本件コンピュータウイルスに対し、現時点で小社が把握しております情報をまとめます。
不正アクセスとウェブサイト改ざん
2009年4月17日(金)午前6時頃、薬事日報ウェブサイト(https://www.yakuji.co.jp/)に不正アクセスがあり、一部のファイルに改ざんを受けました。改ざんされたファイルが公開されていた下記期間に当サイトにアクセスされた場合、小社とは無関係の外部サイトに不正に誘導される可能性があったことを合わせて確認いたしました。
コンピュータウイルス感染の可能性
該当期間に薬事日報ウェブサイト(https://www.yakuji.co.jp/)にアクセスされた場合、ご使用のパソコンがコンピュータウイルスに感染した可能性がございます。心当たりのある場合は、誠に恐れ入りますがウイルススキャナなどで感染の有無をご確認いただきますようお願い申し上げます。
該当期間 : 2009年4月17日(金) 06:00-19:30
- a-squared Free
http://www.emsisoft.jp/jp/software/free/ - トレンドマイクロ オンラインスキャン
http://www.trendflexsecurity.jp/free_security_tools/housecall_free_scan.php - カスペルスキー オンラインウイルススキャン
http://www.kaspersky.co.jp/virusscanner
なお、本件コンピュータウイルスに関しましては、下記ご指摘をいただいておりますのでご注意ください。
- 本件コンピュータウイルスの感染後はウイルススキャンが不可能になる可能性がある
- 本件コンピュータウイルスに感染したPCへの対応はクリーンインストールが望ましい
本件コンピュータウイルスの名称など
現時点では、コンピュータセキュリティ関連企業などによる正式名称は確認できておりません。
感染した場合の症状
本件コンピュータウイルスに感染した場合の症状につきまして、現時点で小社が認識しておりますものは下記の通りです。
- sqlsodbc.chmの改変
- コマンドプロンプト・レジストリエディタが起動不能
- Internet Explorerの動きが著しく不安定となる
- PCのFTP通信を監視、「設定情報」を記録(推測)
- 「設定情報」を取得したウェブサーバの改ざん
不正アクセスの調査について
これまでの調査の結果、不正アクセスの工程につきましては、次の様に推測しています。
- 「当サイト」を管理していた「社内PC」1台にコンピュータウイルスが感染
- コンピュータウイルスは感染した「社内PC」のFTP通信を監視
- コンピュータウイルスは感染した「社内PC」のFTP通信で使用された「設定情報」を記録
- コンピュータウイルスは記録した「設定情報」を小社とは無関係の外部サーバーに転送
- 外部サーバーは「設定情報」を利用し「当サイト」にFTP通信で不正にアクセス
- 外部サーバーは「当サイト」の html,php,js等のウェブ関連ファイルの一部をダウンロード
- 外部サーバーはダウンロードしたファイルに悪意あるスクリプトを一定条件のもとに挿入
- 外部サーバーはダウンロードしたファイルを「当サイト」にアップロード
以上の工程は自動的に行われる。
安全対策1:ウェブサーバーの変更
不正アクセスの工程について推測が外れても被害を出さないよう、不正アクセスを受けたウェブサーバーは公開停止とし、別途、新たなウェブサーバーを構築いたしました。現在、当サイトは不正アクセスを受けたサーバーではなく、それとは別の新サーバーで配信されています。これにともないCMS(Contents Management System)、FTP(File Transfer Protocol)設定などもすべて変更いたしました。
安全対策2:運営体制の見直し
当サイトの運営体制を次のとおり修正いたしました。
コンピュータウイルスの感染が否定できない社内PCにつきましてはOSのクリアインストールを実施しました。またウェブサーバーへのFTP通信は専用機を用意し、それに限ることにいたしました。さらに、社内PCにはすべてアンチウイルスソフトがインストールされておりましたが、コンピュータウイルスの感染が防げなかったことから、ウィルスチェック体制の見直しを行うことといたしました。
薬事日報ウェブサイト運用の再開について
薬事日報ウェブサイトへの不正アクセスによって一部ファイルが改ざんされた件に関し、2009年4月17日より当サイトの運用を停止しておりましたが、2009年4月22日より安全確認が終了したものから順に運用を再開しております。
HEADLINE NEWS、YAKUJINIPPO Mail News 等の配信につきましては来週月曜日からの再開を予定しております。
その他お知らせ
当サイトが改ざんを受けた2009年4月17日に当サイトにアクセスした方々のうち、ウイルス対策ソフトで感染前に検出が行われ感染が防ぐことができた、との情報が寄せられています。一方、当サイトにより感染されたと疑われる方からも3件のご報告がございました。
なお、本件による個人情報の流出はございません。
また、小社が運営いたします有料会員制サイト「YAKUNET」(http://yakunet.yakuji.co.jp/)は本件とは無関係であり、被害も発生していないため通常運用を継続しております。
お詫び
皆様にはご迷惑とご心配をおかけいたしましたことを心よりお詫び申し上げます。
2009年4月24日
株式会社 薬事日報社
<本件に関するお問い合わせ窓口>
MAIL:info@yakuji.co.jp