2021/03/29

DevilXploitと Web サイトの改ざん

2021 年 3 月 29 日 Josh Stuifbergen 著

スポーツや競争は、人間の本能の重要な部分を占めています。人は、いつでも新たな競争の方法を見つけてきます。その古典的な例として、悪意のあるハッカーが Web サイトを侵害し、それが成功した証拠をページに表示する Web サイトの改ざんがあります。ウォッチガードは最近、フィッシングのフラグを立てたドメインの報告を受けました。その epiphanygrowers[.]com というページにアクセスすると、攻撃者がページを改ざんした痕跡が表示されました。
最初ページは空白ですが、そこにこのようなポップアップウィンドウが表示されます。

上記の「OK」をクリックすると、別のポップアップウィンドウが表示されました。

余談ですが「Bang Jago」について検索をしたところ、インドネシアで人気の楽曲「Ampun Bang Jago」というミームにたどり着きました。このブログの読者の大半はご存知ないかもしれませんが、このビデオの中で歌を聞いたことがあるかもしれません。これはミャンマーのとある車道の前で、フィットネスインストラクターがトレーニングをしている映像です。後ろではクーデターが起きていました。

2 つ目のポップアップウィンドウで「OK」をクリックすると、このページにたどり着きました。

一見すると危険なページに見えますが、これは Web サイトの内容を改ざんしたに過ぎず、数ある侵害の中では非常に穏便なものです。マルウェアが隠されていたり、認証情報を盗み出そうとしたりすることが目的ではありません。Web サイトの改ざんは、それだけでは深刻な攻撃とは見なされません。むしろ、Web サイトの所有者に脆弱性があることを知らせるものであり、それ以上の被害はありません。「単なるハッカーの日常だ」と看過できるものではありませんが、Web サイトの所有者はむしろ幸運だったとも言えます。

このページには英語とインドネシア語が混在しています。写真には「I am HAPPY」という文字列、その下の行には「Hacked By DevilXploit」と書かれています。次の行は「Aku Mencintaimu, Tetapi kamu Mencintai Orang Lain :)」で、直訳すると「私はあなたを愛しているけど、あなたは他の誰かを愛している :)」となります。画像では切り取られている最後のテキストは、「Ganteng Doang… Ndak Bisa Ngehek」と書かれています。Google 翻訳によれば、「ハンサムなだけでは..面白くない」という意味のようです。

攻撃者 DevilXploit の痕跡はオンラインで見つけることができます。rogueailer[.]com には、現在もアクティブに侵害されているもう 1 つの Web サイトが掲載されており、同様のページが掲載されています。改ざんを追跡するサイトのいくつかに、DevilXploit に関するデータがあります。そこには、deface[.]id、zone-d[.]org、および zone-hack[.]org が含まれています。そのうちの Web サイトの 1 つでは、 Sacred Devil Xploit というユーザが記載されており、DevilXploit の別称の可能性があります。

Web サイトの改ざんをスポーツと見なすグループにとっては、チームも重要です。DevilXploit は 2 つのチームと関連しています。それは、「Indonesia Defacer Team」と「Kalimantan6eatar Xploit Sec team」です。凡例 (下画像) には、ポイントを獲得するためのさまざまな手段が示されています。一番簡単なのは、上記の例のようにホームページだけを改ざんすることです。他にも、ドメイン内の他ページの改ざん、政府の Web サイトなど重要なドメインの改ざんでもポイントを獲得できます。

epiphanygrowers[.]com と rogueailer[.]com のハッキングについてはまだ点が入っていません。このリストに掲載されている最新のハッキングの日付が 2021 年 1 月 9 日であることからも、これらの Web サイトは単なるアーカイブで、最新のデータは掲載していないのでしょう。

この改ざん競争は予想以上に熾烈なようです。最初に DevilXploit による epiphanygrowers[.]com の改ざんを発見したのは 2021 年 3 月 13 日で、2021 年 3 月 17 日に記事執筆のためにこのドメインを再度確認したところ、新たな攻撃者 XNight によって改ざんされていることがわかりました。
壮絶なドラマが裏で進行しているのかもしれません。
写真は https://foreverlovewins[.]com/2017/06/22/week-5-i-dont-want-the-drama/ より引用。

下の画像が、XNight による改ざんページです。

XNight は誇り高きチームプレーヤーで、改ざんしたページにチームメイトとチーム名「The Black Paper」を記載しています。DevilXploit と同様、攻撃者 XNight とそのチームは、改ざんコンテストの Web サイト上で見つけることができます。epiphanygrowers[.]com の改ざんによる XNight のリスト掲載はまだです。

Web サイトの改ざん目的はスポーツだけではありません。ハクティビスト (ハッキングによって政治的意思表示をする人) は、反対意見を投稿して組織に抗議するために Web サイトを改ざんすることもあります。狙われる Web サイト自体は標的として価値が低い場合もありますが、セキュリティの信頼性やその印象といった点で、他の Web サイトに深刻な損害を与える可能性があります。そのため、Web サイトの改ざんを防ぐための予防策を講じることが重要です。ソフトウェアを常に最新の状態に保つこと、不要なプラグインを削除し、利用中のプラグインは更新すること、Web サイト編集のための特権アクセスは制限すること、脆弱性テストを実施して攻撃者よりも先に欠陥を発見すること、などが有効です。

スパムメール対策機能強化のためのエンジン移行について(2021/4/1)