某庁
某庁から電話がありました。「庁」といっても国家機関ではなくて、東京都所属の庁。要旨はこんな。電話の後にメールもきたのでまぁ間違ってない。
- あなたのところのウェブサーバで参照できる「あるファイル」がマルウェアである。
- あなたのところのウェブサーバのIPアドレスとそのファイルからのアクセスがあるという情報があった。
- ファイルはすぐに削除せずに保存、不正なプロセスが動作してないか、ログを保存せよ。
- 今すぐ向かう。
後ろを向いて両手を頭の上の載せろ。
えー、マジですか。電話があった日はお休みしていて、他の人が電話をとったんですが、即呼び出しされて出社。
「あるファイル」っていうのは画像ファイルで、数キロのサイズのgifアイコンファイル。探してみると、Zopeのプロダクト中に発見。あるプロダクトが使用しているアイコンのファイル。ずぅっと昔からあるファイルですよ。まぁ、Aquireのせいで意図しないURIで見えているのではありますが。50Kそこそのファイルでマルウェアって?そんなわけないよねぇ。
と情報収集、整理しているうちに某庁の人たち到着。で話を聞くと最初の情報と全然違う。曰く
- マルウェアに感染したPCの動作として「あるファイル」へのHTTP GETが報告されている。
- 某情報筋からあなたのところのウェブサーバへのアクセスがあると情報があった。
- われわれはなにか技術的な調査、検証は一切していない。
とのこと。やれやれ。結局アクセスログを参考資料として持ってかえってもらいました。ま、なにもなくてよかったです。