アウトドア事業や人材育成事業などを手掛けるEGGSは2011年春、不特定多数を狙ったセキュリティ攻撃によって、自社のWebサイトを改竄された。同社は小規模な会社なので、専任のシステム管理者を置かず、代表取締役の木村太郎氏がシステム管理も受け持っている。木村氏が攻撃に気付いたのは、5月にある顧客から受け取ったメールがきっかけだった。
―2011年5月24日
1週間後の出張に備え、オフィスで朝から準備を行った。夕方、親しくしている会員顧客から、「自分のPC端末からEGGSのサイトにアクセスすると、ウイルス対策ソフトが“危険なページなので表示できません”という警告を出してくる。一体どうなっている」とのメールが届いた。事情が飲み込めず、自分のPC端末から自社のWebサイトにアクセスしてみる。すると、自社のWebサイトが問題なく表示された。ウイルス対策ソフトからは警告が出ず、ますます分からなくなった。出張の準備があるので、この問題は、時間があるときに調べればいいと考えた。後日、問題を深刻に捉えなかったことを悔やむなど、考えもしなかった。
―2011年5月31日 午前
この日から11日間、自然体験ツアーでガイドを務めるために出張する。その準備で多忙を極めていたため、Webサイトの問題は頭の隅に追いやっていた。出かける間際に、Webサーバーを運営するホスティング事業者にメールで状況を伝え、Webサーバーの調査を依頼した(図1)。問題が起こっているとすればその原因がサーバーにあると考えたからだ。そのときは、まさか自分のPC端末がウイルスに感染しているなどとは思いもよらなかった。
移動途中に早くも、ホスティング事業者から次のようなメールが届いた。
ホスティング事業者からの回答
(1)サイトの一部のページに、海外のサイトに誘導する不審なスクリプトが埋め込まれていました。Gumblar攻撃を受けたと見られます。Gumblar攻撃では、PC端末がウイルスに感染し、サーバーを乗っ取られます。
(2)FTPのログを確認したところ、海外からのアクセスがありました。FTPアカウントの情報を盗まれたようなので、パスワードを変更してください。
(3)PC端末のウイルスチェックと、見つかったウイルスの除去が必要です。
(4)サーバーのコンテンツをクリーンなものと置き換える必要があります。
Gumblar攻撃が何かは分からないが、大変なことになったようだ。それにしても、ウイルス対策ソフトを入れているのに、PC端末が感染したとは信じがたい。疑問が渦巻き、どうしていいか分からない。こんなことなら、顧客からのメールを見た際、すぐに調査をすればよかったと悔やむ。
