10月2日にサーバー管理者の大家さんからサーバーの異変についての連絡があり、その後、正常に戻すべく設定の変更をしていました。
その途中で、大家さんが抜書きしてくださったサーバーアクセスログに、作成した覚えがないディレクトリとファイルがあり、そこから不正アクセスが発覚し、昨日まで毎日調査していました。
結論としては、大阪府警察の偽サイトへ誘導するページを蔵置するための不正アクセスの手口についてにある不正行為でした。
この中で、ファイルを至る所にアップロードするのではなく、一つのプログラムのセキュリティホールから一枚のプログラムファイルをアップロードし、そのプログラムを遠隔操作で実行して新たなファイルを作成したようです。
そのファイルを移動プログラムで、プログラムとは無縁のディレクトリにまで動かし、遠隔操作で実行して、不正なプログラムやファイル群を作成するという手口です。
昨年末から今年の始めにかけて、被害に遭った、または、遭っていて気が付かないサイトが数多く存在しているようですが、何故か情報が少なく、犯人逮捕にも至っていないようです。
明確な情報を載せると、真似をしようとする人間が出て来る可能性もあるからだと思われます。
恐らく、犯人は中国人だと推測しています。
プログラムの内容が、全て簡体字中国語だったからです。
日本語も書かれていますが、テキスト等のエンコードは簡体字中国語でした。
サーバーアクセスログからは、犯人は計4人と見えます。
が、日本国内のレンタルサーバーを利用していましたが、IPが違っても、Mozillaが重なっているものが多くありました。
しかも日本国内のレンタルサーバー管理下の今は使われていないIPを不正利用している事等から、全て同一人物とも推測できます。
10月30日、サーバー管理者が動かぬ証拠を作成してくださり、改めて、大家さんの凄さに感動しました!
日本国内在住ではないと捜査権がないそうですが、たとえ犯人逮捕に至らずとも、最後まで正義を貫き通して、警察署へ被害届を出しに行く予定です。
それにしても、サーバーアクセスログを眺めていると、中国からのスパム投稿や不正アクセスしようとしているのか、存在しないファイルへアクセスしようとしている中国人が多いのにはショックでした。
中国からのアクセスを全面禁止にしない限り、今後も不正アクセスや偽ブランドサイトでの詐欺事件、個人情報漏えいが後を断たないと思います。