佐賀県農林水産商工本部商工課および財団法人佐賀県地域産業支援センターは2月16日,同センターのWebサーバーが不正侵入され,フィッシングに悪用されていたことを明らかにした。同センターによると,悪用されていたのは2週間程度。その間,同Webサーバーのユーザーや担当者は全く気付かなかったという。外部からの連絡で明らかになり,すぐにインターネットから切り離した。現在は復旧を進めている最中である。

 フィッシングに悪用されたのは「プラットフォーム事業用サーバー(http://www.platform-saga.com/)」と呼ばれるサイトで,経営相談の受付や企業情報データベースといったサービスを提供していた。

 同センターがサーバーの悪用を知ってインターネットから切断したのは2月15日。ただし,サーバーのログなどを調査すると,2月1日には同サーバー中にフィッシング目的の偽ページが作成されていたという。偽ページは米国の銀行「Washington Mutual」のページに見せかけられていた。同ページをWashington Mutualのページだと思ってインターネット・バンキングのユーザーIDとパスワードの入力していれば,それらはサーバーの侵入者へと送られたと考えられる。

 同センターの情報によると,偽ページへのアクセスは286件だったという。ただし,実際にIDとパスワードを入力したユーザーがいたかどうかは不明。なお,今回の不正侵入について,佐賀県警や情報処理推進機構セキュリティセンター(IPA/ISEC)には報告済みである。

 2週間程度偽ページが放置されていたわけだが,同センターによると「ユーザーや担当者は気付かなかった。指摘されてサーバーを調査して初めて分かった」という。悪用の事実は,複数のユーザー/組織を経由して同センターへと報告された。

 まず,同センターの偽ページへ誘導するメール(スパム)の受信者が,そのメールを「SpamCop.net」に報告した。SpamCop.netとは,スパムの報告を受け付けるサイト。そしてSpamCopから,プラットフォーム事業用サーバーが接続しているISPへ報告されたという。ISPからは同サーバーの管理会社へ伝えられ,その後,同センターの担当者へ知らされた。

 同センターの当初のプレス・リリースでは,プラットフォーム事業用サーバーは2月22日に復旧する予定だったが,2週間ほど先になる見込みである。「今回の侵入に対する対策は完了したものの,そのほかにも対策すべき点が見つかったため」(同センター)としている。

 なお,同センターでは,プラットフォーム事業用サーバーの構成(OSや稼働させていたサービスなど)を明らかにしていない。JPCERTコーディネーションセンター(JPCERT/CC)では 「OpenSSHやtelnetdを稼働させているLinuxサーバーに対する侵入報告が多い」としているが,同サーバーがこの構成だったかどうかは不明(関連記事)。

 今回のケースのように,知らないうちに不正侵入されてフィッシングに悪用されているサーバーは少なくないと考えられる。また,今回のケースで明らかになったように,既存ページを改ざんされた場合とは異なり,通常のページからはリンクが張られていない偽ページを仕掛けられた場合には,まず気が付かないのが実情だろう。

 偽ページを検出できるツールや監視体制を備えることが望ましいが,まずは侵入されないことが第一。インターネットからアクセス可能なサーバーの管理者は,セキュリティ対策を改めて確認したい。具体的な対策方法については,JPCERT/CCの情報などが参考になる。

◎参考資料
(財)佐賀県地域産業支援センターのインターネットによるサービスの一部のご利用を停止しています

(勝村 幸博=IT Pro)