自社サーバがフィッシングサイトに「踏み台化」されたら?:企業責任としてのフィッシング対策(1/3 ページ)
知らないうちに自社のWebサーバが不正アクセスを受け、フィッシングサイトが設置されていた――こんな事態に直面した場合、どうしたらいいだろうか?
「貴社の管理するネットワーク上にフィッシングサイトがあります。至急ご対処をお願いいたします」
「御社のサーバが踏み台化され、フィッシングサイトになっています」
――2005年度にJPCERT/CCが受けたフィッシング踏み台サイト(不正アクセスを受け、フィッシングサイトを仕掛けられたサイト)のインシデント報告は257件(2005年4月〜12月)。2004年度の74件(2004年4月〜2005年3月)に比べて3倍以上に増加している。このことからも分かるとおり、自分の会社のホストがフィッシング踏み台サイトとなり、先ほどの例のようなメールが届くことは十分に考えられる。そのとき、読者の皆さんならばどうするだろうか?
もしフィッシングの踏み台サイトになっていたら
最初に答えから言ってしまおう。まず考えられる確実な方法は、
可能な限り素早く該当ホストをネットワークから切り離す(再起動あるいは電源オフは不可)
とにかく、これに限る。
もちろん、指摘されたフィッシングサイトの存在を確認し、その後に該当ホストをネットワークから切り離すというのが基本である。
しかし、もし事実確認に時間を要するなら、少々乱暴と思われるかもしれないが、それは後回しにしてでも、ホストをネットワークから切り離す。これが、フィッシング踏み台サイトの通知があった場合の最も確実なインシデント対応だ。
なぜネットワークから切り離すことを最も重視するのかというと、可能な限り被害を軽減するためである。指摘されたURLにフィッシングサイトがあるかどうかといった事実確認や原因の特定は、ホストを切り離した後でも行える。しかし、それらの作業に手間取ってしまうと(*1)、新たな被害が発生する可能性もある。
もしネットワークにつながったままだと、その間、実際にフィッシングサイトにアクセスし、個人情報を入力してしまう被害者が出る恐れがある。また、フィッシングサイトが設置されているという状況は、ホストが不正侵入を受けたこととイコールであり、放置した場合、ネットワーク全体にさらなる不正侵入などが広がる恐れもある。
したがってこれらの被害拡大を防ぐためにも、指摘されたホストを可能な限り速やかにネットワークから切り離し、外部からフィッシングサイトが見えないようにすることが優先される。
このとき注意すべきなのは、絶対に該当ホストを再起動したり電源を切ったりしてはいけないということだ。中には、自動起動するように仕組まれたフィッシングサイトもあり、ホストを再起動しただけではフィッシングサイトまで復活してしまう可能性がある。
これは、JPCERT/CCがコーディネーションを行った実際のインシデントで起こったことでもある。
このケースでは、通報後、サイト管理者から「対処しました」との連絡を受けたため、JPCERT/CCでもフィッシングサイトが停止しているかどうかを確認した。ところが、まだ当該フィッシングサイトが外部から閲覧できる。あわてて再度連絡したところ、担当者は「再起動を行っただけ」だったことが分かった。どうやら、スタートアップなどの起動項目(ホストに電源が入ると自動的に起動するサービスやデーモンのリストなど)にフィッシングサイト用のファイルが組み込まれており、再起動しただけではフィッシングサイトを停止できなかったのである。
また、電源を切ってしまうことも良い対応ではない。オンメモリ上で稼働しているフィッシングサイトの場合は、電源を切ることによって、すべてのデータが消えてしまい、原因究明や対応に遅れなどが出ることも考えられるからだ。
事実、フィッシングサイトを構成するツールの中には、後に証拠が残らないよう、すべてがオンメモリ上で動作するものがある。このような場合、再起動や電源オフによって、メモリ上にあるすべてのプログラムやファイルが消え、事実や原因の確認が困難になる。
関連するファイルが残っていない場合、実際にIDやパスワードは入力されているかをはじめ、どのような被害が発生したのかが分からず、関連サイトなどへの連絡が遅れ、被害拡大を招くことも考えられる。さらに、事後の防止策を立てるためにも、原因が分かるほうが有効な手を打ちやすいが、ファイルなどが消えているとそれもままならない。そのような事態に陥らないためにも、けっしてホストの電源オフを行ってはならない。
さて、残されたファイルやログは原因究明のための重要な証拠になるが、その取り扱い、特に「保存」と「外部への情報提供」には十分に注意しよう。フィッシングの踏み台インシデントは、言い換えれば「ホームページの改ざん」を受けたことでもある。これは立派な不正アクセスの被害なのだから、警察に被害届を出す場合などを考慮して、すぐに削除せず、安全なところに一定期間保存しておくことをお勧めする。
また、もし情報提供を求められても、不用意に提供しないことに注意したい。実際に被害者がログイン情報などを入力している可能性があるファイルを、フィッシャー自身が警察やFBIなどそれらしい組織をかたってだまし取ろうとすることも考えられるからだ。このようなことを防ぐためにも、「外部への情報提供」の際は、法律の専門家などに相談する方が賢明だろう。
*1 30分〜1時間以内が目安となる
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- ゼロトラストの最新トレンド5つをガートナーが発表
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
ITmediaはアイティメディア株式会社の登録商標です。