[2013/07/05]
私が過去に所属していた団体([A]とする)がレンタルサーバーを借りているFAS-NETから、ウイルス感染の通知メールを受けた。要約すると以下の内容。
・ウイルスが発見されたのは、[A]が借りてるドメイン下に置かれたとある.cgiのファイルで、発見されたのは7/3。
・FAS-NETはサイトの公開用ディレクトリにあった全てのファイルを、非公開な別のディレクトリに移動した。
・FAS-NETは、FTPパスが流出している可能性を考慮し、FTPパスワードを変更、このメールにて新しいパスワードを通知する。
[2013/07/10]
こちらからFAS-NETに問い合わせ。要約すると以下の内容。
・FTPパスの流出について確認するため、ログイン履歴の分かるログが欲しい。
・当方のサイトから被害を受けた可能性のあるアクセスについて把握するため、ウェブサーバーのログも欲しい。
・ウイルスの発見方法は?そのウイルスは同じサーバーの他アカウント下で発見されていないのか?
[2013/07/17]
2013/07/10に問い合わせた内容に返信が無いので、再度送信。
[2013/07/18]
FAS-NETから回答。要約すると以下の内容。
・該当のログはログローテーションで既に消えてしまった。
・ウイルス発見は、海外のサービス (http://www.cyscon.de/)からの通報。
・今回のウイルスは同一サーバー内では[A]のアカウント下だけで発見されている。
……以上が大体の顛末。実際には[A]の担当者が多少とんちんかんな内容で途中途中問い合わせをしたりもしてる。今回の事の発端は、情報が限られているので予想するしかないが、[A]の使用していたアカウントのパスワードが外部に漏れて、cgiファイルが書き換えられ、ウイルス(悪質なページ)判定されるに至ったか、あるいは担当者の使用している端末がウイルスに侵され、書き換えられたローカルのファイルをそれと知らずにアップロードしてしまった、のどちらかだろうと思う(私は前者だと思うが)。[A]担当者のミスで、FAS-NETが隔離してくれたサーバー上のファイルを消してしまい、ウイルス判定された.cgiがどう改変されていたか確認不能になるなど、お世辞にもこちらの対応もよくなかったのだが、それにしても、今回の件に関するFAS-NETの対応には疑問を感じる。なぜ、ログを出せないのか、ということである。
ログローテーション……、それは分かる。レンタルサーバーを運営していれば、サーバーは膨大な量のログを吐くだろう。それを永久に保存しておくことは難しい。一定期間経てばそりゃ消すだろう。とはいえ、今回の件について言えば、FAS-NETはウイルス発見の通知を海外から受け、それを[A]にもメールで知らせてきているのである。しかも、FTPログイン情報が第三者に流出している可能性を踏まえ、パスワードの変更まで行っている。私なら、というか普通なら、この時点で不正なアクセスがあった可能性について調査すべく、ログを洗い出し、保存しておくはずである。それをしないのは、サーバー管理者としておかしい。そしてログが消えるタイミング、これは環境によってデフォルトの値が違うし、意識的な設定もしていると思うのだが、これが2,3日後ということはまぁ無いだろう。普通、短くても1週間である。これより短いサイクルでサーバーからログを消すなら、ログはバックアップを取るはずである。今回の場合、ウイルス感染をFAS-NETが通知してきたのが7/5で、「ログをよこせ」とこちらから要求したのが5日後の7/10である。で、最終的にFAS-NETが「ログはもう消えちゃった」と返信をよこしたのは、最初の通知から13日後の7/18である。私が何を言いたいか、懸命な読者は気づくはずである。まぁ実際には、7/10に問い合わせた時と7/17に問い合わせたと時は、窓口(フォームとかアドレスとか)が違っていたし、7/10に問い合わせた時の窓口は、FAS-NETが推奨するものでは無かったのかもしれない。現場では、メールチェックといったアナログな過程でミスが起こることもままあるだろう。
と、色々考慮しても、今回のFAS-NETの対応にはいろいろと不満がある。だって、FTPのパスワードが流出したかも知れないからパスワード変えといた、と言われたところで、今後同じことが起こる可能性があるのかどうか、まったく判別できないじゃないか。ログが手に入ったところでそれが分かるか、と言われるとまぁアレなのだが、例えばFTPログインが海外から、あるいはどっかのプロキシを通してなされていた場合、明らかに不正ログインされた痕跡と見ることができるわけだ。その日時と、パスワードを知っている人間の行動記録を辿れば、パスワードの流出の経緯についても推測が可能になるかもしれない。あるいは、パスワードを変更してからすぐにまた不正なアクセスや改竄がなされた場合は、犯人が身内にいるか、パスワードの通達経路に問題がある、と分かるわけだ。こういう断片的な情報すら、ログの開示がなされないと、一切分からないわけで、今後のこのサーバーを利用しつづけるのに不安が生じるのは当然であろう。
Post a Comment