セキュリティ動向や個人的に思うことなど自分本位に書いていきます。おヒマな時にでもどうぞ。
「GumblarってGENOウイルスのこと?」的な質問を最近よくされる。
8080系マルウェアとかGENOウィルスとか呼ばれていた、最近またGumblarとか呼ばれ話題になっている類のマルウェア。その実態とか脅威とかについては既に色々なところで語られているし、今更ここで書くこともないと思う。もちろんGENOウィルスと呼ばれていたものと現在Gumblarと呼ばれているものとでは色々と(恐らくは仕掛けた相手も?)変わっているし、亜種もあるし、当時の対処法がそのまま全てあてはまるというわけでは決してない。
なぜ今これを書いているかというと、先日とある知人から個人的に「GENOウイルス」被害について相談されたのだが、その事例が個人的に興味深かったのだ。
本事例の概要
・とある小規模ECサイトがGENOウイルスによって改ざんされた
・依頼主である会社は、とある小さなWeb制作会社に制作/管理/運営全てを委託している
・従って依頼主の誰ひとりとしてFTP権限は持っていない
・ECサイト上の顧客リストも、制作会社にCSV形式なりで出してもらう(有償)以外に閲覧方法はない
・サイト改ざんにより営業活動に支障をきたした依頼主は、早急に復旧させるよう要求
契約内容云々の件はともかく、ここまでは話の筋は分かる。だがここから徐々におかしくなる。
・制作会社は「ウイルスが原因だからお前らのPCからウイルスを駆除しろ」と連絡
・依頼主は社内PCのウイルス駆除を実施、ECサイト停止期間の損害賠償をちらつかせ復旧を再度要求
・制作会社は逆に「サイトが使えなかった時期」の利用料を支払うよう依頼主に要求、民事裁判を起こす
・裁判にて制作会社は「サイト改ざんはウイルスが原因であり自分たちに責任はない」と請求の正当性を主張
・依頼主は「ウイルス感染の証拠はない」と反論
・制作会社は改ざんされたサイトのソース(をプリントしたもの)を証拠として提示(データ自体はないとのこと)
・依頼主が私に「ソースがウイルスではないと証明したい」と相談しにきた <いまココ
えーと。
どこから突っ込めばよろしいのでしょうか?
ご存じのように、このマルウェアはサーバを直接叩いてサイトを改ざんするのではなく、ユーザのパソコンに存在するFTPの権限を利用してサーバに侵入しサイトを改ざんするタイプのものだ。今回の事例では、依頼主の側のパソコンにはFTP権限は存在しない。よって感染したのは制作会社および関係者のいずれかのパソコンである可能性が非常に高い。一般論で考えれば制作会社側はこうしたミスを謝罪し菓子折りのひとつでも持っていくとか何らかの対応を取るか、場合によっては恥ずかしいので先方に気付かれないうちに修正し知らん顔をするかもしれないなぁ、と思う。
またhtmlをプリントアウトしたものをざっと見る限りは当時話題だった典型的なパターンのようだが、そもそもプリントアウトしたソースなど何の証拠能力も持たない。まぁ、なんで元データがないのとか他にも突っ込みどころはあるのだが、ていうかそもそもなんで争点が「ウイルスの有無」になっているのかがよく分からない。ウイルスの存在は前提として、感染の原因とサーバ管理責任の所在が争点だろうと思うのだが、なぜ司法の場で「ウイルスのせいだ」、「いやそうじゃない」といった言い争いになるのか。
今回の事例では、依頼主・制作会社・裁判所の三者間で「本来こうした業務の管理責任がどこにあって、こうしたことが起こる原因は何なのか」という基本的な部分での認識がそれぞれバラバラ、ていうか誰も正解を知らないせいで、論争が明後日の方向へ進んでいっているように思う。これではいくら話しあったところで正しい結論など出るはずもない。
リテラシ云々とはよく言われるが、本来とはぜんぜん違う意味でGumblarとかGENOウイルスとかの脅威(?)を目の当たりにした、そんなお話である。