不正アクセスによるサイト障害のお知らせ

　　　　　　　　　弊社WEBサイト改竄に関するお知らせ

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　2008年5月21日改
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　2008年5月12日改
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　2008年5月8日
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　株式会社 富士山マガジンサービス

平素よりFujisan.co.jpをご利用いただき、誠にありがとうございます。
2008年5月8日8時ごろ発生した、当社WEBサイト(http://www.fujisan.co.jp)において一部ページが
改竄され、11時20分以降一定期間WEBサイトを閉鎖いたしました件につきまして、弊社WEBサイトを
ご利用いただいているお客様また、関係各位に大変ご迷惑をおかけしましたことを
改めてお詫び申し上げます。

2008年5月８日の発表、５月１２日の報告に引き続き、追加調査いたしました結果と
その関連する情報に関し、最新の情報を以下にお知らせいたします。

【対象期間】（WEBサイトが改竄されていたと想定される期間）
　2008年5月8日（木）8時0分頃～11時20分頃

上記期間に下記の対象となるウェブサイトにアクセスした場合、改竄されたスクリプトが
実行され、悪意のあるサイトに誘導され、ウィルスに感染する恐れがありました。 

【サイト停止期間】
ユーザー向けサイト
2008年5月8日（木）11時20分頃～12時15分頃
出版社管理サイト
2008年5月8日（木）11時20分頃～15時30分頃

【改竄されたWEBサイトの範囲】
www.fujisan.co.jp
askul.fujisan.co.jp
shop.fujisan.co.jp
前回お伝えした上記WEBサイトの中で、商品データベースで一部売り（定期購読ではなく単品）
の雑誌号名が表示される場所が今回の改竄の対象となっていました。
これは各WEBサイト共通で、URLとしては以下の範囲となります。

商品ページ
    *.fujisan.co.jp/product/XXX/
一部売り商品ページ
    *.fujisan.co.jp/product/XXX/b/YYY

【ウイルスタイプ】
トロイの木馬型

【現在確認できておりますウィルス】 
TROJ_ARTIEF.H
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_ARTIEF.H
（トレンドマイクロ/ウイルスデータベース）

＊検出されたファイル
ri.exe

【攻撃された箇所】
攻撃が成立し、改竄が行われる原因となったページは下記です。
/vendors/EditBackNumber.asp

【調査した機関】
弊社システム部

【実施した調査内容】
①改竄発見後、不正アクセスのパターンから、保存してある以下の４種のログより推測される
キーワードの含まれる行の抽出、検証を行いました。
    データベースアクセスログ
    ウェブサイトアクセスログ
    ウェブアプリ実行ログ
　　ウェブサーバーアクセスログ

②改竄発生時間前後の全ログについては目視での確認を行いました。
③その際ログを注文と照らし合わせ整合性を確認しました。
④影響範囲のモジュールに付いて、ソースコードの監査を目視で行いました。
⑤ウィルススキャナーによる、ウィルスチェックを行いました。

【調査結果】
上記調査の結果、ログイン無しで参照可能な現状使用されていない旧ページが存在し、
そのページにおいて「SQL インジェクション」対策の実装が不十分なコードが存在していたため、
商品データベースに関連するページへの「SQLインジェクション」により
、該当するページが改竄され、他のサイトに設置されたJavascriptを実行するクロスサイト
スクリプティングのコードが埋め込まれたことが判明しました。
このJavascript がInternet Explore で実行されるとウィルスに感染する恐れのある
ActiveXコンポーネントから、ファイルをダウンロードして保存しようとします。
IE の標準的なセキュリティ設定の場合にはこのファイルのダウンロードを行う前に
確認を求められます。
またウィルス自体は比較的過去のものであったため、アンチウィルスソフトウェアをお使いの場合
、頻繁にアップデートを行っていなくても、保存前に検知された可能性が高いです。


＜個人情報の漏洩について＞
攻撃を受けたすべてのページにおいて、接続しているデータベースは商品に限定されたものに
なっており、個人情報を含む他のデータベースにはアクセスできないように設計されています。
このため、当該ページで SQLインジェクションを行っても個人情報についてはアクセス不可能で
あるため、個人情報の漏洩は発生していません。
また、上記ログ調査の結果でも個人情報のデータベースに対して不正なアクセスは
認められておりません。

【弊社が行った対策】
該当するWEBページにおいて、「SQLインジェクション」によって改竄されることが無い様に
「SQLインジェクション」対策用のライブラリを既存のデータ確認ライブラリに追加した上で、
サイトの内容を改竄されたと思われる8日8時0分以前の状態に戻して、
2008年5月8日12時15分よりユーザー向けサイトを再開しました。
出版社管理サイトに関しましては、攻撃された箇所が商品情報に関するページであったことから、
万全を期す目的と、攻撃者の追跡を行うことも目的とし、8日15時30分頃までログイン
できない状態としておりました。
更に、ウィルススキャナーによる確認を行い、WEBサーバーがウィルスに感染していない
ことを確認しました。

【今後計画している対策】
短期的には、システム保守の人員を増員し、以下システムの見直しを行い、
セキュリティレベルを高めます。
・全アプリケーションコードに対し、SQL Injection やその他のセキュリティ対策が十分であるか
　どうかのレビューを再度行い、コードレベルの対策を万全にします。
・データベースに対して書き込みアクセスのあるコードを局所化し、
　合わせてログの実装見直しを行います。
システムの外部からの攻撃に対する耐性を強化します。

中期的には、システムのリプレイスを含めて対策を検討してまいります。
・システムを現在のものから、よりセキュリティリスクの少ない言語や攻撃に
　強いアーキテクチャに変更を行います。
・必要に応じ、ネットワーク構成の変更やファイヤーウォールの強化、IDS（進入検知システム）の
　設置なども含めて対策を行います。

【弊社が行った開示】
○サイト上
2008年5月8日（木）　 14時0分頃　　下記＜告知１＞へのリンクを弊社TOPページに掲載
2008年5月12日（月）　12時0分頃　　下記＜告知２＞へのリンクを弊社TOPページに掲載



＜告知１＞
【重要】不正アクセスによる当サイトの障害に関して
　　　　　　　　　　　　　　　　　　　　　2008年5月8日
　　　　　　　　　　　　　　　　　　　　　富士山マガジンサービス株式会社

本日（5月8日）、11時20分ころから12時15分ころまで、弊社サイト(Fujisan.co.jp)を
停止させて頂きました。
ご利用のお客様に対しては、大変ご迷惑をおかけしましたことを、お詫び申し上げます。

弊社サイトの一部のページにアクセスしたときに、不正な悪意のある可能性のある
ファイルをダウンロードしようとする状態になっていたため、一時的にサイトを
停止することによってリスクを回避させて頂きました。

サイト停止前に弊社サイトにアクセスされたお客様に関しても、ブラウザに通常の
セキュリティ設定をしている場合、またアンチウィルスソフトウェアをインストール
している場合には、発せられ警告に従っている限り、ファイルがダウンロードされる
可能性はありません。

このファイルがダウンロードされる原因は究明され、現在、弊社サイトにアクセス
しても、このリスクはありませんので安心してご利用ください。

この不正なファイルをダウンロードしてしまった場合の影響、駆除方法に関しては、
現在調査中です。
調査結果が分かり次第、本サイトにて告知させていただきます。



＜告知２＞
弊社WEBサイト改竄に関するお知らせ
　　　　　　　　　　　　　　　　　　　　　　　2008年5月12日
　　　　　　　　　　　　　　　　　　　　　　　株式会社 富士山マガジンサービス

平素よりFujisan.co.jpをご利用いただき、誠にありがとうございます。
2008年5月8日8時ごろ発生した、当社WEBサイト(http://www.fujisan.co.jp)において
一部ページが改竄され、11時20分以降一定期間WEBサイトを閉鎖いたしました件に
つきまして、弊社WEBサイトをご利用いただいているお客様また、関係各位に大変
ご迷惑をおかけしましたことを改めてお詫び申し上げます。

2008年5月8日の発表に引き続き、調査いたしました結果とその関連する情報に関し、
以下にお知らせいたします。

【対象期間】（WEBサイトが改竄されていたと想定される期間）
　2008年5月8日（木）8時0分頃～11時20分頃

上記期間に下記の対象となるウェブサイトにアクセスした場合、改竄されたスクリプトが
実行され、悪意のあるサイウィルスされ、ウイルスに感染する恐れがありました。 

【対象となるWEBサイト】 
www.fujisan.co.jp
askul.fujisan.co.jp
shop.fujisan.co.jp

【ウイルスタイプ】
トロイの木馬型

【現在確認できておりますウイルス】 
TROJ_ARTIEF.H
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_ARTIEF.H
（トレンドマイクロ/ウイルスデータベース）

＊検出されたファイル
ri.exe

対象期間内に弊社WEBサイトにアクセスした可能性のあるすべてのお客様は、ウィルス対策ソフトを最新
情報にアップデートしていただき、ウイルススキャンを実施後、万が一ウィルスに感染していた場合は、
駆除していただきますようお願いいたします。
また、ウイルスソフトをお持ちでない方は、以下のウイルスソフト（無償）をご活用くださいますようお
願い申し上げます。
トレンドマイクロ - オンラインスキャン
http://www.trendflexsecurity.jp/security_solutions/housecall_free_scan.php

【駆除方法】
下記のページをご参照ください。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FARTIEF%2EH&VSect=Sn
（トレンドマイクロ/ウイルスデータベース）

【弊社における対応】
今回の改竄は「SQLインジェクション」という手法によって、弊社WEBサイトの脆弱性が
悪用されたものであると解析しております。
すでに、該当するWEBページにおける脆弱性対策を実施し、2008年5月8日12時15分より
サービスを再開し、引き続き対策の強化を実施しております。
今後新たな情報がわかりましたら新ためてご報告させていただきます。
なお、現時点におきまして、このたびの改竄によって弊社WEBサイトに登録されている
「個人情報」の漏洩等は確認されておりません。

お問い合わせ先：

／~＼Fujisan.co.jp　カスタマーサポート
fmssupport@fujisan.co.jp