嵐は突然に。
ある日曜日のこと。急遽引き継ぎが発生して金曜日に打ち合わせしたシステムの設定を確認しておくか…とブラウザを開くとそこには真っ赤な画面が。
え?偽サイト? ここ、うちの組織の関係者しか使わないサイトなんですけど! ということで、どう考えてもFalse Positiveな警告に遭遇したのでした。仕方がないのでザックリとそのシステムをまずは「本当に問題無さそうか」の確認から。
実施した作業
- システムのアップデート状況。新バージョンのリリースが出てから1日以内には更新を実施しているので0dayでも無ければ大丈夫だろう、という状態。
- 急激なメトリクスの変化がないかを確認。特に怪しげなスパイクはない…。
- Auditlogなどを確認して怪しげな動作してないかな、をチェック。この1日の間でログイン試行してきてるネットワークの管理者には先に問い合わせ(しかし、abuse@ がエラーになるなどするのも)
- 上記をざっと確認した上で、関係者に連絡→社内Slackに展開。
- 管理者間でGoogle Meetで急遽打ち合わせしてタスクを分担して作業。
- システムベンダのサポート窓口に「同様の事象は確認できてないか?」を問い合わせ
- Googleのドキュメントから<strong>Google Search Consoleにてドメイン所有者の確認ができるようにコードを取得→DNSでTXTレコードに設定</strong>
その後の経過・その1
おそらく最後のSearch Consoleからの登録が効いたのでしょう、同日19時頃にはブラウザでの警告はでなくなりました。やれやれ、と社内に「問題は解決しましたよ」と案内。
…ところがホッとしたのもつかの間、翌日月曜に社内のユーザーから「ウィルスバスターが警告出してくるんですが!」との連絡が。
恐らく何らかのレピュテーションDBを参照していて遅れてその情報が反映されているのでしょうが、これにはどうしようもないので「把握しています、先に案内したように誤警告です」とユーザーと情報システム部に連絡、情報システム部からトレンドマイクロ社のサポートに問い合わせ。後日「こうやって除外URLに設定してください」との案内が来ました。
その後の経過・その2
その間にSearch Consoleからは「問題ないのを確認しました」とのメールが。ですよねー…。
さらに、AWSのAbuse窓口から当該インスタンスの管理者宛に何度か問い合わせが来ていたようで、それが私の手元に転送されてきました。
慌てて「これはうちのシステムで詐欺サイトじゃない!」と返信、しばらくすると「了解、削除した」との連絡が。こちらもインスタンス停止を何とか逃れたのでした。やれやれ。。。
