ホームページが改ざん攻撃の被害を受けた報告(その1)です。

先日、当社が制作担当している要職者の方のホームページが改ざん攻撃の被害を受け、県警のサイバー対策室と警察庁技官の方三名が直ぐに聞き取りに来ました。

経緯は、ある朝早くにgoogleから本ホームページがウィルス感染により改ざんされている旨のメールが届きました、また時間をおいてサイトを公開しているレンタル業者プロバイダからも同種のメールが届きました。
すぐにホームページを見るとウィルスソフトが検出アラートを表示します、又googleから当該ページを検索するとブロックされ危険性の警告が表示されてしまいます。
早速確認したところウィルスソフトの検出記録からトロイの木馬型マルウェアと考えられました、その挙動は閲覧者がホームページを見ると裏で不正なサイトに誘導され、閲覧者のPCに悪意あるプログラムがダウンロードされる、そしてそのプログラムは閲覧者のPCを踏み台として迷惑メールを送信するとされるものでした、

対策として緊急に汚染したファイルを特定し、感染を除去し安全性を確認しました、被害の痕跡から推定して感染していたのは延二日間弱と推定しています。
なお擬似的に当方の環境でウィルス感染を再現しましたが被害は検出されませんでした。
それゆえ種々の条件が整った場合にのみ閲覧者のPCが被害をこうむると考えられ、現状においては実際の危険を及ぼしたものではないと考えています。

その後、更にサイト内をくまなく調査しwebサイトに存在している脅威を特定し、その中のマルウェアコードを除去し完全にクリーンなファイルに戻しました。
現在は完全に万全な状態に戻っています。

なお感染を検出した県警、警察庁のサイバー担当の方から連絡が入り、お三人が静岡市から車を飛ばしてこられた時は既に復旧を完了していました。
聞き取りでは経緯の説明や想定される加害者像などについてお話し、証拠を提出し対策を検討し、依頼を受け更に協力を約束しました。
担当の方は要職者のサイトですので標的として攻撃されたことを心配していましたが、当方では毀損等が見受けられませんので不特定多数に向けた全方位攻撃と現状、判断しています、

又サイバー担当の方が間髪を置かず改ざんを見つけたことに付いてお尋ねしたところ、警察庁の担当者の方が要職にある方のサイトは常に監視していることでした。

また後日、サイトのオーナーと、担当の方が検出後、静岡市から有無を言わせずすぐに聞き取りに来たことに付いてお話ししました。
その理由に付いてオーナーは自らが要職として情報通信を含めた広範囲な災害対策を議論する役職に付いていることから、この事例が重要視されたのだろうとの見解でした。

(その2)ではgoogleで本ホームページを検索した時に一時的に表示されてしまっていた危険性の警告表示に付いて触れたいと思います。