サイト改ざんの経緯、薬事日報社が詳細説明：情報流出は無し

医療業界専門誌の薬事日報社が、サイト改ざん被害についての経緯と調査状況を詳しく説明している。

[ITmedia]

　医療業界専門誌の薬事日報社は4月24日、同社サイトの改ざん被害について経過説明を行った。同社サイト「薬事日報ウェブサイト」が4月17日に不正アクセスを受け、閲覧者をウイルスに感染させる狙いで一部ファイルが改ざんされた。

　不正アクセスは17日午前6時ごろにあり、一部のファイルが改ざんされて、閲覧者を外部サイトへ誘導する仕組みになっていた。改ざんされたファイルは午後7時半ごろまで公開され、同社ではサイトの運用を停止した。閲覧によってウイルスに感染した疑いがあるとの報告が3件あったが、個人情報の流出は確認されていない。また、有料会員制サイト「YAKUNET」は影響を受けていなかった。

　ウイルスの種類は特定されておらず、現在も調査中。感染すると、sqlsodbc.chmファイルが改変されるほか、ウイルススキャンやコマンドプロンプト、レジストリエディタを実行できなくなる。Internet Explorerの動作が著しく不安定になる症状も発生。FTP通信の監視や設定情報を盗聴し、設定情報を取得したWebサーバの改ざん行為を行う可能性もあるという。

　調査の結果、不正アクセスは以下の手順で自動的に行われた可能性があることが分かった。

1. 薬事日報ウェブサイトを管理していたPCの1台がウイルスに感染
2. ウイルスが感染PCのFTP通信を監視
3. ウイルスは感染PCがFTP通信で使用した設定情報を記録
4. ウイルスが記録した設定情報を外部のサーバに転送
5. 外部サーバは設定情報を利用して、薬事日報ウェブサイトへFTP通信で不正アクセス
6. 外部サーバが薬事日報ウェブサイトのhtml、php、jsなどのファイルの一部をダウンロード
7. 外部サーバはダウンロードしたファイルに悪意のあるスクリプトを挿入
8. 外部サーバはスクリプトを挿入したファイルを薬事日報ウェブサイトにアップロード（改ざん）

　同社では不正アクセスを受けたWebサーバを停止し、新規にWebサーバを構築して、一部サービスを再開した。コンテンツ管理システムやFTP通信の設定も併せて変更したという。また、WebサーバへのFTP通信は専用マシンに限定し、すべてのPCに導入しているウイルス対策ソフトウェアの運用も見直すとしている。同社内で感染の疑いのあるPCについて、OSをクリアインストールし直した。

　これらの処置により、4月22日から復旧や対策が完了したページから順次公開を再開しており、ニュース配信などのサービスを4月27日から再開する予定だという。

　閲覧によってウイルス感染が疑われる場合、同社ではオンラインスキャンサービスなどの利用を呼び掛ける。感染が確認された場合は、クリーンインストールが望ましいとしている。

過去のセキュリティニュース一覧はこちら