ブラジルからハッキング 恐くて怖い話

去年（2012年）12月、知り合いの車内装やさんのサイトを見ると「404 Not Found」が表示されていた。 このサイトのftp情報を知っているのは僕だけのはず…。まず頭をよぎったのは支払いをし忘れたか…。サーバ代も立て替えてから払ってもらっているので、支払い忘れた可能性がある。慌てて管理画面を見ると…更新は翌2013年6月だった。 次に思い浮かんだのは、ちょっと前に頼まれて載せた写真が、著作権にでも引っかかって、管理会社がトップページを変えてしまったということ。 FFFTPでアクセスしてみると、index.htmlがindex.phpに変わっている。それといままで無かったsys.phpとsys.txtの2つのファイルとjsというディレクトリが出来ている。もし、先の画像に問題があれば、管理会社から連絡があるだろうと思い、とりあえず追加されたファイルをすべてダウンロードしたあと削除し、元のindex.htmlをアップロードしておいた。 ダウンロードしたファイルを見てみると…銀行系のアイコンとそれに対応するように同じ名前のphpファイルが多数あった。これは明らかに怪しいのである。 管理会社には問い合わせフォームから勝手にファイルが書き換わった旨と、ハッキングでしょうか？…と質問しておいた。 アップロードされた日付を見ると12月8日となっていたので、1週間ほど気がつかなかったみたいだ。 翌日、とても不安な気持ちを抱えたまま、サイトを開いてみると…なんと！ 再び「404 Not Found」。すぐにFFFTPでファイルをチェックすると、昨日削除したはずのindex.phpまたもやアップされている。しかも、今度はjsではなくimgという名前のディレクトリが追加されていた。jsもimgもディレクトリの名前としては一般的なものであり、気がつきにくいといえば気がつきにくい名前だ。明らかに、「気がつかれちゃったから、今度は名前を変えてアップしてみよ～」って感じである。 こわ～い！ と怯えている場合ではない。すぐに車内装やのおっさんに電話する。久しぶりの電話なので、百日咳で2度も救急車で運ばれただの、景気が悪すぎて店たたまなきゃだの、相変わらずの馬鹿話のあと、衝撃の事実を告げると…「あ、そうなの。調べてみてね。」と軽いのりで終わってしまった。 今度はindex.htmlを戻したのはもちろん、サーバアクセスのパスワードを変更した。 翌日、サーバ管理会社から回答が来た。 「お客様のサーバー内をお調べ致しましたところ、サーバー領域でのFTPアクセスログから判断しまして、接続元がブラジル(br)より、FTP接続が行われている様です。」 ということだった。 確かにダウンロードしたphpプログラムの中に「xsisten.com」というドメイン名があり、Whoisを見てみると、Country:BRASILとなっている。 また、「WP_USE_THEMES」とか「/wp-blog-header.php」とかあったので、wordpressが使われていたようだ。 外部へ情報が漏洩した可能性があるということだったが、それは考えにくい。ここ数ヶ月、このサーバへはアクセスしていないし、もっと重要なサーバ情報などと一緒に保存してあるので、何もこのサイトだけ…とはやはり考えられないのである。 それでは何故か…。この車内装やさんのサイトは、フェラーリだのロールスロイスだのと、（仕事がない割に）高級車ばかり扱っているので、海外から目立ってしまった…。IPアドレスはすぐに解るから、あとはパスワードをランダムに発生させるプログラムがあれば、ftpアクセスくらいなら簡単なこと…かもしれない。確かにそれまで設定してあったパスワードはすごく単純なものだったと思う。そのくらいしか考えられないのである。 ftpのパスワード変更と、FTP接続制限を実施し、登録したIPアドレス以外は、FTP接続を禁止する設定をしたので、これで、今はやりの遠隔操作でもしない限り、再び不正アクセスされることはないと思う。 今思うと、去年体験した一番恐ろしい出来事だった。