本件コンピュータウイルスに関するこれまでのまとめ

2009年04月24日 (金)

　本件コンピュータウイルスに対し、現時点で小社が把握しております情報をまとめます。

不正アクセスとウェブサイト改ざん

　2009年４月17日(金)午前６時頃、薬事日報ウェブサイト（https://www.yakuji.co.jp/）に不正アクセスがあり、一部のファイルに改ざんを受けました。改ざんされたファイルが公開されていた下記期間に当サイトにアクセスされた場合、小社とは無関係の外部サイトに不正に誘導される可能性があったことを合わせて確認いたしました。

コンピュータウイルス感染の可能性

　該当期間に薬事日報ウェブサイト（https://www.yakuji.co.jp/）にアクセスされた場合、ご使用のパソコンがコンピュータウイルスに感染した可能性がございます。心当たりのある場合は、誠に恐れ入りますがウイルススキャナなどで感染の有無をご確認いただきますようお願い申し上げます。

　該当期間　：　2009年４月17日(金) 06:00-19:30

a-squared Free
http://www.emsisoft.jp/jp/software/free/
トレンドマイクロ　オンラインスキャン
http://www.trendflexsecurity.jp/free_security_tools/housecall_free_scan.php
カスペルスキーオンラインウイルススキャン
http://www.kaspersky.co.jp/virusscanner

　なお、本件コンピュータウイルスに関しましては、下記ご指摘をいただいておりますのでご注意ください。

本件コンピュータウイルスの感染後はウイルススキャンが不可能になる可能性がある
本件コンピュータウイルスに感染したＰＣへの対応はクリーンインストールが望ましい

本件コンピュータウイルスの名称など

　現時点では、コンピュータセキュリティ関連企業などによる正式名称は確認できておりません。

感染した場合の症状

　本件コンピュータウイルスに感染した場合の症状につきまして、現時点で小社が認識しておりますものは下記の通りです。

sqlsodbc.chmの改変
コマンドプロンプト・レジストリエディタが起動不能
Internet Explorerの動きが著しく不安定となる
ＰＣのＦＴＰ通信を監視、「設定情報」を記録（推測）
「設定情報」を取得したウェブサーバの改ざん

不正アクセスの調査について

　これまでの調査の結果、不正アクセスの工程につきましては、次の様に推測しています。

「当サイト」を管理していた「社内ＰＣ」１台にコンピュータウイルスが感染

コンピュータウイルスは感染した「社内ＰＣ」のＦＴＰ通信を監視

コンピュータウイルスは感染した「社内ＰＣ」のＦＴＰ通信で使用された「設定情報」を記録

コンピュータウイルスは記録した「設定情報」を小社とは無関係の外部サーバーに転送

外部サーバーは「設定情報」を利用し「当サイト」にＦＴＰ通信で不正にアクセス

外部サーバーは「当サイト」の html,php,js等のウェブ関連ファイルの一部をダウンロード

外部サーバーはダウンロードしたファイルに悪意あるスクリプトを一定条件のもとに挿入

外部サーバーはダウンロードしたファイルを「当サイト」にアップロード

　以上の工程は自動的に行われる。

安全対策１：ウェブサーバーの変更

　不正アクセスの工程について推測が外れても被害を出さないよう、不正アクセスを受けたウェブサーバーは公開停止とし、別途、新たなウェブサーバーを構築いたしました。現在、当サイトは不正アクセスを受けたサーバーではなく、それとは別の新サーバーで配信されています。これにともないＣＭＳ（Contents Management System）、ＦＴＰ（File Transfer Protocol）設定などもすべて変更いたしました。

安全対策２：運営体制の見直し

　当サイトの運営体制を次のとおり修正いたしました。

　コンピュータウイルスの感染が否定できない社内ＰＣにつきましてはＯＳのクリアインストールを実施しました。またウェブサーバーへのＦＴＰ通信は専用機を用意し、それに限ることにいたしました。さらに、社内ＰＣにはすべてアンチウイルスソフトがインストールされておりましたが、コンピュータウイルスの感染が防げなかったことから、ウィルスチェック体制の見直しを行うことといたしました。