トップ >>
弊社WEBサイト改竄に関するお知らせ
2010年6月14日
株式会社キャラアニ
2010年6月12日0時ころから2010年6月14日13時30分頃まで、弊社サイト(chara-ani.com)を停止させていただきました。
ご利用のお客様に対しては、大変ご迷惑をおかけしましたことを、お詫び申し上げます。
弊社サイトの一部のページにアクセスしたときに、悪意のある外部からのユーザーによって不正に仕掛けられたファイルをダウンロードしようとする状態になっていたため、一時的にサイトを停止することによってリスクを回避させていただきました。
サイト停止前に弊社サイトにアクセスされたお客様に関しても、ブラウザに通常のセキュリティ設定をしている場合、またアンチウィルスソフトウェアをインストールしている場合には、発せられ警告に従っている限り、ファイルがダウンロードされる可能性はありません。
このファイルがダウンロードされる原因は究明され、現在、弊社サイトにアクセス
しても、このリスクはありませんので安心してご利用ください。
【対象期間】(WEBサイトが改竄されていたと想定される期間)
2010年6月12日(土)0時頃〜2010年6月12日(土)2時頃
上記期間に下記の対象となるウェブサイトにアクセスした場合、改竄されたスクリプトが実行され、悪意のあるサイトに誘導され、ウィルスに感染する恐れがありました。
【サイト停止期間】
2010年6月12日(土)2時頃〜2010年6月14日(月)13時30分頃
【改竄されたWEBサイトの範囲】
www.chara-ani.com
上記WEBサイトの中で、商品カテゴリデータベースでカテゴリ名が表示される場所が今回の改竄の対象となっていました。
【攻撃タイプ】
SQLインジェクション
【攻撃された箇所】
商品カテゴリに関するデータベース
【調査した機関】
株式会社両毛システムズ
【実施した調査内容】
(1)改竄発見後、不正アクセスのパターンから、保存してある以下のログより推測されるキーワードの含まれる行の抽出、検証を行いました。
・データベースアクセスログ
・ウェブサイトアクセスログ
(2)改竄発生時間前後の全ログについては目視での確認を行いました。
(3)その際ログを注文と照らし合わせ整合性を確認しました。
(4)影響範囲のモジュールに付いて、ソースコードの監査を目視で行いました。
(5)ウィルススキャナーによる、ウィルスチェックを行いました。
【調査結果】
上記調査の結果、新しいタイプの「SQLインジェクション」対策の実装が不十分なコードが存在していたため、商品カテゴリデータベースに関連するページへの「SQLインジェクション」により、該当するページが改竄され、他のサイトに設置されたJavascriptを実行するクロスサイトスクリプティングのコードが埋め込まれたことが判明しました。
このJavascript がInternet Explore で実行されるとウィルスに感染する恐れのある
ActiveXコンポーネントから、ファイルをダウンロードして保存しようとします。
IE の標準的なセキュリティ設定の場合にはこのファイルのダウンロードを行う前に
確認を求められます。
またウィルス自体は比較的過去のものであったため、アンチウィルスソフトウェアをお使いの場合、頻繁にアップデートを行っていなくても、保存前に検知された可能性が高いです。
<個人情報の漏洩について>
攻撃を受けたすべてのページにおいて、接続しているデータベースはカテゴリに限定されたものになっており、個人情報を含む他のデータベースにはアクセスできないように設計されています。
また、上記ログ調査の結果でも個人情報のデータベースに対して不正なアクセスは
認められておりません。
【弊社が行った対策】
該当するWEBページにおいて、「SQLインジェクション」によって改竄されることが無い様に「SQLインジェクション」対策用のライブラリを既存のデータ確認ライブラリに追加した上で、サイトの内容を改竄されたと思われる12日0時以前の状態に戻して、2010年6月14日13時30分よりユーザー向けサイトを再開しました。
【今後計画している対策】
短期的には、システム保守の人員を増員し、以下システムの見直しを行い、セキュリティレベルを高めます。
・全アプリケーションコードに対し、「SQLインジェクション」やその他のセキュリティ対策が十分であるかどうかのレビューを再度行い、コードレベルの対策を万全にします。
・データベースに対して書き込みアクセスのあるコードを局所化し、合わせてログの実装見直しを行います。システムの外部からの攻撃に対する耐性を強化します。
中期的には、システムのリプレイスを含めて対策を検討してまいります。
・システムを現在のものから、よりセキュリティリスクの少ない言語や攻撃に強いアーキテクチャに変更を行います。
・必要に応じ、ネットワーク構成の変更やファイヤーウォールの強化、IDS(進入検知システム)の設置なども含めて対策を行います。
以上、弊社WEBサイト改竄に関するご報告となります。
ご利用いただいているお客様また、関係各位に大変ご迷惑をおかけしましたことを改めてお詫び申し上げます。
お問い合わせ先:
キャラアニ.com カスタマーサポート
support@chara-ani.com