Aruyo

「これってヤバイの?」という電話

ある会社に通うようになってまだ一週間経ったばかり。最初の週末をのんびり過ごしている最中なのに、会社の方から電話が入ってきた。

相手「なんかねえ、ウチにはウェブがないはずなのに、ページが表示されるんだよ」
私「ん?それってどういう事?」

いきなり切り出された言葉の意味がサッパリだった僕は、多少混乱した頭で事態の整理に努めてみた。

この会社は独自ドメインを持っていて、自社内に設置されたWindowsNT4.0+IISで運用をしている。同居する親会社のサーバに乗っかったカタチでだけど、主にメールの使用でウェブページは一切制作していなかった。親会社ですらトップページだけの表札代わりのウェブページしか掲げていなかったし。

正直なところIISのことはよく分かっていないけど、ドメインを設定したらウェブのヴァーチャルホスト設定も自動的にされて、デフォルトのスタートページが自動的に生成されるのかなくらいに想像していたので、きっとそれのことだろう、と思っていたのだけど。

相手「見てみたらさ、チャイニーズなんたら、ってかいてあるんだよねえ」
私「(なんですとーっ? それって最近流行りのCodeRed?)」
相手「これってヤバいの?」
私「メチャメチャヤバいですね、それ」

とにかく、見てみるよとだけ答えてさっそくアクセス。もちろん、念には念を入れてJavaScriptすら禁止にしたNetscapeを使ったMacintoshでアクセスしてみた。

「fuck USA goverment. fuck PoizonBOx」...ダメだよ、こりゃあ。CodeRedじゃないけど、見事だよ。

PoizonBOxというのは、米国クラッカー集団。確か、中国政府と東シナ海で発生した米中軍用機事故で中国人クラッカー達とサイト攻撃戦争を繰り広げた連中だ。とりあえず、月曜に対処ということでその場の電話を切った。

後日談

捨て用のWindowsで覗いてみるとサーバのディレクトリにはASPファイル、しっかりワームが埋め込まれていた。

タイムスタンプを見る限りでは、発見の一週間ちょっと前くらいに埋め込まれた感じ。念のためにスキャンしてみると妙なハイポートが開いている。バックドアってやつか。もっとも、いろんなポートが空き放題だったので、いずれにせよ、既に侵入された上に他所の攻撃用に踏み台にされている可能性はある。

身近での本格的なクラックに遭遇。本やWebで読んだままの事例が再現されて本当にオドロキ。

この会社では仲のいい別の会社にサーバを構築してもらったものの、「よくわからない」のでパッチ更新などの保守作業といったものを特には行っていなかったようで。それなりに必要性は認識しつつも実践には至れなかった。正式な「管理者」もいなかったわけだし。

無防備なまま放置状態のサーバが中小企業にゴマンとあるのかと考えると、危険性はそこここに潜んでいるように思えてくる。よく、ネットはセキュリティが不安で怖い、といった話を耳にしますが、技術的なものというよりは、こうした人為的な(技術の欠陥を補わなかったという)ミスが怖い、というのが正しい気も。

当のMicrosoftですらパッチを当てていなくて感染したそうなので、先に疑うべきは技術ではなく管理を怠った技術者なのかも。

追記

Sadmindというワームらしい。SolarisからIISへ、IISからSolarisへと侵入していくとか。古いセキュリティ・ホールを悪用しているとのことで、だいぶ前から警告が出ていたそうで。ほんと放置はよくない。