is702

2010/03/04

他人事ではない!あなたの会社の「ガンブラー対策」は大丈夫?実録!ガンブラー攻撃が招いた会社存続の危機!セキュリティの「システム管理者」任せは危険!

社員が少ない会社などでは、社内のパソコンやセキュリティ対策などの管理を行う専任の「システム管理者」がいないケースや、その役割をだれかが兼務するケースが多いもの。しかし、システム管理者の有無にかかわらず、社員の一人ひとりがセキュリティの意識を持っていないと、最悪の事態に陥る可能性があります。
今回は、パソコンを使って仕事をするデザイナー木村さんのお話を紹介しましょう。

パソコン好きなデザイナー木村さんが、成り行きで「システム管理者」に

システム管理者がいない
私がWebデザイナーとして働いているE社は、社員6名のデザイン会社。雑誌広告やカタログなど印刷物のデザインのほか、Webサイトのデザイン・制作も行っている。みんな忙しくて、毎日遅くまで仕事をしている。

仕事にはパソコンが欠かせない。デザインの仕事なので、使うパソコンはMacが基本。Windowsパソコンは共用で3台あるが、動作確認や検証用、完成したWebサイトのデータをサーバにアップするために使う程度。これらのパソコンの管理は、成り行き上私が行っていた。

6人の会社なので、大きな企業のように専任の「システム管理者」はいない。しかし、私はパソコンが好きだし、みんなより少しだけパソコンに詳しかったので、何となく「システム管理者」的な役割を担っていたのだった。社長も一目置いてくれているし、私自身も苦ではなく、むしろ他の社員のトラブルを解決して感謝されることにやりがいを感じていた。

他の社員は、木村さんに頼ってセキュリティには無頓着

Windowsやセキュリティについては疎い。各社員とも、仕事柄Macの操作には詳しいのだが、Windowsやセキュリティについては疎い。Windowsパソコンは共用なので、私が「システム管理者」として、時間を見つけてはセキュリティソフトや他のアプリケーションソフトのアップデートなどを行っていた。だが、毎日使うわけでもないし、本業のデザインの仕事が忙しくなると、時間が取れないこともある。

そんなときに限って、だれかがWindowsパソコンを使ったりする。私は、最初にOSや各種ソフトのアップデートをしてから使うように、口を酸っぱくして言っているのだが、みんなも忙しくてつい忘れてしまうようだ。何度か冷や汗をかくようなことがあったが、大事には至らなかった。
しかし、ついに取り返しのつかない事態が発生したのである。

激怒した得意先からの電話。その理由は…

得意先の担当者からWeb改ざんの連絡当社にとって一番の得意先である有名企業G社。その子会社であるH社のWebサイトの仕事で事件は起きた。
月に1回程度の定期的なページ制作と更新作業を請けており、更新の際には、無料で使えるFTPソフトをインストールした共用のWindowsパソコンを使っていた。当社の担当は伊藤さんだった。

ある日、H社のWebサイト担当者から、伊藤さんあてに電話がかかってきた。しばらくすると伊藤さんは途方に暮れた表情で、電話を私に代わってくれと言ってきた。電話を代わると、H社の担当者は激怒していた。

「うちのWebサイトを見たらセキュリティソフトの警告が出た、という問い合わせがたくさんある。どうなってるんだ!」
私は「すぐに、原因を究明します」と伝えてひとまず電話を切った。
共用のWindowsパソコンを立ち上げ、H社のWebサイトにアクセスしてみた。特に異常は見られない。しかし、もしや、と思って別の1台のセキュリティソフトをアップデートしてから見てみると・・・、警告が出たのだ。
すぐにH社のWebサイトを閉鎖し、社長に報告。社長と伊藤さん、それに私の3人で、H社へ説明に行くことになった。

E社が担当した得意先のWebサイトが「ガンブラー攻撃」で改ざん!

H社では、親会社であるG社からも列席者があり、ものものしい雰囲気であった。H社ならびにG社双方から厳しい言葉を浴びせられたが、われわれ3人は謝るしか方法がない。現時点では原因の詳細が不明なので、専門のセキュリティ業者による調査の手配が取られた。そして、今後の対応などについて話し合いが行われた。

それから2日後、セキュリティ業者の調査で、原因はFTP用に使っていたWindowsパソコンのウイルス感染であることが判明した。あるアプリケーションソフトとセキュリティソフトの更新ができていなかったことで、ウイルスがこのパソコンに侵入。FTPのIDとパスワード情報が盗み取られ、H社のWebサイトが改ざんされたのだ。これは、まさに「ガンブラー攻撃」の手口だった。

改ざんされたH社のWebサイトにアクセスすると、自動的に別サイトに誘導され、その別サイトからウイルスがダウンロードされるよう仕掛けられていた。もし、改ざんされたH社のWebサイトを訪れた人のパソコンが脆弱性を持っていた場合、ウイルスに感染してしまう可能性があった。

多くの一般利用者にも迷惑をかける結果に

H社のサイトを訪れたユーザは延べ1万2千人。ウイルスに感染した人数まではわからないが、ユーザからの問い合わせや苦情は約80件とのことだった。H社のWebサイトで、個人情報の収集などは行っていなかったことは不幸中の幸いだった。しかし、経済産業省などの関係各所に報告し、復旧したWebサイトには「お詫び」を掲載。マスコミやインターネットニュースなどでも取り上げられてしまった。

調査の結果、改ざんされていたのは3日間。その間にH社のサイトを訪れたユーザは延べ1万2千人。ウイルスに感染した人数まではわからないが、ユーザからの問い合わせや苦情は約80件とのことだった。

木村さんだけの責任ではなく、E社全体の責任

問題が発生した当初、社長は私にこう言った。
「木村さん。なぜ、ちゃんとセキュリティ対策をしてなかったんだ?君の担当だろう?」
H社のWebサイトを担当していた伊藤さんからも、「木村さんがやってくれていると思っていました」と言われ、社内からはまるで今回の責任が私にあるかのように責められた。

私は、責任逃れの言い訳をするつもりはない。しかし、感じていたことを伝えた。私もみんなと同じように通常の仕事をしている。仕事が繁忙になると、パソコンやシステムの管理に十分な手間がかけられなくなることもある。いわば、システム管理を仕事の片手間にやっているようなもの。しかも、他の社員のセキュリティに対する意識は低い。現状のままでは、限界があるし、同じ過ちを犯す可能性も否めない。
「どんなに私一人がセキュリティに気を使っていても、パソコンを使う全員が意識していないと、セキュリティは成り立ちませんよ」

セキュリティに対する社員の意識が高まり、再発防止対策を徹底

セキュリティに対する社員の意識が高まり、再発防止対策を徹底ウイルス感染が、自分たちだけでなく他の会社にも、そしてたくさんの人々に影響を与えてしまうという恐ろしい現実。

社長は、自分の管理・監督が適切でなかったことや、会社としてきちんとしたセキュリティに対する教育・指導ができていなかったことに気づき、反省したらしい。伊藤さんをはじめ、他の社員たち、そして私自身も、セキュリティ対策の大切さやウイルスの怖さが身にしみてわかった。
すぐに全パソコンの各アプリケーションのアップデートを行い、パスワードはすべて変更。全社員がインターネットセキュリティや情報セキュリティについての研修で指導を受けた。そして、今後、2度と同じ過ちを繰り返さないために、全社的に「ガンブラー攻撃対策」をはじめとするセキュリティ対策の徹底に取り組んでいる。

=====この物語は実例を基にしたフィクションです。

有名企業のWebサイトが相次いで改ざんされ、大きなニュースとなった「ガンブラー攻撃」。Webサイトの改ざんによるウイルス感染には引き続き注意が必要です。
E社のようにWeb制作を行っている会社は、自らが加害者になってしまうことを忘れずに、十分に対策を行う必要があります。
今回のケースでは、世間はH社や親会社であるG社に責任があると見るでしょう。他社へWebサイト運営を委託している場合でも委託先に任せきりにするのではなく、定期的に監査することも必要でしょう。

Webサイト管理者としての「ガンブラー攻撃」対策

セキュリティソフトはもちろん、OSやアプリケーションのアップデートをタイムリーに行う

「自動更新」の設定をしておくと便利。


[アップデートや自動更新の設定方法]


セキュリティソフトは、「レピュテーション技術」を採用しているものを使う


もし、ウイルス感染したら、セキュリティソフトで駆除し、ID/パスワードを変更する

日頃から、定期的にID/パスワードを変更する。

こちらの記事を読んだ方におすすめの記事

正規Web改ざんによるウイルス感染を防ぐには

トレンドマイクロ オンラインショップ
トレンドマイクロ オンラインショップ