陰某論

陰でこそこそとコンピュータセキュリティ・情報セキュリティについての某かを論ずるブログ

高松空港ウェブサイト改ざん

2016-08-22 02:43:01 | インシデント
公表され報道も行われているため、当事者を伏せません。

高松空港振興期成会が運営する高松空港ウェブサイト http://www.takamatsu-airport.com/ が改ざんされていました。若干まぎらわしいのですが高松空港ビル株式会社 http://takamatsu-airport.co.jp/ とは別のサイトです。

「高松空港ホームページの改ざんについて」 http://www.pref.kagawa.lg.jp/content/dir5/dir5_2/dir5_2_1/wof5sf160819224944.shtml
「高松空港HP改竄され閉鎖 不正アクセスか - 産経WEST」 http://www.sankei.com/west/news/160820/wst1608200020-n1.html
「高松空港:HP改ざん 被害報告なし 原因調査で閉鎖 /香川 - 毎日新聞」 http://mainichi.jp/articles/20160821/ddl/k37/040/310000c

現在高松空港ウェブサイトはメンテナンス中の表示になっています。


香川県の発表(PDF) http://www.pref.kagawa.lg.jp/content/etc/web/upfiles/wof5sf160819224944_f01.pdf には「Google 等の検索サイトで時刻表のページを検索し、検索結果画面においてキャッシュページを選択して表示させた場合に、特定の広告サイトに誘導する文字列(別添)が挿入された状態で表示される。」とありますが、実際には User-Agent に依存して表示が変わる状態になっていました。User-Agent として Googlebot あるいは Bingbot を名乗ると、ページ上部に不正な広告リンクが挿入された改ざんされたページ

が表示される状態でした。香川県の発表は通常のブラウザであっても Google/Yahoo! Japan/Bing がキャッシュしているページを表示させると不正な広告が挿入されたページが表示されるということを言っているものと思われます。通常のブラウザで通常の表示を行った場合はこの広告は挿入されません。

FAX をスキャンした解像度の低い白黒画像ではありますが香川県が改ざんされた状態を公表している(PDF) http://www.pref.kagawa.lg.jp/content/etc/web/upfiles/wof5sf160819224944_f02.pdf ことには敬意を表したいと思います。お蔭でこのブログ記事でも遠慮なく状況を記すことができます。

改ざんされていたのは高松空港を発着する航空便の時刻表が掲載されたページ
http://www.takamatsu-airport.com/timetable/tokyo.php
http://www.takamatsu-airport.com/timetable/narita.php
http://www.takamatsu-airport.com/timetable/narita-next.php
http://www.takamatsu-airport.com/timetable/naha.php
http://www.takamatsu-airport.com/timetable/seoul.php
http://www.takamatsu-airport.com/timetable/seoul-next.php
http://www.takamatsu-airport.com/timetable/shanghai.php
http://www.takamatsu-airport.com/timetable/shanghai-next.php
http://www.takamatsu-airport.com/timetable/taipei.php

の各 URL で、拡張子を信じれば PHP で記述されていたものでしょう。同空港には本年7月6日に就航したばかりの香港線もありその時刻表も掲載されていましたが、その URL
http://www.takamatsu-airport.com/timetable/hongkong.php
http://www.takamatsu-airport.com/timetable/hongkong-next.php
については改ざんが行われていなかったことから、被害に遭った時期は本年7月より前であろうと想像できます。
これらのページについては Google/Yahoo! Japan/Bing のキャッシュがすでに削除されています。この対応の早さも素晴らしいと思います。

一方、高松空港ウェブサイトには県のウェブサイトから
<meta content="0;url=http://www.takamatsu-airport.com/timetable/tokyo.php">
という形式でリダイレクト(バナー広告?)が行われており、これについては Google や Yahoo! Japan が検索結果の一部をリダイレクト先の高松空港ウェブサイトの内容として、つまり改ざんされた広告を含む状態で保存しており、これについてはブログ執筆時点でまだ削除されていません。
https://www.google.co.jp/search?q=site%3Awww.pref.kagawa.lg.jp+buy+online

https://search.yahoo.co.jp/search?ei=UTF-8&fr=sfp_as&aq=-1&oq=&p=site%3Awww.pref.kagawa.lg.jp+buy+online&meta=vc%3D

これらは県のウェブサイトが改ざんされていたことを示すものではなく、あくまでリダイレクト先の高松空港ウェブサイトの内容が残っているものと思われます。

県の発表によると8月19日の「16 時頃」「サーバーを管理する事業者から事務局に連絡」があり、「16 時 45 分頃」「ホームページ閉鎖」となっています。利用者利便も考えると閉鎖することまでが必要であったかどうかは疑問もありますが、対応としては素早いと言えそうです。

が。

この部分は疑問に思っています。

http://www.takamatsu-airport.com/ には高松空港振興期成会の名称と高松空港インフォメーションセンターの電話番号は記載されていましたが、高松空港振興期成会の連絡先はメールアドレスどころか住所・電話番号も記されていませんでした。一方、whois データベースによると takamatsu-airport.com は日本レジストリサービスをレジストラとする「高松空港振興期成会」名義のドメインで、高松空港振興期成会の「Adminコンタクト」と「ニフティ 株式会社」の「Techコンタクト」が掲載されています(図では住所・電話番号・アドレスは伏せています)。

サーバーを管理する事業者から8月19日16時に連絡があったというのは、事業者だけではなく高松空港振興期成会にも8月19日16時よりもかなり前の時点で通報があり、それを事業者が(FAX で!)県にあらためて通知したのが16時ということではないでしょうか。実際には8月12日に通知が行われており、適切にメールを読んでいればお盆休みを考慮しても16日には対応を開始できたのではないかと思います。


皆様 whois データベースの登録内容はメンテナンスしてください。また、whois に登録したアドレスは多数のゴミが届くとは思いますが重要な内容もあるので読んでください。