誤検知は続くよどこまでも。人生初のサーバアカウント凍結

無料素材倶楽部は、これまで何度か有害サイト(ウィルスかマルウェアかは知らん)判定されてきました。

ウィルスサイトと誤判定されていた日々-通りがかりのWeb管理者さんへ
http://sozai.7gates.net/blog/docs/virus-alerted/
またもウィルスサイトと誤判定される-Yさんへの感謝状
http://sozai.7gates.net/blog/docs/virus-alert2/

その都度誤検知であったのですが、実は今年1月にはまた誤検知(おそらく)が原因で、人生初のサーバアカウント凍結の憂き目にあってしまいました。
私の場合、リアルタイムではどうしても冷静さを欠いて誤解を招きそうな気がして、常に後日談のような形になってしまうんですが、サイトを運営する上で、こういうケースもあるよ、と参考までに。

今年2013年1月19日、サーバー上にアップロードしたプログラムの脆弱性を突かれる等により不正なファイルをアップロードされた可能性が高い、ということで、ファイルのリストと共に、サーバ会社(Xserver)からアカウント凍結および
「全削除して構築しなおしてね」という意味のメールがきました。
このサーバでは、アカウントが凍結されるとすべてのURLへの応答は403Forbiddenになります。
自サイトでどこまでも続く403を見るのってそこそこ心臓にこたえます。
「ええええええ、不正アクセス~ぅ!?」
「凍結」経験が一度もない我が身にとっては、アカウントともども、自分も凍りついた感じ。調べてみると

  • PCについては定期的にウィルスチェックは行っており、感染はしていない(インストールしているソフトを信頼するとすれば)。
  • その後、リストアップされたファイルをDLしセキュリティーソフトでスキャンしても何もでない。
  • 検知される前のファイルと差分チェックしても特にない。
  • さらに、目視でチェックしても、差し込まれたソースは見当たらない。
  • DBの変更も特に見当たらない。
  • ソース内に変なリンクはないし、該当URLのページをローカルサーバにおいて、ブラウザ表示しても、どこかに勝手に接続して何かを勝手にインストールする等、怪しい動作はしない。

これまでの経緯と、上記の点から、「ひょっとしてまた誤検知?」と疑念が湧きまして、その旨を書き添え、再度、詳細を訊ねるメールをサポートに送ったところ、
「会社で使っている某社外部サービスでウィルス検知したため、社内で精査したところ、同様な検知をしたため今回の凍結となった。ファイル誤検知があったか否かについては自社では特定は難しい状況なので、某社に直接聞いてくれ」
という意味の回答がすごく丁寧な言葉で送られてきました。

その回答内に、某外部サービスのウィルス検知URLと問合せ先(別々のURL)が記載してあったので見てみますと、そのサイトに以下の記載が。

DISCLAIMER
This service is provided “as is” and “free” (and may be cancelled or changed by the provider at any time), without warranty of any kind, express or implied, including but not limited to the warranties of merchantability, fitness for a particular purpose and non-infringement. In no event shall the provider of this service be liable for any compensation, claim, damages or other liability, whether in an action of contract, tort or otherwise, arising from, out of or in connection with this service.

上記の英文、要は「免責条項」で、無償・無保証で提供しているサービスなので、不都合があっても責任取れんし、クレーム受け付けません。というような意味です。

これを知った時点で、頭にこなかったかというと嘘になります。
自身がそれを知っていて使用したサービスではなく、契約したサーバ会社の都合だけで使用している(当然、フリーウェア/免責条項も知っているはず)、それを顧客の私に直接問い合わせろ、と言っているわけですから。
しかも、上記の免責については、英語サイトですが、その企業サイトは別ドメインの".de"。そう、ドイツのサイトです。
英語で記述されたページに関する問合せをドイツ人に書け!と言っているわけです。


「免責条項付フリーウェアに誤検知の問合せしても無駄じゃん。逃げの一手を打ちやがったなー!!」
その点に関して、怒りがふつふつ湧いたことを覚えています。

けれども、そこに関してサポートにクレームをつけたか、というと答えは「NO」です。

理由は2つあります。

サーバ凍結→自己検証→サポート依頼メール送付→回答を待ちながら、48時間程度経過した頃でしょうか、Googleの検索結果から当サイトのURLが消え始めました(圏外に飛んだというのが多分正しい)。
このまま徒に時間を過ごすのは超まずい。とっとと全削除してクリーンに再構築し、凍結を解いた方が現実的で早いと考えたのがまず一つ。

あともう一つは、サーバ管理者は"組織の一員として"「社内規定」にのっとってマニュアルどおりに処理を行っているわけで、契約者個々の思惑より、サーバ自体の安全な運用が優先するのは当然だからです。

私は仕事であれ、個人使用であれ、レンタルサーバのサポートにメールを送ったことはほとんどありません。
ただ、送る必要がある時は、何故かほとんど週末になって、今回もやっぱり週末、だから、回答は日曜はさんで翌週と思っていました。それが土曜に丁寧に回答をしてくれまして待ち時間が短縮できた分、とても有難かったのです。
これまで、他のサーバ会社で土日回答してくれたことはありませんでしたので。

共用サーバ内で、不正アクセス、ファイル改ざん・設置とか言われて、まず自分が置いたファイル、または使用しているCMS等の脆弱性をつかれて、隣人ユーザにご迷惑をかけてしまったのか、とか、踏み台にされて大量のスパムメールを送られているのか、とか心配しましたが、そこはないと確信できたので一安心してましたし。

誤検知か否か? という点においては、個人的には現在においても誤検知と判断しています。
けれど、検知したファイルについて全ログをいただけたことで、ソースのどの部分が、ウィルスなりマルウェアなりと検知されてきたのか、ようやく完全に分かりましたし(一行のjavascript)、ほったらかしのテスト用ごみファイルもお片づけできました。

サーバ・セキュリティ管理って基本的に「よくやった」とほめてもらえない仕事です。
ちゃんと運用してて当たり前。不具合・障害でも起こったら、ユーザにぼろかすに言われます。
メンテナンスは基本、夜中仕事、障害起きれば休み返上当たり前なのに、いつも夜中仕事ありがとうね、とかお礼言ったことのあるユーザって皆無に近いのではなかろうか、と思えてきて。

契約以来、このサーバについては、多少重くなる程度のことはあっても、障害知らずでのほほん運営できてます。
この機会に、契約期間分(5年以上分)の「ありがとう」をちゃんと言葉にしておいてもよいのではなかろうか?
というわけで、担当していただいたサポートスタッフの方に精一杯お礼を述べて終了にしました。

当時、免責条項を見た時点で、問合せを送る気は失せましたが、もし同様な目にあった場合、海外に問合せをするなら、以下のような英文で言いたいことは通じるでしょう(多分)


Dear Sirs and Madams

I'm Hoge Hoge (自分の名前),the owner(/or a staff) of "xxxx.com(ドメイン名).
Recently I was notified that some pages(or files) of my site were detected as malicious
by your security tool(セキュリティ・ツール名).
Detected URLs list:
(検知されたURLの羅列)


But I don't think these urls are malicious after careful investigation by myself.
It might be a kind of misdetection.
I'd appreciate if you could reply whether or not the listed urls were misdetection.

Best Regards

XXXXXXX(名前)
******@xxx.com


意訳

xxxx.comのオーナー(運営スタッフ)をしております、HogeHogeと申します。
最近、私のサイトのページが、御社セキュリティツールで
”有害”検知されたと知らされました。
しかしながら、当方で精査しました結果、有害であるとは思えません。
誤検知かどうかお知らせいただけますと有難いです。


もちろん、免責があれば華麗にスルーされるか、または、それを盾にしてFA(ファイナルアンサー)。
免責なしだとしても、自分自身が直接のユーザでもなし、セキュリティー上、どこがどのように
まずいのか逐一教えてくれる確率は非常に低いと思います。とはいえ、
対応してくれるスタッフによっては誤検知か否か? Yes/Noくらいは教えてくれるかもしれません。

全サイト403 Forbidden を喰らっているような状態では、相手に
ソース、キャプチャ画像等を一式送る必要があるでしょう。また、
自分が正当なサイトオーナーであるかどうか、という証明も必要かもしれません。
・・・・・思っただけで、超だるいです。

個人の趣味用に借りているサーバスペースなので、しのごの言わずに
公開ディレクトリ全削除・DBリストア・再構築がベストチョイスだと思いながら、同時に
自分はECやビジネスサイトの担当者でオーナーが他人、誤検知・アカウント凍結→
海外に問い合わせろという対応をされた場合、どう対応するのが正解なんだろうと思ってみたり。
ともあれ、二度と「凍結」経験はしたくありません。

最後に、自サイトURLが検索結果から消えていくのを発見した時、
関連検索で「無料素材倶楽部 表示できない」という検索をしている人(というか検索語)を見まして、ちょっと涙する想いでした。
こんな吹けば飛ぶよな、間に合わせ用素材サイトであっても、表示できないのは何で? と疑問に思って探してくれた人がいたのね、と思うと、維持していく意義はあるのかもしれないなあ、としみじみ。