攻撃サイトとして報告されています

先日、お客様より「うちのHPを開くとヘンな警告画面が出ます」とご連絡がありました。

早速アクセスしてみると確かに上の画像のように「攻撃サイトとして報告されています!」との警告が表示されます。

はて・・・・前日に見た時は何もなかったのに、この一晩の間でなにかあったのか?

もちろんウチでスパム、あるいはそれと誤認されるようなプログラムの類は使っていません。

何はともあれ、とにかくまずはサーバーにアクセス。すると置いた覚えのないhtaccessファイルが。ウイルスチェックした上で開いてみると怪しげなコードが記述されており、明らかにウチでアップロードしたものではない。これが原因の可能性もあるのでhtaccessは削除し、念のため全てのデータを再アップロードしたあとでウェブマスターツールからGoogleに申請かけました。

これにより翌日には警告画面は表示されなくなり、ウェブマスターツールでも異常はなかったのでとりあえず一安心・・・・・と思っていたところ、数日後にまた同じ警告画面が表示されるようになってしまいました。

サーバーにアクセスしても今度はhtaccessファイルはない。するとhtmlファイルが何者かに改ざんされた可能性もある。しかし全データを再アップロードしても数日のうちに再度改ざんされては根本的な解決にはならない。

そこで原因を考えてみる。

まず疑われるのはウチ。ウチのPCが何かのウイルスに感染し、PC内のFTP情報を使ってサーバーへアクセスする可能性は否定できない。しかしそれなら他のサイトも同様の症状が出てもおかしくないのに警告が出るのはそのサイトのみ。70件以上もあるサイトでたった1件のみというのは不自然です。

次はお客様。お客様は当然FTPのID・パスワードなどの情報を持ってはいます。しかしFTPサーバーにアクセスするツールを持ってはいないし、もう1件ある自社管理サイトには何も異常はない。故にこちらも可能性は低い。

続いてサーバー。ホスティング会社側でトラブルやウイルス感染があったとなれば格納されているデータに異常が出るのは可能性としてありますが、ホスティング会社からはトラブル報告も無いし、ネット上でも同様の報告は無い。ウチでも他のお客様で同じところのサーバーを使ってるサイトが何件かありますが、そちらにも異常は無く、こちらも可能性は低い。

となると・・・・・残るは以前のサイト管理者。実は、今回連絡のあったサイトは以前は他の方が制作・管理しており、そちらで結果が出ないということで以前ウチに移管されたサイトで、以前の管理者はこのサイトのFTP情報を知っています。本来ならウチに移管した時点でFTPパスワードを変更するべきでしたが、移管の際に以後はサーバーにアクセスしないと了承を得ていたのでそのままだったんです。以前の管理者がウイルス感染していればサーバーにアクセスしてデータを改ざんすることは可能です。

以前の管理者が原因かどうかはともかく、何者かによってサーバーにアクセスされていることはほぼ間違いないので、FTPパスワードを変更した上で再度全データをアップロードし、数日様子を見ることにしました。

その後、警告画面は表示されていません。

そして、お客様が今回の件で以前の管理者に電話で問い合わせた際、「最近ウチのお客さんでそういう報告が多いんですよぉ」と言っていたそうです。

私はその方とまったく面識はないんですが、以前転送でもらったメールにその方のHPアドレスがあったので、サイトにアクセスし制作実績として載っていたいくつかのサイトを見てみたら・・・・・2件ほど同様の警告画面が表示されました。

はい、犯人確定しましたね。

当然、変更したFTPパスワードはその方は知りませんから、以後同様の症状は出ないと思われます。

老婆心でその方に連絡しようかなとも思いましたが、ヘタにメールのやり取りしてコッチまで感染したらたまったもんじゃないので関わらないことにしました。Facebookの日記も拝見しましたが、まったく気付いていないようです。予防としてFBもブロックさせていただきました。その方にサイト管理を委託されている企業様はかわいそうですが、さすがにこのままずっと気付かないってことはないと思いますので、いつか対策されるまで辛抱です。でもメールしてたら既に感染拡大してるかもしれませんね・・・・・。

今回の件、自分が犯人じゃなかったことにホッとしてはいますが、決して他人事ではないんですよね。私が感染したらお客様に大変なご迷惑をかけてしまうということを再認識させられました。この件を教訓に、今後もセキュリティ対策や情報管理に一層厳重に取り組みたいと思います。

同じように警告画面が出てる方は一度管理者に相談してみてください。