リニューアルの隙を突かれて不正侵入――タイムインターメディアの場合企業責任としてのフィッシング対策

不正アクセスを受け、自社Webサーバにフィッシングコンテンツを埋め込まれてしまったタイムインターメディア。同社常務取締役の藤原氏が一連の経緯を振り返る。

» 2006年03月28日 11時20分 公開
[高橋睦美,ITmedia]

 「100%万全な防御ということはあり得ない。しかし、いざというときに備え十分に準備をしておくことが重要だ」――タイムインターメディアの常務取締役、藤原博文氏は、自社サイトにおけるインシデント被害の経験を踏まえ、このように語った。

 同社は、日本語全文検索統合環境「Kabayaki」に関する情報を提供するポータルサイト「Kabayaki Web」を公開してきた。このサーバが2月、外部からの不正アクセスを受け、フィッシングメールをばら撒くツールを埋め込まれてしまった。同時に、騙(だま)されたユーザーをリダイレクトさせ、フィッシングサイトへと誘導する英文のコンテンツも仕込まれたという。

 タイムインターメディア側が不正アクセスに関する連絡を受けたのは2月10日の深夜。外部からの通報によるものだった。

 「そちらのサーバからフィッシングメールが送信されている」という通報は、米国の組織から寄せられた。実際にそのメールが担当者に読まれたのは翌2月11日の朝になってからだった。

 「システムインテグレーターという自社の性格上、通報者との間でコミュニケーション上の問題は特に発生しなかった」と藤原氏。ただ、通報のタイミングが金曜日の夜という、最も人手が手薄になる時間帯だっただけに、若干対応が遅れてしまったことは悔やまれるという。

藤原氏 今回のインシデントを、改めて全社的なセキュリティ意識を高める契機にしたいと述べた藤原氏

 Webサーバ本体は同社オフィス内に置かれていたため、11日土曜日の9時30分より対処作業に着手。まずサーバの状況をチェックしたところ、正規にインストールしていないファイルの存在が確認された上、不審なメールサーバプログラムが動作していたことも確認。同日11時前にネットワークから切り離したという。

「リニューアル」の隙を突かれる

 Kabayaki Webサーバは2月1日にリニューアルしたばかりだった。取得していたバックアップやログの差分を調べたところ、不正侵入を受け、フィッシングコンテンツを埋め込まれたのは2月8日。サーバがインターネットに公開されてから、わずか1週間で不正アクセスを受けたことになる。「攻撃者の側も経済的な利益を狙い、効率的に攻撃を仕掛けてくる」(藤原氏)

 詳細な調査は継続中だが、今回の不正アクセスは、サーバOS(RedHat 8.0)に存在した既知のセキュリティホールを攻撃された可能性が高いという。したがってごく基本的な対策――パッチの適用――を行っていれば、被害を免れることができた可能性は高い。

 藤原氏によるとタイムインターメディアでは、自社で運用するWebサーバに対し、新規開設時にチェックを行うのはもちろん、定期的なセキュリティ監査も実施していた。しかし今回のインシデントでは、リニューアルという「イレギュラー」なイベントがあだとなった模様だ。「リニューアルのスケジュールもあってか、本来実施すべきセキュリティ監査が実施されていなかった」(同氏)

 また、顧客からの預かりものではない自社サーバである、という気楽さも影響した可能性がある。「ホスティングサービスで運用している顧客Webサーバについては厳密にセキュリティ対策を実施してきたが、自社サーバとなると『間接費』のようにみなされ、セキュリティ対策のコストが計算されていなかったかもしれない」(同氏)

事前の準備が重要に

 今回のインシデントにおける攻撃者の目的はフィッシングコンテンツの設置と見られる上、Kabayaki Web自体はポータルサイトだったという要因もあり、サーバ上に決済情報などは存在していなかった。ただ、518人分の個人情報が保存されていたのも事実であり、攻撃者によるログ改ざんの可能性も含め、情報の流出がなかったかの調査を進めているという。

 タイムインターメディアでは調査と同時に、今回のインシデントを踏まえて幾つかの対策を実施した。OSのバージョンアップやパッチの適用は言うに及ばず、攻撃をより受けにくくするようネットワーク構成を変更したほか、アカウントの見直しと個人情報の暗号化を徹底。さらに、万一攻撃を受けたとしても簡単には悪用できないよう設定も見直した。なおKabayaki Webは、一連の対策を施した上で2月17日に再度公開された。

 併せて、「通常の監査をきちんとやっていれば問題なく対処できたはず」(藤原氏)という反省に立ち、改めてセキュリティ監査を徹底。「日常のプロセスをしっかりしておくことが大事」と言う。

 藤原氏は自らの経験を踏まえ、次のように述べた。「自分のWebサイトがやられた場合、どのくらいの被害がありうるのかを一度計算しておくべき。また、万一不正侵入を受けてしまった場合にどうするかを、防災訓練のような形で一通り試しておく方がいい」。

 その際重要になるのが、事前のドキュメント類の整備だ。誰が何を確認し、どう動くべきかという組織とプロセスを定めておくことにより、パニックに陥ることなく対応を進めることができるという(関連記事)。「問題が起きてから何をすべきか考えるのは大変。万一のときにどうするかをあらかじめ手順書としてまとめておくべき」(同氏)

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ