Webサイト改ざんの報告を受けたら、担当者としてはすぐに停止したいだろう。だが、一般のユーザーからの報告を信用してすぐに停止してはいけない。勘違いの可能性があるからだ。Webサイトを停止させるために、虚偽の報告をしたかもしれない。報告通りに改ざんされているのを確認してから、Webサイトを停止しよう。
JPCERT/CCのようなセキュリティ組織からの報告なら、すぐに停止の手続きを開始する。ただしこの場合も、相手が本当にセキュリティ組織なのかを確認した方がよい。例えば、セキュリティ組織に対してこちらから折り返しの連絡をする際には、公式サイトなどで相手の電話番号を確認する▼。
▼電話番号を確認する JPCERT/CCの公式サイト(https://www.jpcert.or.jp/profile.html)で公開している同組織の電話番号は(03)3518-4600。
Webサイトの改ざんを担当者が確認する方法は2種類ある。外部から観察する方法と内部のデータを検証する方法だ。該当のWebサイトにWebブラウザーでアクセスして外部から確認する場合のポイントは3つ(図3)。(1)Webページの表示内容、(2)Webページのソース、(3)ウイルス対策ソフトの反応──だ。Webページ上に変な画像などが表示された場合や、ソース中に記述した覚えのないスクリプトなどがある場合には、改ざんされたのは確実だ。すぐに停止に向けた作業を開始する。
ウイルス対策ソフトの反応についても同様だ。アクセスと同時に警告が表示されれば、ウイルスをダウンロードさせるようなわなが仕込まれている。
報告者が「ウイルス対策ソフトが警告を表示した」と指摘したにもかかわらず、担当者が試しても反応しないケースがある。原因としては、報告者とは異なる対策ソフトを使っていることが考えられる。ウイルスによっては、特定の対策ソフトにしか反応しない。
また、同じ対策ソフトでも、ウイルス定義ファイルが古いと検出できない場合がある。最新のウイルス定義ファイルに更新してから調査しよう。