トップページ»3.3.セキュリティ»フィッシングサイトをホストする公的機関のサイト

3.3.セキュリティ



フィッシングサイトをホストする公的機関のサイト

Symantecの報告でフィッシングサイトをホストしている政府のサイトが多数見つかっているらしい。

政府のサーバで詐欺サイトをホスティング
バックドアなどで不正侵入

http://www.itmedia.co.jp/news/articles/0707/13/news031.html

困ったもんですね。 政府のサーバーともなるとローカルにとどまらずグローバルにも影響しているのではないでしょうか。

これを読んで今年3月頃に中国に渡った時のある問題を思い出したのでちょっと書いてみようかなと。 あくまで私個人が見てきた範疇の話なので、中国の全部が全部そうではない(と信じたい)事が前提なのでご了解下さい。




中国のある現地ユーザーのPCに入っているアンチウイルスソフトがウイルスを検知したと報告を受けた。 管理サーバーで確認してみると確かにウイルスを検知している。 ひとまず検知はしているので感染はしないだろうと、すぐに混入経路の特定を開始。

メールにしろウェブにしろ外部との接続は全てアンチウイルスゲートウェイを経由させている関係から、まず真っ先に疑ったのはユーザーの危機意識不足からくる個人所有媒体の持込。 日本でも結構問題視されているわけだし、こういう事例は多々あるのだろうけど、問題なのはここがかの有名なコピー天国、中国であるということ。

話は逸れるが、中国では(少なくとも私が行っていた時には)ありとあらゆるコピー商品が流通していて、PC用のソフトウェアも例外ではない。 店頭には例えば(本当に使えるのか定かではないが)1月末にリリースされたばかりのWindows Vistaも既にあったし、Office、Oracleといった高価なソフトウェアがずらりと並ぶ。 しかもほぼ全てが日本円にして約100円。 元の値段なんて無関係。 ほんと一律。

現地スタッフに聞く限り(地方によるのだろうが)正規品ソフトウェアを売っているお店が無いとのことで、もし本物を買うならば上海など大都市から入手しなければならないとの事。 つまり彼らが買うソフトはほぼ100%に近い確立でコピー商品だということになる。 「それしかないんだもん、買うでしょ」との事。 事実、現地でソフトウェアを入手させる場合は上海の(日本の息がかかった我々が信頼できる)業者からとしている。

ここまでは実害が無いので良い(良くは無い)が最悪な問題として、コピーされたソフトウェアにウイルスが入っている確立が高いということ。 これはCD/DVD等のメディアだけでなく、USBメモリやMP3プレーヤーについてくる場合もあるとの事。 MP3プレーヤーに何故?メーカーが誤って入れているのか?と思ったら、お店が値引きの変わりにサービスでソフトやら音楽やらを入れてくれるケースもあるのだそうだ。

話を戻そう。 そんな状況下なので、ユーザーが外部から持ち込んだ外部記録媒体は全て危険であると疑わざるを得ない。 といった理由で1年以上前から現地スタッフに向けて、外部記憶媒体を持ち込んだ事が発覚した場合は厳罰に処すというお触れを出している。

それにも関わらず持ち込みの疑いがある人間がチラリホラリ見え隠れしていた。 まぁ何も無ければ良い訳なんだけど、そんなのが見え隠れしているせいもあって、今回のような事件が発生すると真っ先に疑いの目を注いでしまう。

今回のウイルスが検知された時間帯にそのPCを使用していたユーザーを特定し、まずは遠隔でPC本体の監査を行ってみた。 特に怪しい部分は無い。 仕方が無いので本人に事情聴取。 仕事以外何もやっていないし、持ち込みもしていないとの回答。 本当かぁ~?

そんなこんなしている間に同一部署の人間が同じウイルスを検知したと報告してきた。 まずっ! もしかしたら別のネットワーク又は共有フォルダから感染を広げるタイプのウイルスと複合するウイルスだったか!? とあわてて危険そうなPCの切断とかサーバー側のウイルスチェックとかパケットスニファとか開始した。

1時間程度経過して特に何も不審な動きは無い。 なによこれ。 2件目のウイルスを見つけたユーザーにも事情聴取するも、やはり仕事以外してないと言う。 ウイルスの検知をしたときは、ネット上にある国が運営する公的機関のサイトでデータの送受信をしていたという。

念のため最初のユーザーにも確認。 やはり同じサイト上で仕事をしていたという。 まさかとは思うけどこれ? だって国の公的機関よ?

念のためJavaScriptとかはずしてブラウザで確認してみる…と、げげ! トップページの最後(しかも</html>の後)の部分に怪しげなiframeが入ってるじゃないですか!

すぐさま当該サイトの閲覧禁止措置を…と思ったら「そこを表示できなれば仕事にならん」とのお言葉。 仕方ないのでiframeが指す怪しげなサイトだけをゲートウェイでブロック。 とりあえず安全を確保した上で詳細調査。

結論を言うとビンゴ、これが原因でした。 去年の11月頃騒がれたMicrosoft XMLHTTP ActiveX コントロールの脆弱性を使ってウイルスを叩き込み、バックドアやらなんやらを作ろうと試みることが判明。 その途中でアンチウイルスソフトが検知したという状況でした。 問題は自動的に実行しているはずのWSUSがその2台に効いていなかったこと、というかパッチの適用がエラーでずっと止まっていたようです。 これは我々の落ち度。 即対策を講じました。

そして何より問題の発端である公的なサイト。 連絡をしてみたのですが、取り合ってもらえず結局今現在もその問題が残っている状態のようです。 「一企業が何偉そうに」って雰囲気。 っていうかそのサーバー乗っ取られてるでしょ? それでも平気なの? みたいな。

日本の場合で少なくとも公的機関が同じようになったとしたらえらい騒ぎになるはずで、へたすれば謝罪会見やらなんやらになりそうな話。

今回流れたニュースも全く同一系統な話かもしれませんね。 こういうのはサーバー立ててる側全部の意識が変わらない限りは減らないでしょうし…現状では無理な話なのかも。

仕事でインターネットを使えなくなる日が来てしまうのかもしれませんね。


投稿日 : 2007年7月14日

この記事に関する言及

このエントリーのトラックバックURL:
http://akionweb.com/mt-tb.cgi/376

コメント

このページに対する感想、意見をお寄せ下さい。




保存しますか?

(書式を変更するような一部のHTMLタグを使うことができます)

おことわり

当サイトに掲載している全ての情報は、全て当サイト管理者が個人的、実験的に試した事、又は独自に調査したものです。 従ってその情報に誤りがある可能性も多分にあります。 当サイトの情報をそのまま鵜呑みにされませんようお願い申し上げます。 また当サイトの情報を元に作業されたりする場合はそれをご理解頂いた上で、あくまで自己責任の元で行ってください。

トップページ»3.3.セキュリティ»フィッシングサイトをホストする公的機関のサイト