のフォーラムを、他のサイトへ移動、またはメーリング リストへの移行を検討しております。
更新チェッカーを作成するのに使用した Advanced Installer の次期バージョンでは、更新インストーラーに弊社のデジタル署名が無ければインストールがブロックされ、より安全になります。弊社でも Advanced Installer の RC 版のテストを行いましたが、確かに異なるデジタル署名の更新インストーラーは、インストールがブロックされることを確認しました。そこで、将来の EmEditor のバージョンでは、Advanced Installer の次期バージョンのより安全な更新チェッカーを使用して更新チェッカーの機能を復活する予定です。
皆様には大変ご迷惑をお掛けして申し訳ありませんでした。
今後もよろしくお願い申し上げます。
参考:
返信を残す
Want to join the discussion?Feel free to contribute!