概要メモ
(1)概要
GMOインターネットグループのドメイン登録サービス「お名前.com」の一部サイト
(ダイナミックDNSサービスを提供するサイト)不正アクセスを受け、
その不正アクセスの実証コードが脆弱性情報を扱うメーリングリストへ投稿された。
(2)発生個所
・お名前.com/NEC Biglobe
Biglobe会員向けダイナミックDNSサービス
http://dom.onamae.com/biglobe-ddns/top.do
(参考)PoCで指定されていたURL
http://dom.onamae.com/biglobe-ddns/detail.do
(3)発生時期
(脆弱性情報が公開された時期)
・2013年8月9日に概要公開
・2013年9月23日に詳細公開
(4)被害状況
・サーバー内の情報が閲覧された可能性がある。
・顧客情報の漏えいは確認されていない。
またこの件に関連する問い合わせも同社へは来ていない。
(5)原因
Apache Struts2の脆弱性(S2-016/CVE-2013-2251)が突かれた可能性がある。
(6)発端
・Twitterを通じて脆弱性情報を扱うMLに実証コードが投稿されていることを
担当者が確認したことによる。
被害詳細
・緊急メンテナンスにより、サービスが7時間半停止した。(A)
・開発環境のデータベースへ接続するためのID、パスワードが漏えいした可能性がある。(C)
インシデントレスポンス情報
(1)事前準備
・平時からウェブ、SNSの情報をチェックする体制
(2)初期対応
・緊急メンテナンスを行い、サービスを停止。
・アクセスログを調査し、不正アクセスの存在を確認。
(3)連絡・広報
・不明
(4)復旧・再発防止
・Apache Struts2の脆弱性を修正。
・漏えいした可能性のあるID、パスワードを変更。
(5)恒久対応
・不明
インシデントタイムライン
2013年8月9日
WooYun.orgに「お名前.com」の脆弱性情報(詳細非公開)を公開。
http://en.wooyun.org/bugs/wooyun-2013-011” rel=”noopener noreferrer”>http://en.wooyun.org/bugs/wooyun-2013-011
2013年9月23日
WooYun.orgに脆弱性の対応を無視しているとして詳細を公開。
http://en.wooyun.org/bugs/wooyun-2013-011
2013年10月13日 21時51分
WooYunの関係者と思われる人物がFull Disclosure mailing listに
「お名前.com」の脆弱性情報が投稿。
http://seclists.org/fulldisclosure/2013/Oct/98
2013年10月15日 9時58分
「お名前.com」の脆弱性情報が投稿されたとTwitterでつぶやかれる。
2013年10月15日 10時頃
WebやSNSの情報チェック担当者がTwitterのつぶやきを確認。
2013年10月15日 11時~18時半
「お名前.com」が緊急メンテナンスに入り、脆弱性の修正等の対策を実施した模様。
2013年10月22日
「お名前.com」でインシデントが発生していたことが報じられた。
公式情報
緊急メンテナンス、及びこの件に関しての公式発表は特に行われていない模様。
報道情報
魚拓:http://megalodon.jp/2013-1022-2105-24/www.security-next.com/043925
Tatsuhiro Aoshima@s1nobi
「お名前.com」の脆弱性情報がメーリングリストへ投稿されたことをつぶやく内容。