JOGMECの公開サーバーに対する不正侵入が発生し、ホームページの改ざんが行われたことについては、平成20年9月18日にホームページに『JOGMEC公開サーバーに対する不正侵入とホームページの改ざんについて』を発表しております。
今般、セキュリティ対策専門会社と共に行ってきた改ざん内容、被害状況等の調査結果が以下の通り判明しましたので、お知らせ致します。
(1)不正アクセスの手法と内容
平成20年7月27日夜、JOGMECの外部公開サーバーの一つである、下記(2)(1)法人文書ファイル検索サービスサーバーにSQLインジェクションにより不正侵入が行われました。
その後、同様な手口にて下記(2)(2)、(3)、(4)のサーバーでプログラムの改ざん等が行われました。
(2) 改ざんが行われたウェブサイトと被害内容
- 法人文書ファイルの検索サービスサイト
http://inf.jogmec.go.jp/ - バーチャル金属資源情報センターのデータベース検索サービスサイト
http://mric.jogmec.go.jp/tango/result.asp
http://mric.jogmec.go.jp/current/08_56.html
http://mric.jogmec.go.jp/gims/
http://mric.jogmec.go.jp/gims/login.html
http://mric.jogmec.go.jp/shigen_hp.asp
http://mric.jogmec.go.jp/shigen_hp1.asp - JOGMEC英文ホームページにおけるお問い合わせサービスサイト
http://www.jogmec.go.jp/english/contact/ - 休廃止鉱山情報検索サービスサイト
(一般へのサービスは行っておりません)
1.については、プログラムの書換えが判明したものの、有害なサイトに強制的に誘導されることは確認されておりません。
2.のhttp://mric.jogmec.go.jp/tango/result.aspについては、鉱業・鉱物資源用語集の用語検索サービスを行うプログラムの書換えが、他のサイトについては、検索結果を表示させるプログラムの書換えが判明しました。この書換えられたプログラムにより有害なサイトに強制的に誘導され、悪性プログラム(ウィルス)のインストールが行なわれることが確認されました。
3.については、当方の認知していないプログラムが置かれたことが判明しましたが、このプログラムにより有害なサイトに強制的に誘導されることは確認されておりません。
4.については、プログラムの書換えが判明しました。この書換えられたプログラムにより、本サイトにアクセスしただけで2.と同じ有害なサイトに強制的に誘導され、悪性プログラム(ウィルス)のインストールが行なわれることが確認されました。
(3)外部における被害
2.及び4.のサイトへのアクセス、又は用語検索サービスを利用された方のパソコンが悪性プログラム(ウィルス)に感染した恐れがあります。
(4)対応策
上記(3)により感染したことが確認されている以下のウィルスについては、トレンドマイクロ社のウィルス対策ソフト(2008年9月17日以降に配布されたパターンファイル5.549.00)により、検知、駆除されることが確認されておりますので、パターンファイルを更新の上、スキャンされることをお薦め致します。尚、トレンドマイクロ社のウェブサイトでは、以下のウィルスを検知、駆除する無料のオンラインスキャンサービスも提供されております。
(http://www.trendflexsecurity.jp/security_solutions/housecall_free_scan.php?Homeclick=threat_onlinescan#)