あるホームページに仮想通貨マイニングスクリプトが仕掛けられた模様

ZTEというフリースマホで有名な中国の会社がありまして。

なんかZTEの公式ページ？がMiningしてるんだけどどういうこと？？ https://t.co/k6kbxF7Fq7pic.twitter.com/aQ7ZRDndZq

— ゆたか (@tmyt) 2018年3月30日

え？、それってすごい？

というわけで、上記ページにご訪問して参りました。皆様は対策がなされるまでご遠慮いただいた方が良いと思います。

※無影響確認後、追記します。

※21:15 修正されたようです。

 

で、アクセスした後のtop画面です。

 

確かに・・Google ChromeのCPU使用率がムチャクチャなことになっています。初めてこういうページに遭遇したので、個人的に貴重な体験とはなりました（真似しないでくださいね）。

 

深掘りする

さて、もうちょっと深掘りしてみたいのですが、ZTE Japanの公式ホームページは、

http://www.zte.co.jp

です。

 

しかし今回のURLは、

ｈttp://www.ztemobile.jp

ドメインが違います。

 

zte.co.jpをWHOISで調べると、

Domain Information: [ドメイン情報]
a. [ドメイン名] ZTE.CO.JP
e. [そしきめい] ぜっとてぃーいーじゃぱんかぶしきがいしゃ
f. [組織名] ZTEジャパン株式会社
g. [Organization] ZTE Japan K.K.
k. [組織種別] 株式会社
l. [Organization Type] CO.,LTD.
m. [登録担当者] DS3439JP
n. [技術連絡担当者] ST10658JP
p. [ネームサーバ] ns1.jp-domains.jp
p. [ネームサーバ] ns2.jp-domains.jp
p. [ネームサーバ] ns3.jp-domains.jp
p. [ネームサーバ] ns4.jp-domains.jp
s. [署名鍵]
[状態] Connected (2018/09/30)
[登録年月日] 2010/09/09
[接続年月日] 2010/09/10
[最終更新] 2017/10/02 21:34:29 (JST)

です。

 

ztemobile.jpを、whoisで調べると、

Domain Information: [ドメイン情報]
[Domain Name] ZTEMOBILE.JP

[登録者名] ocawari
[Registrant] ocawari

[Name Server] ns-772.awsdns-32.net
[Name Server] ns-1091.awsdns-08.org
[Name Server] ns-1854.awsdns-39.co.uk
[Name Server] ns-68.awsdns-08.com
[Signing Key]

[登録年月日] 2016/04/05
[有効期限] 2018/04/30
[状態] Active
[最終更新] 2017/05/01 01:05:10 (JST)

Contact Information: [公開連絡窓口]
[名前] Whois情報公開代行サービス by お名前.com

（以下省略）

となっていて、違う管理になっていることがわかります。DNSからみて、AWS上にありそうですが・・、もっと気になったのが・・、ocawari？おかわり？？？、登録者名です。

 

で、もっと深掘りしますと、こういうページがFacebookにありまして・・。

www.facebook.com

こういう投稿がありますので・・・。おそらくこの会社もしくは個人事業主が関わっていると思います。フィッシングサイトではないと思います。今、ZTEの中の人は必死にこのocawari.tokyoの中の人とやり取りをしているのではないかと推察されます・・。

ただ、http://ocawari.tokyoに行ってもBasic認証がかかっているので、今もまだ営業しているかは不明です。

 

あと、ztemobile.jpですが、IPアドレスを逆引きすると、

Non-authoritative answer:
82.4.219.52.in-addr.arpa name = s3-website-ap-northeast-1.amazonaws.com.

 となるので、普通にAWS上のサイトです。

 

このおそらく改ざんをうけた、www.ztemobile.jpがどのような経緯で改ざんされたのかはわかりません。ただ改ざん内容は、

ZTEのサイトに変なものが埋め込まれてる話。やられてしまったのかなjqueryのURLがおかしいからファイル見たらこうなってる。左が怪しいもの、右はjquery公式（一応冒頭のみにしておいた

参考:https://t.co/ICqnHk4WDJ pic.twitter.com/Pk7vjrZs8N

— Hiroshi Sano:🦑2 (@hrs_sano645) 2018年3月30日

このあたりがベストアンサーかと思います。

 

確かに、

ZTEの話、仮にマイニングするコードをZTE自ら入れてるならまだましなんだけど、意図しない方法（内部, アウトソース, 外部からのハッキング）なら、マイニング以外にも色々され放題だし、雰囲気からして意図してなさそうだから近寄らないに限りますね。。

— Hiroshi Sano:🦑2 (@hrs_sano645) 2018年3月30日

 だと思います。とりあえず私もこれ以上はこのサイトに近づく予定はありません。

 

とりあえず一旦、影響が大きいのでサイトを閉じるべきかと思います。

 

追記

ニュースに出ましたね。

www.itmedia.co.jp

ただ、21:15にアクセスしたら、現象がなくなっていました。