スターツ出版は6月10日,同社が運営する「OZmall」サイトへの不正アクセス事件に関する説明会を開いた。不正アクセスが確認されたのは5月25日のこと。その後,サイトは一時閉鎖され,5月30日に再開された。説明会の対象は,同サイトが提供する予約仲介サービスなどの顧客企業。「同じような被害を受けないように,情報を共有したい」(代表取締役社長の菊地修一氏)。説明会では,事件の経緯やサイト運営上注意すべき点などが説明された。

とりあえずサイトを停止

 同社はまず,今回の事件の経緯を説明した。それによると,不正アクセスが発覚したのは5月25日14時ごろ。同社が配信したメール・マガジン中のURLをクリックしてOZmallにアクセスしたユーザーから「ウイルス警告のメッセージが表示された」という報告が7件寄せられた。

 この時点では,特定のウイルス対策ソフトでしか検出できなかったため,ウイルスの種類は分からなかったという。だが,不正アクセスを受けたことやページを改ざんされたことは分かったので,すぐにサイトを停止した。「そのおかげで,被害を最小限に食い止められたと考えている」(システム開発部部長の島本博氏)

 ウイルスの特定には苦労したという。同社が主に利用していた対策ソフトでは検出できなかったためだ。その後,警告メッセージを確認したユーザーが使っていた対策ソフトで試すと,確かに警告が出る。そのことを,同社が利用していた対策ソフトのベンダーに伝えると「警告が出ないということは,ウイルスではないということ。他社ソフトの誤検出では?」などと回答され,判断に迷ったという。

 最終的にはオンライン・ゲーム「リネージュII」のアカウント情報を盗むウイルス(正確にはトロイの木馬)であることが判明したものの,特定には時間がかかった。実際,同社がウイルスの詳細を発表したのは5月27日になってからである。

 5月25日のサイト停止後,同社では菊地社長を委員長とするセキュリティ委員会を設置。セキュリティ・ベンダーへ調査や対策を依頼するとともに,警察へも通報した。そして,5月26日の朝までかけて,サーバーのログを解析し,サイト上の顧客情報などが盗まれていないかどうかを調べた。その結果,顧客情報は一切漏れていないことが確認できたという。

 その後の調査で,侵入された手口が「SQLインジェクション」だったことも特定できた。同じ攻撃を受けないように,利用しているWebアプリケーション・プログラムを全面的に書き換えた。プログラムのファイル数はおよそ1万数千にのぼるので,修正には時間がかかったという。

 そして,サーバーをスクラッチから再構築。これを機に,不正アクセスとは直接関係のないマシンやシステムについてもセキュリティを見直したという。具体的には,OSのバージョンアップやパッチ適用の再確認,パスワードやアクセス権限の再確認,ファイアウオールやWebサーバーの設定の見直し――などを実施した。なお,同社サイトの環境は,OSがWindows,Webサーバー・ソフトがIIS(Internet Information Services),データベースがSQL Serverである。

 同社によると,当初,セキュリティ・ベンダーからは復旧に2週間以上かかると言われたが,社内外の人員がほぼ24時間対応したために,5日後にサイトを再開できたとする。

設定やアクセス権限の見直しを

 今回の事件対応やその後のセキュリティの見直しを通じて,同社では次の3つを「サイト運営者/システム管理者が今すぐに確認すべき事項」として挙げた。

(1)ファイアウオールの設定
(2)データベースのアクセス権限
(3)Webサーバーのエラー・メッセージ

 (1)と(2)については,運用当初は厳しくしていても,運用を続けるうちに,ユーザーの要望に合わせてポートを開いたり,権限を付与したりしてしまう。その結果,いつの間にか緩い状態になっていることが少なくないという。

 (3)については,エラー・メッセージをそのまま出力しないようにしておく。攻撃者にヒントを与えないようにするためだ。エラーが発生した場合には,あらかじめ用意したエラー・ページなどを表示させるようにしたほうがよいとする。

 もちろん,これら以外にも確認すべき事項はある。例えば,OZmallサイトが不正アクセスを受ける直接の原因となったWebアプリケーションも見直すべきだろう。

 同社では,サイトのOSやWebサーバー・ソフトなどのパッチはきちんと適用していた。Webサーバーやデータベース・サーバーなどのアクセス権限も極力制限していたという。データベース・サーバーの管理者の認証には指紋認証を導入していた。ウイルス対策ソフトやクライアント管理ソフトなども全社的に導入していた。にもかかわらず,Webアプリケーションを突かれて不正アクセスを許してしまったのである。

(勝村 幸博=IT Pro)