phpBBのダウンロードリンクが正体不明のハッカーによって書き換え。開発チームは直ちに修正。
phpBBフォーラムに掲載されているソフトウェアダウンロードリンクが、正体不明のハッカーによって書き換えられたようだ。
phpBB開発チームが、書き換えられた事実を公表した。
正体不明のハッカーが改ざんを行なったのは以下のダウンロード用リンクのようだ。
書き換えられたのは3時間
ハッカーによってURLリンクが書き換えられたのは、1月26日の12:02pm〜15:03pmの181分間だったようだ。
phpBB開発チームは、「ハッカーがどのようにリンクを書き換えたのか」という詳細は明らかにされていない。
だが開発チームは以下のようなコメントを公表したようだ。
ハッカーが侵入した入り口はサードパーティのサイトだ。phphBB.comとphpBBのソフトウェアに対して書き換え等の被害はない。
phphBBの開発チームは、書き換えられたリンクの発見次第、直ちに修復したようだ。
書き換えられていたリンクを辿ると、外部のサイトへアクセスし、悪意のコードを含んだphpBBファイルをダウンロードさせられた。
ダウンロードした悪意のあるコードを含んだphpBBのファイルを実行すると、JavaScriptコードを実行して遠隔のサーバーにアクセスするようだ。
phpBB開発チームの公表によれば、細工されたコードを含んだソフトウェアがアクセスする遠隔サーバーのドメインを取得したとされている。
つまり、現段階では万が一書き換えられたリンクを使って細工されたコード含むソフトウェアをインストールしてしまったユーザーがいたとしても、被害を食い止める事が出来るようだ。
ダウンロードしたユーザーは500人以下
書き換えられたリンクからダウンロードしたユーザーは500人以下だったようだ。
これは、phpBBの開発チームがたった3時間でダウンロードリンクの書き換えに気づいて修正したおかげと言えるだろう。
現在のリンクは安全
phpBBの開発チームによって既にリンクの修正が行われた為、現在ダウンロードページに掲載されているリンクは正式なものである。
画像
phpBB開発チームは、「もし悪意のあるコードを含んだファイルをダウンロードしてしまった場合は、インシデントレポートを出して欲しい」と注意喚起を行っているようだ。
過去にもあったダウンロードリンクの書き換え
今回のような、公式ウェブサイトのダウンロードリンクの書き換える手口は、「サプライチェーン攻撃」と呼ばれる手法である。
過去にもサプライチェーン攻撃は発生しており、以下のソフトウェア・ウェブサイトが改ざんの被害に遭った。(リンクは参考記事)
- Elmedia Player・・・ProtonRATの拡散に使用
- HandBrake・・・ProtanRATの拡散に使用
- BitTorrent・・・①KeRangerランサムウェアと②Keydnapマルウェアの拡散に使用