米国Emurasoft, Inc.(エムソフト)では2014年8月、同社が提供するテキスト・エディタ「EmEditor」の自動更新サーバが不正アクセスを受けた。事態の発覚から迅速かつ継続的に情報公開が行われた点や、影響範囲、今後の対策に至るまで詳細に伝えた点などが支持され、今年2月に開催された『セキュリティ事故対応アワード』で優秀賞を受賞した。

突如現れた、謎のファイル

Emurasoft, Inc.の代表で「EmEditor」の開発者でもある江村豊氏が最初に異変に気づいたのは、2014年8月18日の午前3時20分頃(日本時間)のことである。Word Pressのセキュリティ・プラグインから毎日送られてくるファイルの変更内容の中に、いつもと違うファイルが2つ存在していたのだ。それは、EmEditorの更新定義ファイルが置かれているディレクトリの配下にある「.htaccess」と「editor.txt」だった。サーバ会社によって最後のバックアップが行われたのが8月18日の22時36分であったことから、それから約5時間弱の間に何者かによって置かれたファイルであることがわかった。

江村氏は、当時を次のように振り返る。

「最初のうちは、これらのファイルの存在がサイバー攻撃によるものだとは考えていませんでした。この時の行動で私が”失敗した”と強く後悔しているのが、特に問題があるとは思わずに『editor.txt』を削除してしまったことです。このファイルは実際の更新定義ファイルに似ていたのですが、削除せずに残しておけば、その後、より詳細に状況が把握できたことでしょう。後で気づいて、深く反省しました」

Emurasoft, Inc. 代表 江村豊氏

Emurasoft, Inc. 代表 江村豊氏

江村氏が事の深刻さに気づいたのは、.htaccessの中身を確認した時だった。見覚えのない複数のIPアドレスが列挙されていたのである。記載されているIPアドレスから更新チェック機能を利用すると、リダイレクトされて悪意のあるファイルがインストールされてしまう可能性があった。

「どうしてそれらのIPアドレスが攻撃対象になったのかはわかりません。問題のeditor.txtを削除してしまっていたため、本当にマルウェアがリダイレクトされていたのかどうかも判断できませんでした」(江村氏)

ただし、その後のJPCERT/CCなどの調査によると、サイトが改ざんされた期間中にリダイレクトされたIPアドレスが2件存在していたのだが、JPCERT/CCを通じて発信元のIPアドレスのユーザーへ連絡したところ、いずれもマルウェアへの感染はなかったことが判明している。

「あくまでも私の想像ですが、攻撃者が具体的な行動を起こすまでの準備段階でこちらが気づけたのではないかと見ています。もう少し発見が遅かったら、手遅れだったかもしれません」と江村氏は語る。

>> 事件を乗り越えた江村氏が考える、今後必須のセキュリティ施策とは?