PCがウイルス感染→設定情報が漏れる？→FTPで不正アクセス（てか、あけとくなよ・・・FTP)

ウイルスの種類は特定されておらず、現在も調査中。感染すると、sqlsodbc.chmファイルが改変されるほか、ウイルススキャンやコマンドプロンプト、レジストリエディタを実行できなくなる。Internet Explorerの動作が著しく不安定になる症状も発生。FTP通信の監視や設定情報を盗聴し、設定情報を取得したWebサーバの改ざん行為を行う可能性もあるという。

　調査の結果、不正アクセスは以下の手順で自動的に行われた可能性があることが分かった。

1. 薬事日報ウェブサイトを管理していたPCの1台がウイルスに感染
2. ウイルスが感染PCのFTP通信を監視
3. ウイルスは感染PCがFTP通信で使用した設定情報を記録
4. ウイルスが記録した設定情報を外部のサーバに転送
5. 外部サーバは設定情報を利用して、薬事日報ウェブサイトへFTP通信で不正アクセス
6. 外部サーバが薬事日報ウェブサイトのhtml、php、jsなどのファイルの一部をダウンロード
7. 外部サーバはダウンロードしたファイルに悪意のあるスクリプトを挿入
8. 外部サーバはスクリプトを挿入したファイルを薬事日報ウェブサイトにアップロード（改ざん）

　同社では不正アクセスを受けたWebサーバを停止し、新規にWebサーバを構築して、一部サービスを再開した。コンテンツ管理システムやFTP通信の設定も併せて変更したという。また、WebサーバへのFTP通信は専用マシンに限定し、すべてのPCに導入しているウイルス対策ソフトウェアの運用も見直すとしている。同社内で感染の疑いのあるPCについて、OSをクリアインストールし直した。

サイト改ざんの経緯、薬事日報社が詳細説明 - ITmedia エンタープライズ