ゲームポット，「スカっとゴルフ パンヤ」公式サイト改竄での中間報告を発表

　ゲームポットは，7月5日に発生した「スカッとゴルフ パンヤ」公式サイト改竄事件についての中間報告を発表した。すでに公開されていた第三者機関に委託していた調査結果と併せ，今後の対応などが追加されている。

　まず，第三者機関からの報告を見てみよう。
　

　改ざんが行われたウェブサイトを閲覧した際に、悪意のあるサイトへ誘導後、OSの脆弱性を利用され、下記のファイルがダウンロードされる可能性があったことを確認しております。

　・aspimgr.exe（Backdoor.Win32.Agent.lad）
　プロキシサーバとして常駐し、悪意のあるユーザのリクエストを仲介します。
　http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2007-060812-4603-99&tabid=1

　・braviax.exe（Hoax.Win32.Renos.bcz）
　・winivstr.exe（FraudTool.Win32.XPSecurityCenter.c）
　・cru629.dat（Backdoor.Win32.Small.cyb）
　上記3つの不正プログラムはシステムに常駐し、アドウェア、悪意のあるソフトウェアのダウンロード/実行を試みます。
　http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-050916-1055-99&tabid=1

　最初に発表された時点よりマルウェアの数が2個増えている。構成を見ると，バックドアからダウンローダタイプのものを仕込まれて……というパターンだ。なお，リンク先の名称は，Symantecの独自呼称で，先に挙げられていた名前は同じもののカスペルスキー＆F-Secureで採用している呼称だ。各社別々の呼び方をするからとても調べにくい。

　第三者機関からの報告では，インド，ベネズエラの感染端末を経由した無差別攻撃のようだとしており，複数のソースから感染があった模様。確かに，普通，この手のゲームサイトを狙ったハッキングにしては動機が見えにくい面もあったのだが（無差別にしては感染ページが少なすぎる気はしないではないが），無差別攻撃に簡単に引っかかってしまうサーバー運用体制もいかがなものかと思わせるものがある。根本的なセキュリティ対策を望みたいところである。
　ゲームポットでは，今後の取り組みとして，セキュリティポリシーの見直しやファイヤーウォール/セグメントなどシステム構成の見直し，休日を含むWebサイトの監視強化を挙げている。今回被害に遭ったマルウェアも今年の初めあたりから出回っていたもので，対応するセキュリティホールの対策などを考えると，全般的に危機管理体制に問題があったように思われる。

　なお，今回のマルウェアが確実に検出できるオンラインサービスとして，F-Secureとカスペルスキーの2社のものが紹介されている。不安のある人は，ぜひスキャンしておこう。

当社ウェブページ改ざんに関する中間報告

この度、株式会社ゲームポット（本社：東京都港区、代表取締約社長：植田 修平、以下「当社」）が運営するオンラインゲーム『スカッとゴルフ パンヤ』のウェブサイトにおいて、一部のウェブページが改ざんされ、閲覧された方々が悪意のあるソフトウェアに感染する可能性がございましたので、中間報告いたします。

　　　　　　　　　　　
1.経緯について
7月5日（土）20:30　ウェブサイト障害発生
7月7日（月）10:30　ウェブサイトメンテナンス開始
7月7日（月）22:00　ウェブサイトメンテナンス終了
7月7日（月）22:04　ウェブサイトメンテナンス終了に関する告知
7月7日（月）22:36　復旧したウェブサイトにて「お知らせ」掲載を開始
7月8日（火）19:02　対象者に臨時メールマガジンを発送


2.被害状況
7月5日（土）20:30から7月7日（月）10:30の間、当社が運営するオンラインゲーム『スカッとゴルフ パンヤ』のウェブサイトにおいて一部のウェブページが改ざんされ、閲覧された方々が悪意のあるサイトへの誘導後、OSの脆弱性を利用され、下記のソフトウェアがダウンロードされる可能性がございました。


[改ざんをうけたウェブページ]
・http://www.pangya.jp/library_bbs_illust3_list.aspx
・http://www.pangya.jp/library_bbs_art1_list.aspx
・http://www.pangya.jp/pipin_game/pipin_game.aspx
※改ざんをうけたウェブページについて、現在は安全に閲覧いただけます。

[誘導されたサイトからダウンロードされる可能性のあったウイルス]
・aspimgr.exe（Backdoor.Win32.Agent.lad）
　プロキシサーバとして常駐し、悪意のあるユーザのリクエストを仲介します。
　
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2007-060812-4603-99&tabid=1

・braviax.exe（Hoax.Win32.Renos.bcz）
・winivstr.exe（FraudTool.Win32.XPSecurityCenter.c）
・cru629.dat（Backdoor.Win32.Small.cyb）

上記3つの不正プログラムはシステムに常駐し、アドウェア、悪意のあるソフトウェアのダウンロード/実行を試みます。
　
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-050916-1055-99&tabid=1

ウェブページの改ざんにつきましては、『スカッとゴルフ パンヤ』のウェブページに対して故意に行われたものではなく、インド・ベネズエラの感染端末を経由した無差別な攻撃との報告を情報セキュリティ専門機関より受けております。

なお、当社サービスにおけるお客様の個人情報に関しましては、情報へアクセスされた事実はございません。


3.対策について
改ざんされたウェブページより誘導されたサイトにて、ダウンロードされる可能性のあったウイルスを、検知することができるオンラインウイルススキャンをご案内しております。


・F-Secure オンラインスキャナ
　http://www.f-secure.co.jp/v-descs/disinfestation.html
・カスペルスキー オンラインウイルススキャン
　http://www.kaspersky.co.jp/virusscanner

4.今後の会社としての取り組みについて
当社では不正アクセスに対する取り組みについて行っておりました。
しかしながらこの度、そうした対策に漏れがあった事実を真摯にとらえ、お客様が安心して当社のサービスをご利用いただけるよう、セキュリティの強化について見直しを図ります。また、再発防止策としてウェブサイトを更に強化するため、情報セキュリティ機関とともに対策を行って参ります。

今後の強化及び見直し項目
・当社のセキュリティポリシー
・ファイアーウォール／セグメント等のシステム構成
・休日を含むウェブサイトの監視体制

事態の詳細に関しては、情報セキュリティ専門機関とともに調査を継続して行い、今後報告いたします。
お客様および関係各位の皆様には多大なご迷惑をおかけすることになりましたことを深くお詫び申し上げます。

5.本件に関するお問合せ先
本件につきましてご不明な点等がございましたら、以下のメールアドレスまでお問合せ頂きますようお願い申し上げます。
お問合せ先：株式会社ゲームポット　「当社ウェブページ改ざんについて」
電子メールアドレス： support_pangya@gamepot.co.jp