「国立感染症研究所カラッキング事件」の版間の差分
>植物製造器 (魚拓) |
>Ostrich (正規表現を使用した大量編集 スバケーリンク恒心) |
||
4行目: | 4行目: | ||
== 発端 == | == 発端 == | ||
2020年3月2日午前0時42分、スバケーの雑談スレに突然、以下の書き込みがなされた。 | 2020年3月2日午前0時42分、スバケーの雑談スレに突然、以下の書き込みがなされた。 | ||
{{archive|https:// | {{archive|https://ensaimada.xyz/test/read.cgi/kodak/1582968729/117|https://archive.vn/ZufmQ|【唐澤貴洋殺す】雑談★32【コロナウイルス】 >>117}} | ||
117 :{{color|green|eagle1.nih.go.jp}}:2020/03/02(月) 00:42:03.39 ID:2viOE+Sd0 | 117 :{{color|green|eagle1.nih.go.jp}}:2020/03/02(月) 00:42:03.39 ID:2viOE+Sd0 | ||
11行目: | 11行目: | ||
書き込み欄は空白だったが、fusianasanを利用して[[セルフ開示]]されたリモートホストの{{wpl|WHOIS}}情報を調べると、同時期に猛威を振るっていた新型コロナウイルス対策の最前線にあたっている{{wpl|国立感染症研究所}}のものであると判明した。 | 書き込み欄は空白だったが、fusianasanを利用して[[セルフ開示]]されたリモートホストの{{wpl|WHOIS}}情報を調べると、同時期に猛威を振るっていた新型コロナウイルス対策の最前線にあたっている{{wpl|国立感染症研究所}}のものであると判明した。 | ||
その後、教徒の求めに応じて管理人が[[開示]]したIPアドレスも本物で、感染研のサーバーからの書き込みであることが確定した。 | その後、教徒の求めに応じて管理人が[[開示]]したIPアドレスも本物で、感染研のサーバーからの書き込みであることが確定した。 | ||
{{Archive|https:// | {{Archive|https://ensaimada.xyz/test/read.cgi/kodak/1569154065/547|https://archive.vn/j6EKe|管理スレ★2 >>547}} | ||
547 :'''{{color|purple|こだっく。 ★}}''':2020/03/02(月) 20:20:23.61 ID:??? | 547 :'''{{color|purple|こだっく。 ★}}''':2020/03/02(月) 20:20:23.61 ID:??? | ||
>>543 | >>543 | ||
21行目: | 21行目: | ||
== 確定 == | == 確定 == | ||
翌3日午後、教徒が雑談スレに感染研に問い合わせた結果を開示。感染研のサーバーの脆弱性を突いた不正アクセスによるものであったことが確定した。 | 翌3日午後、教徒が雑談スレに感染研に問い合わせた結果を開示。感染研のサーバーの脆弱性を突いた不正アクセスによるものであったことが確定した。 | ||
{{archive|https:// | {{archive|https://ensaimada.xyz/test/read.cgi/kodak/1582968729/337|https://archive.vn/UUiCi|【唐澤貴洋殺す】雑談★32【コロナウイルス】 >>337}} | ||
334 :{{2n|一般ノルウェー市民}}:2020/03/03(火) 16:03:26.58 ID:Ytr7vR2S0 | 334 :{{2n|一般ノルウェー市民}}:2020/03/03(火) 16:03:26.58 ID:Ytr7vR2S0 | ||
早漏かもしれんが例の書き込みについて感染研に確認を取って回答が得られたんやが貼ってもええかな? | 早漏かもしれんが例の書き込みについて感染研に確認を取って回答が得られたんやが貼ってもええかな? |
2021年10月3日 (日) 14:52時点における版
国立感染症研究所カラッキング事件(こくりつかんせんしょうけんきゅうじょからっきんぐじけん)とは、2020年3月2日未明に同研究所のサーバーが何者かに不正アクセスされ、カラケーに書き込みがなされた事件である。新型コロナウイルスの感染拡大が続く中での不祥事ということもあってか、複数の報道機関が取り上げた他、「スヴァールバル諸島掲示板」の名称が報道されるなどの事態に発展した。
発端
2020年3月2日午前0時42分、スバケーの雑談スレに突然、以下の書き込みがなされた。
【唐澤貴洋殺す】雑談★32【コロナウイルス】 >>117(魚拓) 117 :eagle1.nih.go.jp:2020/03/02(月) 00:42:03.39 ID:2viOE+Sd0
書き込み欄は空白だったが、fusianasanを利用してセルフ開示されたリモートホストのWHOIS情報を調べると、同時期に猛威を振るっていた新型コロナウイルス対策の最前線にあたっている国立感染症研究所のものであると判明した。 その後、教徒の求めに応じて管理人が開示したIPアドレスも本物で、感染研のサーバーからの書き込みであることが確定した。
管理スレ★2 >>547(魚拓) 547 :こだっく。 ★:2020/03/02(月) 20:20:23.61 ID:??? >>543 HOST:eagle1.nih.go.jp IP:202.241.78.236 UA:Mozilla/5.0 (Windows NT 10.0; rv:68.0) Gecko/20100101 Firefox/68.0
教徒は当初から悪芋によるカラッキングの可能性を疑っていたが、この時点では感染研の内部犯の可能性もあった。
確定
翌3日午後、教徒が雑談スレに感染研に問い合わせた結果を開示。感染研のサーバーの脆弱性を突いた不正アクセスによるものであったことが確定した。
【唐澤貴洋殺す】雑談★32【コロナウイルス】 >>337(魚拓) 334 :一般ノルウェー市民:2020/03/03(火) 16:03:26.58 ID:Ytr7vR2S0 早漏かもしれんが例の書き込みについて感染研に確認を取って回答が得られたんやが貼ってもええかな? 337 :一般ノルウェー市民:2020/03/03(火) 16:20:32.51 ID:Ytr7vR2S0 とりあえず取り急ぎ https://pastebin.com/mrbupLyR ※魚拓 https://anonfiles.com/38n7m7e5o7/2020-03-03_00-58-46_png ※魚拓
回答内容
長谷川亮太様 国立感染症研究所の情報システムセキュリティ管理者/ネットワーク管理者をやっております、●●と申します。 この度は、当方のシステムからの不正なアクセスをご報告いただき、誠にありがとうございます。 ご指摘のように、eagle1.nih.go.jpは、当方の所内からのすべてのWebアクセスに使われているプロキシサーバの一つです。当該サーバの利用履歴を確認したところ、02/Mar/2020:00:35:29 より数回に渡り、そちらのFQDNへPOST通信が行われていることが確認されました。アクセス元は、一般の端末ではなく所内向けに使われ、一部外部の研究者にも開放されているWebサーバでした。 このサーバのログイン履歴を観察しましたが、当該時刻に直接利用しているユーザはおりませんでした。Webサーバのアクセスログには、当該時間近くに特定のCGIへの外部サイトからの通信が記録されており、この通信によって未発見の脆弱性を使ってそちらのサイトへのPOSTが実現されていたものと想像します。 現在、当該CGIを利用停止にするとともに、作成者に連絡を取って修正後に公開または取り下げのどちらかを選ばせております。また、ご迷惑をおかけしたサイト https://sayedandsayed.com/ については、当方の業務とは関係ないと思われるため、内部からのアクセスを前面的にブロックするようプロキシサーバに設定致しました。 当研究所で実施している情報セキュリティ対策実施手順においては、業務に関係ないネットワーク利用は禁止されております。また、SNS等外部サイトへの書き込み行為については、厚労省全体で業務単位ごとの申請・許可制となっており、このような掲示板への書き込みは現在許可されておりません。今後も、書き込みが続くようであれば、私のほうにまたご連絡をいただけると幸いです。 この度は、ご迷惑をおかけしました。今後共、よろしくお願いします。
報道
教徒達は外部に拡散するなど布教面で活用を模索していたが、ことがことなだけに扱いを決めかねていた。ところが発生から2日後の3月4日夜、時事通信が「感染研のサーバーが不正アクセスされ、インターネット掲示板に書き込みが行われた」と報道した。
感染研サーバーに不正アクセス ネット掲示板に書き込み 時事ドットコム(魚拓) 国立感染症研究所のサーバーが外部から不正アクセスされ、これを経由してインターネット掲示板に書き込みが行われた可能性があることが4日、分かった。サーバーに侵入された形跡があり、感染研はセキュリティーを強化する措置を取った上で侵入された経緯などを調べている。 感染研のサーバーからとみられる書き込みがあったのは2日午前0時40分ごろで、「スヴァールバル諸島掲示板」という掲示板に投稿された。内容は空欄だったが、投稿者名の欄に「eagle1.nih.go.jp」と感染研のサーバーから書き込まれたことを示すドメイン(インターネット上の住所)が表示されていた。 感染研は外部からの情報提供で不正アクセスを把握。サーバーの履歴を確認したところ、書き込みがあった時間帯に掲示板への通信が行われた記録があったものの、職員らによる正規の接続記録はなかった。何者かが外部からサーバーの弱点を突いて侵入し、書き込みを行ったものとみられる。 感染研は2012年にも不正アクセスされサイトが改ざんされたほか、14年に職員のメールアカウントが不正利用され迷惑メールが送信された。
時事通信の他にもNHK[1]や毎日新聞[2](共同通信からの配信記事)も報道。ただし、いずれもスバケーの名称をはじめ具体的な内容への言及はなかった。
また、後日複数のテクノロジー系ニュースサイトでも取り上げられた。 報道に前後し、感染研も4日に公式サイトでカラッキング被害について公表した。
国立感染症研究所のドメインから一部の掲示板サイトへの不正な書き込みがあった事案について(魚拓) 令和2年3月2日(月)に発生した、国立感染症研究所(以下感染研)のドメインから一部の掲示板に発出された不正な書き込みについて、報告いたします。 1.不正アクセスの概要 発生日時:3月2日(月)0時42分頃 被害内容:2012年まで利用されていた感染研の旧公式サーバ ”www0.nih.go.jp” から、プロキシサーバ経由であるプライベートな掲示板に1件の書き込みがありました。 発見経緯:書掲示板の利用者から感染研公式窓口(info@nih.go.jp)に連絡がありました。その後ただちに、プロキシサーバを調べ、当該掲示板に対するwww0からのアクセスを確認しました。 改竄されたサイト:過去に設置したままであったアプリケーション直下のディレクトリに形跡を発見しました。プロキシサーバのログを解析し、当該掲示板へのアクセス履歴と、同時刻のwww0のwebサーバ利用履歴を照合した結果、上記のアプリケーションに通常存在しないプログラムが起動されている証跡を発見しました。 2.対応と対策 当該サーバの機能を閉鎖し、アプリケーションを削除しました ファイルの変更履歴を確認の上、過去一年間に変更されたものの内容を確認しました 内部の各サーバにおけるログを検証し、当該サーバからのアクセスが無いことを確認しました 早急に、侵入方法の検証、その他の脆弱性の検証を行ってまいります 外部業者に依頼して、Webアプリケーションの再検査を実施します この度は、本サイトの事案により、掲示板利用者等に多大なるご迷惑をおかけしたことをお詫びいたします。今後は監視体制の強化と研究者による情報公開等の際の情報セキュリティ対策に努めてまいります。 修正履歴:2020年3月4日 発生日時は3月2日の深夜でした。お詫びして修正いたします。
反応
スバケー雑談スレでは降って湧いた恒心に身が震えた他、時期が時期だけに感染研のセキュリティ体制を不安視する声も聞かれた。なんJ[3]に加え一般ニュースであるためニュー速(嫌儲)[4][5]やニュース速報+[6]などにもスレが立った他、注目の機関であったことからTwitterなどの一般人(非ワ)の間でも大きく拡散された。
また、上記の通り時事通信はスバケーの名称を実名報道した他、引用したスバケーのスクリーンショットの中では「悪芋」や「カラコロナウイルス」など報道する上で必要ないと思われる情報まで含まれており、社内に恒心教徒が潜んでいる説が唱えられた。
感染研については、教徒の問い合わせに丁寧に対応したセキュリティ管理者を評価する声が聞かれた他、不正アクセス被害の公表文の中で「掲示板利用者等に多大なるご迷惑をおかけしたことをお詫びいたします」となぜかカラケー民にまで謝っており困惑する声も聞かれた。
余談
エビケー時代にもカラッキングされ、松本智津夫に対する殺害予告が書き込まれたが当時はスルーされた。
【唐澤貴洋殺す】雑談★8【ニシキテッポウエビ】 >>77(魚拓) 77 :eagle1.nih.go.jp:2017/05/31(水) 16:40:30.72 ID:erx+Rw6g0 松本智津夫サリンで殺す
脚注
外部リンク
- 感染研サーバーに不正アクセス ネット掲示板に書き込み(時事通信)(魚拓) - Yahoo!ニュース
- 国立感染症研究所のサーバーを踏み台にネット掲示板で不正な書き込み行われる(魚拓) - INTERNET Watch
- 国立感染症研究所に不正アクセス、20年前のPerlプログラムが想定外の動作(魚拓) - 日経クロステック(xTECH)
- 感染研に不正アクセス 20年前のプログラムに脆弱性(魚拓) - 日本経済新聞
- 国立感染症研究所旧公式サーバーへの不正アクセスについてまとめてみた(魚拓) - piyolog