山梨県立図書館が管理しているウェブサイトが改ざんされているのを見つけた話(デジタルリマスター版)
この記事は、2023年1月9日に旧ブログで公開していた内容を加筆・修正したものです。
当時、ブログを持っていなかったのでアウトプットしませんでしたが、ブログを作ったのでこのことを記しておきます。
スマホのケースを探していた、ただそれだけなんだ
ときは2021年12月にさかのぼります。
当時、スマートフォンのケースを探していて Google 検索していると、ヒットしているウェブサイトの URL とコンテンツ内容に違和感を感じました。
画像は正常なウェブサイトの例です。
赤く囲った部分は、ウェブサイトに含まれる検索文字列を抽出して表示しています。amazon.co.jp
なので日本語が含まれています。
海外ドメインであれば、大体は日本語で表示されることは少ないです。jp.domain.com
や www.domain.com/jp/
のように、日本向けのページが用意されているようなら別です。
検索結果に表示されているウェブサイトは、トップレベルドメインが .jp
ではないのに日本語が書いてあったのです。
違和感を感じるウェブサイトを、ブラウザのシークレットモードで何個か開くと Not Found や Forbidden でしたが、中には別の URL にリダイレクトしたり、私が利用しているセキュリティ対策ソフト ESET が警告を表示することがありました。
「もしかして、日本の企業が所有するドメインもこういった事例があるのではないか」と、いくつか思い当たるトップレベルドメインを Google で検索してみると、想像していた結果が出てきました。
個人のブログをはじめ、病院、学校、大学、不動産、飲食店、ホテル、東京都が管理する公園事務所など多種多様です。
co.jp
- 企業or.jp
- 財団法人や社団法人など企業以外の法人ac.jp
- 18歳以上を対象にした教育機関ed.jp
- 18歳未満を対象にした教育機関go.jp
- 日本の政府機関や各省庁所管の研究所、特殊法人、独立行政法人ne.jp
- ネットワークサービス提供者gr.jp
- 任意団体地域名.jp
- 誰でも登録可能なので自治体用ではないようです。2012年3月31日で新規登録終了tokyo.jp
やkanagawa.jp
など。
lg.jp
- 都道府県、市区町村、ただし全国で使用されているわけではなく、地域名.jp
を使い続ける自治体もある。
地方自治体ではさすがにないだろうと探してみると、山梨県立図書館が管理しているウェブサイト「発見!やまなしナビ」を見つけました。
画像のように、URLは「発見!やまなしナビ」なのに、英語のテキストが含んだページが大量にリストされています。
下記は、実際にクリックしたときの挙動です。
まったく別の URL にリダイレクトします。このときはファッションサイトですが、別のサイトではアダルトグッズだったり、スマートフォンのケースだったり電気工具の部品でした。
ファッションサイトは実際に存在するサイトをコピーしてきたものと推測されます。
主な目的は、クレジットカード情報を搾取する、いわゆるフィッシングサイトでしょう。この動作はまだ良心的です。
悪質な場合、リダイレクト先に悪意のあるスクリプトが埋め込まれ、閲覧した瞬間にスクリプトが実行されることがあります。
どうやって伝えるのが(自分が)安全なのか
私は、インターネットセキュリティや脆弱性の知識豊富の人間ではありません。インターネットがちょっと詳しいだけで、素人と同然です。
ウェブサイトが改ざんされているということは、お問い合わせフォームも改ざんされていて、本当のウェブ管理者に連絡できないと考え、Twitter アカウントからお伝えしたツイートが以下です。
. @lib_pref_ymns こんばんは。Google検索していたら、御社サイトに様々な英語のページが作成され、Googleにインデックスされています(画像はGoogleで「site:https://t.co/oGvYfZoTIY」を検索)。御社サイトは攻撃者に改ざんされており、自由にファイルを作成できる状態にあるようです。(続く) pic.twitter.com/CXMhzSEMWu
— Kuro (@PRiMENON) 2021年12月19日
このなかの一つをクリックすると御社のサイトのサーバ設定(.htaccessなど)によって、別のサイトに転送されています(画像はクリック時の動作を記録したアニメーションGIFです)。この転送設定はおそらく攻撃者が設置したもので、転送先のサイトも攻撃者が設置した偽サイトです。(続く) pic.twitter.com/zzW4TOqihP
— Kuro (@PRiMENON) 2021年12月19日
攻撃者により、悪意のあるファイルやスクリプトを自由に設置されている可能性があります。早急に対応したほうがよいかと存じます。問い合わせフォームは攻撃者に改ざんされている可能性があるので、Twitterでお知らせします。
— Kuro (@PRiMENON) 2021年12月19日
山梨県立図書館ウェブサイトがメンテナンスになった。Twitterの返信はありませんが、ウェブが改ざんされていることに気づいたようです。https://t.co/bTtFpa0f2N pic.twitter.com/mh3e74bEYi
— Kuro (@PRiMENON) 2021年12月22日
突然のご連絡失礼いたします。山梨県立図書館です。
— 山梨県立図書館(かいぶらり)公式 (@lib_pref_ymns) 2021年12月24日
この度は、当館ホームページに関することでご連絡をいただきありがとうございました。
よろしければDMにてお話を伺いたいのですが、一時的に当館アカウントをフォローしていただくことは可能でしょうか。ご検討の程よろしくお願いいたします。
2日後、返信がありました。続きは DM で今回の改ざんで私が被害に遭われていないか、やりとりしています。
その後、UTYテレビ山梨のニュースや、読売新聞の記事やYahoo!ニュースになっていました。
2023年現在、確認できるのは読売新聞の記事が確認できます。
今はどうなったか
あれから1年以上経過しましたが、依然としてインターネット上には、改ざんされていることのに気づいていないウェブサイトがあります。
山梨県立図書館の事例は、自治体でしたので早急に対応してもらえましたが、改ざんされていることを伝えようとしても、連絡方法がメールや電話しか用意されておらず、どうにもできないことがあります。 放ってはおけないので、JPCERT にお伝えしたことがあります(素人がお伝えして良いのか分かりませんが)。
インターネットで誰でも安全に情報が探せるようになって欲しい限りです。
Tips
このような手法を、Google Dorks または Google Hacking というそうです。
Googleの検索ワードに検索演算子を含めて検索することで、サイトのバグを見つけることが出来ます。