phpBBのダウンロードリンクが正体不明のハッカーによって書き換え。開発チームは直ちに修正。

f:id:nanashi0x:20180129215136j:plain

phpBBフォーラムに掲載されているソフトウェアダウンロードリンクが、正体不明のハッカーによって書き換えられたようだ。

phpBB開発チームが、書き換えられた事実を公表した。

正体不明のハッカーが改ざんを行なったのは以下のダウンロード用リンクのようだ。

書き換えられたのは3時間

ハッカーによってURLリンクが書き換えられたのは、1月26日の12:02pm〜15:03pmの181分間だったようだ。

phpBB開発チームは、「ハッカーがどのようにリンクを書き換えたのか」という詳細は明らかにされていない。

だが開発チームは以下のようなコメントを公表したようだ。

ハッカーが侵入した入り口はサードパーティのサイトだ。phphBB.comとphpBBのソフトウェアに対して書き換え等の被害はない。

phphBBの開発チームは、書き換えられたリンクの発見次第、直ちに修復したようだ。

書き換えられていたリンクを辿ると、外部のサイトへアクセスし、悪意のコードを含んだphpBBファイルをダウンロードさせられた。

ダウンロードした悪意のあるコードを含んだphpBBのファイルを実行すると、JavaScriptコードを実行して遠隔のサーバーにアクセスするようだ。

phpBB開発チームの公表によれば、細工されたコードを含んだソフトウェアがアクセスする遠隔サーバーのドメインを取得したとされている。

つまり、現段階では万が一書き換えられたリンクを使って細工されたコード含むソフトウェアをインストールしてしまったユーザーがいたとしても、被害を食い止める事が出来るようだ。

ダウンロードしたユーザーは500人以下

書き換えられたリンクからダウンロードしたユーザーは500人以下だったようだ。

これは、phpBBの開発チームがたった3時間でダウンロードリンクの書き換えに気づいて修正したおかげと言えるだろう。

現在のリンクは安全

phpBBの開発チームによって既にリンクの修正が行われた為、現在ダウンロードページに掲載されているリンクは正式なものである。

画像

phpBB開発チームは、「もし悪意のあるコードを含んだファイルをダウンロードしてしまった場合は、インシデントレポートを出して欲しい」と注意喚起を行っているようだ。

過去にもあったダウンロードリンクの書き換え

今回のような、公式ウェブサイトのダウンロードリンクの書き換える手口は、「サプライチェーン攻撃」と呼ばれる手法である。

過去にもサプライチェーン攻撃は発生しており、以下のソフトウェア・ウェブサイトが改ざんの被害に遭った。(リンクは参考記事)