あるホームページに仮想通貨マイニングスクリプトが仕掛けられた模様
ZTEというフリースマホで有名な中国の会社がありまして。
なんかZTEの公式ページ?がMiningしてるんだけどどういうこと?? https://t.co/k6kbxF7Fq7pic.twitter.com/aQ7ZRDndZq
— ゆたか (@tmyt) 2018年3月30日
え?、それってすごい?
というわけで、上記ページにご訪問して参りました。皆様は対策がなされるまでご遠慮いただいた方が良いと思います。
※無影響確認後、追記します。
※21:15 修正されたようです。
で、アクセスした後のtop画面です。
確かに・・Google ChromeのCPU使用率がムチャクチャなことになっています。初めてこういうページに遭遇したので、個人的に貴重な体験とはなりました(真似しないでくださいね)。
深掘りする
さて、もうちょっと深掘りしてみたいのですが、ZTE Japanの公式ホームページは、
です。
しかし今回のURLは、
http://www.ztemobile.jp
ドメインが違います。
zte.co.jpをWHOISで調べると、
Domain Information: [ドメイン情報]
a. [ドメイン名] ZTE.CO.JP
e. [そしきめい] ぜっとてぃーいーじゃぱんかぶしきがいしゃ
f. [組織名] ZTEジャパン株式会社
g. [Organization] ZTE Japan K.K.
k. [組織種別] 株式会社
l. [Organization Type] CO.,LTD.
m. [登録担当者] DS3439JP
n. [技術連絡担当者] ST10658JP
p. [ネームサーバ] ns1.jp-domains.jp
p. [ネームサーバ] ns2.jp-domains.jp
p. [ネームサーバ] ns3.jp-domains.jp
p. [ネームサーバ] ns4.jp-domains.jp
s. [署名鍵]
[状態] Connected (2018/09/30)
[登録年月日] 2010/09/09
[接続年月日] 2010/09/10
[最終更新] 2017/10/02 21:34:29 (JST)
です。
ztemobile.jpを、whoisで調べると、
Domain Information: [ドメイン情報]
[Domain Name] ZTEMOBILE.JP[登録者名] ocawari
[Registrant] ocawari[Name Server] ns-772.awsdns-32.net
[Name Server] ns-1091.awsdns-08.org
[Name Server] ns-1854.awsdns-39.co.uk
[Name Server] ns-68.awsdns-08.com
[Signing Key][登録年月日] 2016/04/05
[有効期限] 2018/04/30
[状態] Active
[最終更新] 2017/05/01 01:05:10 (JST)Contact Information: [公開連絡窓口]
[名前] Whois情報公開代行サービス by お名前.com(以下省略)
となっていて、違う管理になっていることがわかります。DNSからみて、AWS上にありそうですが・・、もっと気になったのが・・、ocawari?おかわり???、登録者名です。
で、もっと深掘りしますと、こういうページがFacebookにありまして・・。
こういう投稿がありますので・・・。おそらくこの会社もしくは個人事業主が関わっていると思います。フィッシングサイトではないと思います。今、ZTEの中の人は必死にこのocawari.tokyoの中の人とやり取りをしているのではないかと推察されます・・。
ただ、http://ocawari.tokyoに行ってもBasic認証がかかっているので、今もまだ営業しているかは不明です。
あと、ztemobile.jpですが、IPアドレスを逆引きすると、
Non-authoritative answer:
82.4.219.52.in-addr.arpa name = s3-website-ap-northeast-1.amazonaws.com.
となるので、普通にAWS上のサイトです。
このおそらく改ざんをうけた、www.ztemobile.jpがどのような経緯で改ざんされたのかはわかりません。ただ改ざん内容は、
ZTEのサイトに変なものが埋め込まれてる話。やられてしまったのかなjqueryのURLがおかしいからファイル見たらこうなってる。左が怪しいもの、右はjquery公式(一応冒頭のみにしておいた
— Hiroshi Sano:🦑2 (@hrs_sano645) 2018年3月30日
参考:https://t.co/ICqnHk4WDJ pic.twitter.com/Pk7vjrZs8N
このあたりがベストアンサーかと思います。
確かに、
ZTEの話、仮にマイニングするコードをZTE自ら入れてるならまだましなんだけど、意図しない方法(内部, アウトソース, 外部からのハッキング)なら、マイニング以外にも色々され放題だし、雰囲気からして意図してなさそうだから近寄らないに限りますね。。
— Hiroshi Sano:🦑2 (@hrs_sano645) 2018年3月30日
だと思います。とりあえず私もこれ以上はこのサイトに近づく予定はありません。
とりあえず一旦、影響が大きいのでサイトを閉じるべきかと思います。
追記
ニュースに出ましたね。
ただ、21:15にアクセスしたら、現象がなくなっていました。