△△ウイルスは,最近被害を拡大していることで有名だった。悪意ある第三者が,まずWebサイトの更新をする担当者のパソコンにウイルスを仕掛け,更新用のFTPアカウントを盗み出す。次に盗んだアカウントを使ってWebサイトを改ざんする。不正なJavaScript(ジャバスクリプト)を埋め込んでしまうのだ。エンドユーザーがWebページを閲覧すると,Webブラウザで不正なJavaScriptが実行され,ウイルスの本体がダウンロードされてしまう(図2)。
Jさん:ということは,まずWebサイトのコンテンツ管理をしているパソコンがウイルスにやられてるってことですね?
Tさん:そういうことになるな。すぐ動いた方がいいぞ。
Jさん:ありがとうございます!早速,その方向で調べてみます。
Jさんは,お礼の言葉もそこそこに駆け出した。Tさんから「君たちも行った方がいいぞ」と言われ,A君とBさんとKさんも頭を下げてJさんの後を追った。道すがら,Bさんは携帯電話でS課長に状況を報告した。
情シスに着くと,先に到着していたJさんがアクセス・ログから問題のWebサーバーのコンテンツを管理しているパソコンがどれかを調べていた。ほどなく,販売事業部のオンライン販売課にあるパソコンだと判明した。JさんはKさんに,このパソコンをすぐ切り離してくるように命じた。
現場に走っていったKさんは,オンライン販売課にある調査対象のパソコンがウイルスに感染していることを確認した。使用しているコンテンツ管理用アプリケーションのいくつかが,最新バージョンに更新されていなかったことが原因だった。
さらにJさんは,取り急ぎWebサーバーのFTPアカウントのパスワードを変更した。そしてIT企画室のBさんに,サーバーをネットワークから切り離したいがどうしたらいいかと相談した。販売事業部で起こったセキュリティ・インシデントの対応策は,IT企画室が決めていたからである。
Bさんはその場でS課長に携帯電話で連絡し,指示を仰いだ。S課長は一刻を争う事態であると判断して,事業部長に報告するのと並行して,サーバーを切り離して復旧作業に入るようにと指示を出した。
JさんがWebサーバーをネットワークから切り離して詳しく調べてみると,同じ日の未明にオンライン販売課がコンテンツ管理に使用しているアカウントでFTPアクセスがあり,Webサイトのコンテンツが改ざんされていたことがわかった。FTPアクセスの送信元は,BP商事と無関係の海外のIPアドレスだった。そのため,このインシデントがFTPアカウントの盗難によるものであることはほぼ間違いなかった。