2014年08月20日

Emurasoft, Inc.が今回のハッカー攻撃の詳細を公表


Emurasoft, Inc.が今回のハッカー攻撃の詳細を公表


Emurasoft, Inc.が今回のハッカー攻撃の詳細を公表しました。

2014年8月19日Emurasoft, Inc.がブログにてハッカー攻撃の詳細を公表

しました。
Emurasoft, Inc.が今回のハッカー攻撃の詳細を公表


以下、Emurasoft, Inc.の発表

今回のハッカーによる攻撃の詳細について

今回のハッキングの事件に関して、お客様には大変ご迷惑を
お掛けして申し訳ありませんでした。

EmEditor は、お客様のご意見を承りながら、私が何年間も掛けて
大切に創り上げて参りましたプログラムです。
皆様に安心して使っていただけるはずだった更新チェッカーが
ハッカーに悪用されたことについて、大変遺憾に思っておりますと共に、
お客様には大変ご迷惑をお掛けして申し訳なく思っております。

お客様より、多くのご質問を頂いております。
また、情報をもっと公開すべきというご意見も頂いております。
当初は、ハッキングの内容まで詳細な情報を公開することには不安が
あったのですが、それよりも情報を共有することにより、
お客様にさらにご理解いただき、また他のウェブ サイト管理者の
皆様のご参考になればと思い、多くの情報を公開することに致しました。

皆様からのご質問と回答についてまとめました。

1. ハッカーの手法について

EmEditor の更新チェッカーは、Advanced Installer で作成された
更新チェッカーを使用しています。
EmEditor でのファイル名は、 eeupdate.exe です。
この更新チェッカーは、既定の設定では、定期的に、
http://www.emeditor.com/pub/updates/(更新定義ファイル) を
チェックしています。
更新定義ファイルのファイル名は、
emed32_updates.txt、emed64_updates.txt、
emed32_updates_ja.txt、emed64_updates_ja.txt のいずれかになります。
これらの更新定義ファイルには、インストールするインストーラーへの
パス、更新内容の説明、ファイルのサイズ、更新日など、インストーラーの
詳細が記述されています。
(詳しくは、
http://www.advancedinstaller.com/user-guide/updates-configuration.html
を参照してください)

今回の事件では、/pub/updates/ のフォルダに、ハッカーにより
.htaccess ファイルが置かれていました。このファイルには、
以下の内容が記述されていました。

――--
SetEnvIf Remote_Addr “106\.188\.131\.[0-9]+” install
SetEnvIf Remote_Addr “133\.6\.94\.[0-9]+” install
(… 同様に70行 …)
SetEnvIf Remote_Addr “124\.248\.207\.[0-9]+” install
RewriteEngine on
RewriteCond %{ENV:install} =1
RewriteRule (.*\.txt)$ /pub/rabe/editor.txt [L]
―――

そして、ハッカーによって置かれたもう1つのファイルは、
/pub/rabe/editor.txt でした。
これは、実際の更新定義ファイルに似ていました。
しかし、その時は特に問題だと思わず、単純に削除してしまいました。
ファイルを削除してしまったため、サーバー管理者に問い合わせて、
バックアップを探したのですが、見つかりませんでした。
もし、このファイルを削除せずにバックアップを取っておけば、
さらに多くの情報を見つけることができたので、これについては、
非常に残念で悔いが残っています。
大変、申し訳ありません。

したがって、/pub/rabe/editor.txt にある更新定義ファイルの内容に
よっては、実際にマルウェアだったのか、無害のファイルだったのか、
あるいは、ハッカーが実際のマルウェアを導入する前のテスト段階
だったのか、現在のところ、断定できないでいます。

2. 自動インストールは有効にしておらず、更新チェックが
有効の場合には、問題はありませんか?

実際にインストールが行われていなければ問題はありません。
自動インストールは、既定では無効になっています。
自動インストールが有効になっていなければ、お客様が、手動で、
更新を指定しない限り、自動的にインストールが行われることは
ありません。
更新をチェックしただけで実際の更新 (インストール) を行っていなければ、
問題はありません。

3. 更新チェックの実行条件は?

更新チェックは、EmEditor を起動時で、指定されている日数間隔で行われます。
(既定は、EmEditor のバージョンにより 1日〜5日)。
EmEditor を起動しない限り、更新チェックが実行されることはありません。

4. 感染リスクのある時間帯の判断根拠は?

私が問題のファイル (.htaccess と editor.txt) の存在に気付い
て削除したのは、日本時間の 8/19 午前 3:20 頃でした。
サーバー会社による最後のバックアップが取られたのが、
8/18 午後 10:36 でしたが、そのバックアップにこれらのファイルが
存在しなかったため、問題のファイルが置かれた時間は、
最後にバックアップが取られた後ということになります。

5. 現在公表されている以前の時間帯で、更新チェックの問題が
無かったことは確認済みですか?

これについては、残念ながら、確実に問題がなかったと断言はできません。
しかし、毎日、サーバー上のファイルの変更は監視していて、
以前には、このような問題には気付いたことがありませんでした。

6. 感染するウイルスの種類は?

問題のファイル editor.txt を削除してしまったため、本当にマルウェアが
リダイレクトされていたかも判断できない状態です。
したがって、感染されるウィルスの種類も特定できていません。
実際にはマルウェアやウィルスではなかった可能性があります。

7. 実際にマルウェアに感染された組織は?

現在のところ、マルウェアやウィルスに感染された事例は1つの報告も
ありません。
また、実際にマルウェアやウィルスが存在したかどうかも確認できていません。
マルウェアやウィルスの感染あくまでも可能性であり、実際には、
マルウェアやウィルスは存在せず、ハッカーのテスト段階でウィルス感染を
未然に阻止できている可能性があることも考えられます。

8. 問題のファイルを提供できますか?

.htaccess ファイルについては手元にありますが、個々の IP アドレスが
個人情報に該当しますので、お教えできるのは、上記の内容ということで
ご理解いただけると幸いです。
もう1つのファイルである editor.txt については、削除してしまったため、
バックアップにも見つからなかったため、残念ながら、手元にない状態です。
これついては、本当に申し訳ありません。

9. ウイルスが置かれた原因は、XOOPSのどういう脆弱性が攻撃された
可能性が高いのでしょうか?

まず最初に、ハッカーが実際に XOOPS の脆弱性を利用したかどうかに
ついても、実際には判断できない状態ですが、可能性として書かせて
いただきます。

現在では削除されている、ロシア語、チェコ語、イタリア語、スペイン語、
フランス語の EmEditor ウェブ サイトでは、XOOPS Cube 2.0.16a JP
(2006年) が使用されていました。
XOOPS には、以下のような脆弱性が報告されていますが、XOOPS には
いくつかの派生があり、必ずしもすべての事例が当てはまるとは限らない
のでご留意ください。

http://www.exploit-db.com/exploits/32097

http://www.exploit-db.com/exploits/32098

http://www.exploit-db.com/exploits/5057

http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=xoops&filter_author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_exploit_text=&filter_port=0&filter_osvdb=&filter_cve=

XOOPS Cube 2.0.16a JP については、XOOPS Cube の日本バージョンの
最後のバージョンで、開発が停止していました。
そこで、新しい XOOPS の別の派生バージョンへは、互換性の問題で
更新ができないままでいました。

10. IP アドレス一覧に私の IP が含まれていなければ問題はありませんか?

IP アドレス一覧にお客様の IP アドレスが含まれていなければ、
更新チェックを行ったとしても、問題はなかったと考えられます。

11. EmEditor ホーム ページにアクセスしただけでウィルスに
感染するのでしょうか?

EmEditor ホーム ページにアクセスしただけでウィルスに感染する
というとは考えられません。

12. 全ファイルスキャンをすると時間がかかるため、まず最初に確認した
方がよいフォルダがあれば、教えていただけると助かります。

残念ながら、実際にマルウェアが存在したかどうかもわからないため、
もしマルウェアに感染されたとしても、どこにマルウェアがインストール
されているかもわからない状態です。大変申し訳ありません。

13. ウィルススキャンで何も発見されなければ問題ないのでしょうか?
ウィルススキャンソフトによっては検知できないということはありませんか。

残念ながら、マルウェアだったとしても、どのようなウィルスが存在
したかを特定することはできません。
通常に知られているウィルスであれば、Windows に付属、または市販の
セキュリティ ソフトウェアで検出できると考えられます。

14. 今後の対策について

今回、問題の可能性が高い XOOPS によるサイトをすべて削除
いたしましたが、ハッカーがどのような手法で悪意のあるファイルを
置いたのかが分からない状態です。
英語、日本語のサイトは WordPress を用いて運営されています。
WordPress は、常に自動的に最新のバージョンに更新を行っており、
使用しているプラグイン、テーマも毎日、常に最新版に更新を行っています。
また、iThemes Security プラグインを用いて、セキュリティ レベルを
できるだけ上げていますが、ハッカーの手口は非常に巧妙で、
どのような対策を行っても、ハッカーを 100% 完全に防ぐことは、
残念ながら難しいと言えます。
そこで、WordPress を使用しないウェブサイトへの移行、サーバー ホスト
会社の変更なども視野に入れて、対策を検討しています。

また、更新チェッカーを作成している Advanced Installer の作成元の会社
には、状況を説明して、次の 2 つの質問を行っているところです。

(1) 更新チェッカーによりマルウェアが実際にインストールされる可能性は
  あるかどうか。

(2) 更新チェッカーにより、実行する更新プログラムが、デジタル署名に
  より開発元のプログラムであることを確認してから更新する手法は
  可能かどうか。

デジタル署名の確認方法が可能であれば、将来のバージョンではより安心
して更新できるようになるはずです。

以上です。

皆様には大変ご迷惑をお掛けして申し訳ありませんでした。

今後もよろしくお願い申し上げます。



実際にマルウェアやウィルスが存在したかどうかも確認できていない
ということですが、心当たりがある場合は、セキュリティソフトでPCを
しっかりスキャンしましょう。


EmEditor の更新チェックでウィルス感染?

EmEditor Free--オールフリーソフト

今回のハッカーによる攻撃の詳細について





スポンサーリンク




posted by ひろ at 08:44| Comment(0) | TrackBack(0) | フリーソフト | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/404024996
※ブログオーナーが承認したトラックバックのみ表示されます。

この記事へのトラックバック
RSSヘッドライン