平素よりサイボウズ製品・サービスをご愛顧賜り、誠にありがとうございます。

サイボウズ中国にて管理しておりますサイトの一部で、意図せずにマルウェアが配信されていたことが判明しました。第一報をすでにお知らせし、また然るべき対応もすべて完了しております。
弊社中国サイトにおける意図しないマルウェア配信について（2018/2/16 掲載）

本障害の詳細について、改めてご報告申し上げます。

■ 事象の概要

サイボウズ中国で管理している、中国ドメインの自社サイトの一部で、意図せずに通称「CoinMiner」と呼ばれるマルウェアが配信されていました。

CoinMiner は、ユーザーの許可なくシステム上のリソースを使って仮想通貨のコインを掘り起こさせるマルウェアです。感染した端末の資源を攻撃者が利用するものですが、端末内のデータを抜き取るような性質はありません。

■ これまでの経緯と対処

• 2017/11/17
  中国ドメインの自社サイト「15yun.cn」の運用委託先が運用するサーバーがサイバー攻撃を受け、サイトが改ざん
• 2018/2/5
  サイボウズ上海の端末でCoinMinerが検知され、同日中に該当端末のネットワークからの隔離を完了
• 2018/2/7
  サイボウズベトナムの端末でCoinMinerが検知され、同日中に該当端末のネットワークからの隔離を完了
• 2018/2/8
  2/5のマルウェアと2/7のマルウェアの由来が同一であることが確認できたため、ネットワークログの分析を開始
• 2018/2/9
  自社サイト「15yun.cn」でマルウェアが配布されていることを確認、サイトからマルウェアをすべて削除
• 2018/2/13
  ネットワーク環境から「15yun.cn」のドメインを消去
• 2018/3/6
  運用委託先より、攻撃元は中国国内であり、サイバー攻撃を受けた要因への対処・対策は完了しているとの報告
• 2018/3/9
  「15yun.cn」の管理をサイボウズに移管

なお、現時点におきまして、本件によって被害を受けたとの報告はございません。

■ お客様にお願いしたいこと

本件は中国国内のサイボウズサイトで発生した事象であり、「15yun.cn」にアクセスしない限り、お客様への影響はございません。「cybozu.co.jp」や「cybozu.com」などの日本国内のサイボウズサイト経由で該当サイトにアクセスできるリンクはなく、日本国内のサイボウズサイトへの影響は一切ありませんので、ご安心ください。

なお、今回見つかったマルウェアは、以下の3つを削除することでクライアント環境からの削除が可能です。

• Webブラウザのキャッシュ
• Webブラウザのアクセス履歴
• クライアントマシンのローカルストレージ参考）

【参考】
今回見つかったマルウェアは「Coinminer」の亜種であり「ppoi.org」で配布されていることを確認しています。検体はVirusTotalのページにて確認いただけます。

■ 再発防止策

以下を実施いたしました。

• 外部委託サービスを含む、サイボウズのすべてのWebサイトを検査し、改ざんされていないことを確認
• Webサイトの改ざんを検知するしくみを導入
• 外部業者に運用を委託する際のルールを策定
• 事故対応チームの人員強化

この度は、お客様、パートナー様を始めとする関係者の皆様に、ご迷惑とご心配をおかけし大変申し訳ございませんでした。心よりお詫び申し上げます。

【本件に関するお問い合わせ先】

サイボウズ インフォメーションセンター：contactus@cybozu.co.jp