これまでにわかったこと

» 2015/03/05

悪夢の続き－フェードイン

（このお話はフィクションです。実在の人物や団体などとは関係ありません。）

（1月4日の未明に、私はA課長からの電話で起こされた。中国販売会社のサイトがハッキングされ、顧客情報が漏えいしていたことがわかったのだった。急きょ開かれた対策会議の後、B部長によって急ごしらえのCSIRT室が作られた。私を含め、その会議の出席者がログ解析、サーバの調査などの作業に追われた。Cさんがデータベースまわり、DさんがWebアプリまわり、OS・ミドルウェアまわりはEさんと私が担当した。そこでわかってきたのは、何回かにわたってデータベースが抜き取られていた事実、データベースからの抜き取りをするプログラムがサーバにおかれていた事実、だった。）

「ありました。サイト改ざんの道具が。」
サーバの中のファイルを調べていたDさんが言った。
「ファイルをアップロードするツールです。多分、正しいリンクが入っているファイルに上書きしたんだと思います。」
「ツールのファイルの日付は古いですが、これは本番環境を構築するときによく使われるアップロードツールなので、前からずっとあったとは限りません。本番環境構築時に使われていたツールを削除するのを忘れていて、それが悪用されたのかもしれませんし、侵入者がここにそのファイルを仕込んだのかもしれません。」
「サーバのバックアップを見れば、いつからあるのかわかるかもしれませんね。」

その日、私たちは北京にいるB部長、A課長とテレビ会議をして情報交換をした。幸い本社の人間だけの会議なので日本語だった。
「サーバの中に、ファイルをアップロードするツールXと、データベースのデータをダウンロードするツールYが見つかりました。ツールXを使ってファイルをアップロードし、リンクの改ざんが行われたと思われます。ツールYを使ってデータベースからデータを取り出したもようです。」
「改ざんされたリンク先へ行くと、知らない間にマルウェアがダウンロードされてインストールされ、PC内にある情報が、外部のサーバに送られるようになっていたようです。これは推測ですが、侵入者はマルウェアによって送られてきた個人情報とデータベースから取り出された個人情報を売るつもりで、売買のためのサンプルとして、一部を掲示板に掲載した。そんなストーリーだと思います。」
A課長とB部長は少し疲れた様子で、Eさんの報告を聞いていた。
「データベースから取り出された個人情報は何件ですか。」
「重複を除くと200件です。」
「侵入者のIPアドレスは分りましたか。」
「侵入者と思われるIPアドレスは複数あります。ツールYを使ってデータベースにアクセスしていたIPアドレスがいくつかわかっています。」
「そのIPアドレスの地域はどのあたりですか。」
「中国と日本です。」
「日本のIPアドレスはどこかISPベンダーのものですか。」
「そうです。動的に割り当てられるIPアドレスです。」
それまでずっと黙って聞いていたB部長が言った。
「日本のIPアドレスから、もしかしたら侵入者が特定できるかもしれないね。」
B部長はそれからまた黙って考え込んでいた。