2014年08月23日

Emurasoft, Inc.が今回のハッカー攻撃の詳細の続報を公表


Emurasoft, Inc.が今回のハッカー攻撃の詳細の続報を公表


Emurasoft, Inc.が今回のハッカー攻撃の詳細の続報を公表しました。Emurasoft, Inc.が今回のハッカー攻撃の詳細の続報を公表

以下、Emurasoft, Inc.の発表

今回のハッカーによる攻撃の詳細の続報

今回のハッキングの事件に関して、お客様には大変ご迷惑を
お掛けして申し訳ありませんでした。

この度、JPCERT/CC (コーディネーションセンター) 様、
IPA情報処理推進機構様、その他多くのセキュリティ関連会社様より、
電話会議やメールを通して、ご協力やご助言を得ることができ、
大変感謝しております。
サーバー管理会社の協力により、多くの関連ログが取得できたため、
問題の解析が進む見込みです。

更新チェッカーを作成している Advanced Installer の作成元の会社から、
マルウェアのインストールの可能性について回答がありました。
マルウェアがインストールされる可能性はあるが、マルウェアならば、
Emurasoft, Inc. が発行元のデジタル署名が付いていないはずなので、
インストーラーのダイアログや UAC (ユーザーアカウント制御)
ダイアログが表示されるはずだとのことです。

前回のブログの質問と回答集以外にも、お客様からは、さらに多くの
ご質問をいただいております。
お客様にさらにご理解いただき、また他のウェブ サイト管理者の皆様の
ご参考になればと思い、ここに追加の情報を公開することに致しました。

1. マルウェアがインストールされたかどうかを調べる方法は、
ウィルス検査以外にありますか?

更新をダウンロードすると、通常、
C:\ProgramData\Emurasoft\EmEditor\updates\
に更新定義ファイルが保存され、その中にサブフォルダが作成されて、
更新インストーラーも保存されます。
このフォルダの実際のパスは、[ヘルプ] メニューの
[更新チェッカーのカスタマイズ]を選択すると、[更新オプション]
ダイアログが表示されます。
この中の [ダウンロード フォルダ] で確認していただけます。
万一、このフォルダ内のサブフォルダに保存されているインストーラーに、
Emurasoft, Inc. が発行元のデジタル署名が付いていない場合には、
マルウェアが保存された可能性があります。
万一、このようなファイルを見つけた場合には、実行せずに、
jp@emurasoft.com 宛てに速やかにご連絡ください。
ただ、巧妙なマルウェアなら痕跡を残さずに実行された可能性もあることが
考えられます。

2. 更新時に、何かダイアログや UAC (ユーザーアカウント制御)
ダイアログが表示されるでしょうか?

EmEditor v14.5.0 以上が既にインストールされた状態で、Emurasoft, Inc.
が発行元のデジタル署名が付いた更新インストーラーの場合は、
新たなダイアログや UAC (ユーザーアカウント制御) ダイアログは表示
されません。

EmEditor v14.5.0 以上が既にインストールされた状態で、Emurasoft, Inc.
が発行元のデジタル署名が付いていない更新インストーラーの場合は、
新たなダイアログが表示されるはずで、コンピューター本体に変更が
加えられる場合には、通常は UAC (ユーザーアカウント制御) ダイアログが
表示されます。

EmEditor v14.5.0 未満が既にインストールされた状態での更新では、
どのような場合でも、新たなダイアログが表示されるはずで、
コンピューター本体に変更を加えられる場合には、通常は
UAC (ユーザーアカウント制御) ダイアログが表示されます。

3. ブログに掲載されていた IP アドレス一覧に、私の IP が含まれている
場合、EmEditor サーバーにアクセスされたという意味でしょうか?

いいえ、ブログに掲載されていた IP アドレス一覧に、お客様の
IP アドレスが含まれていたからといって、EmEditor サーバーにアクセス
されたことを意味しているわけではありません。
この IP アドレスの一覧は、ハッカーが置いた .htaccess ファイルから
書き写したもので、アクセス ログとは全く別のものです。
.htaccess ファイルは、簡単に書くと、通信をリダイレクトする
IP アドレスを指定しているファイルです。
つまり、ここに書かれている IP アドレスのみ、マルウェアの可能性のある
ファイルのインストールを指示していたということになります。
.htaccess は、ハッカーが記述したファイルで、弊社が書いたファイルでは
ありません。

4. 私の IP が EmEditor サーバーにアクセスされたかを調べることは
できますか?

はい。前回のご報告の後、サーバー管理会社の協力を得て、問題が発生した
日時の前後のアクセス ログ、エラー ログ、FTP ログなどを
取得することができました。
アクセス ログを調べれば、お客様の IP アドレスでアクセス
されたかどうかを調べることができます。
ただ、巧妙なハッカーなら、アクセス ログを書き換えていたことも
考えられるため、これで完全に調べられるとは言い切れないものがあります。
もし弊社で調査を希望される場合は、お客様の IP アドレスを添えて、
jp@emurasoft.com 宛てにお問い合わせください。

5. EmEditor Free として使用している場合でも問題の可能性がありますか?

EmEditor Free として使用されている場合は、更新チェックの機能が
無効になっているため、問題の可能性はありません。

6. 更新チェックの機能を無効にするには、どうしたらいいでしょうか?

本日公開した v14.5.4 に更新していただければ、更新チェックの機能は
完全に取り除かれます。
EmEditor を使用されている皆様は、この最新版に更新されることを
強くお勧めします。
更新される場合、EmEditor の更新チェックの機能は既に使用できなく
なっているため、ダウンロード ページより最新版をダウンロードして
更新してください。
なお、既存のバージョンで、更新チェックを無効にされたい場合は、
[ヘルプ] メニューの [更新チェッカーのカスタマイズ] で、
[更新を自動的にチェックしない] を選択していただくことでも可能です。
また、EmEditor のインストールの段階で、カスタム インストールを
選択して、更新チェックを無効にされた場合、および INI ファイルを
使用するポータブル版の場合は、更新チェッカーは完全に無効に
なっています。

7. 更新チェッカーの今後について

更新チェッカーを作成するのに使用した Advanced Installer の開発元
からは、更新チェッカーのセキュリティ改善に向けて前向きな回答を
いただいています。
改善の方法としては、デジタル署名で確認する方法、および設定定義
ファイルをプライベートキーで署名する方法の 2 種類が考えられる
との回答を得ています。
本サーバーの安全と更新チェッカーの改善が確認できれば、
更新チェッカーの利用が再開できるようにしたいと考えています。

8. 今後の対策について

サーバー管理会社によるクリーンアップ作業は終了し、現在は正常だという
回答を得ています。
また、古い XOOPS を使用していた外国語サイト、および EmFTP のサイト
はすべて削除いたしました。

現在、JPCERT/CC 様には、サーバーのアクセス ログなどをお渡しして、
問題の解析をお願いしています。
何かハッカーの手口や原因がもっと詳しくわかれば、対策は行いやすく
なります。
しかし、ハッカーがどのように悪意のあるファイルを置いたかを特定
するのは、難しいのではないかと思います。

サーバー会社から取得した弊社が所有するドメインのすべての FTP ログ
によると、弊社の FTP サーバーは、一般には公開されていないにも
関わらず、8月1日から19日までの間だけで、201個もの異なる IP アドレス
から不正なログインが試みられています。
中には数分毎にアクセスを試みている総当たり攻撃が確認されています。
なお、ログによれば、不正なログインは 1 つも成功していません。
しかし、総当たり攻撃から防ぐため、問題の IP アドレスからのアクセスを
禁止する処理を行うことにしました。

さらに、サーバー上の不要なファイルを整理、削除して、必要なファイル
だけを置くようにし、悪意のあるファイルが置かれた場合でもすぐに発見
できるように監視を続けていく所存です。

以上です。

皆様には大変ご迷惑をお掛けして申し訳ありませんでした。

今後もよろしくお願い申し上げます。


EmEditor Freeでは、更新チェックの機能が無効になっているため、

問題ないとの事ですので、安心して使用して下さい。


EmEditor Free--オールフリーソフト

Emurasoft, Inc.が今回のハッカー攻撃の詳細を公表

EmEditor の更新チェックでウィルス感染?

EmEditor公式サイトがハッカーによる攻撃を受けていたと発表

今回のハッカーによる攻撃の詳細の続報




スポンサーリンク




posted by ひろ at 07:04| Comment(0) | TrackBack(0) | フリーソフト | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/404190929
※ブログオーナーが承認したトラックバックのみ表示されます。

この記事へのトラックバック
RSSヘッドライン