この事件？事故を見て２つの実体験を思い出した．


簡単なパスワードでRDPを空けておいたら、数時間でハッキングされマイニングツールを仕込まれた話
https://internet.watch.impress.co.jp/docs/column/shimizu/1195372.html

　１つは，2001年の夏だったかな．うっちゃん（誰？）とスガちゃんと３人で，某データセンタに行きました．
　私とスガちゃんは既存Solaris場で動くDBサーバの調整，うっちゃんは新規のiモードのサイトを構築．新規サイトはWindows 2000サーバにIISという環境だったのだけれど，その日はOSをインストールしてIISが立ち上がったところまでで作業終了．データセンタ近くの居酒屋で三人でビール飲んで帰宅．

　翌日，うっちゃんが「なんか変な画面が出ている」というので見て見たら，ワームに感染していた．Code Redというワームでした．インデックスサーバの脆弱性を狙ったもので，このワームの増殖トラフィックのために当時インターネットが麻痺したと言われてました．

マイクロソフト セキュリティ情報 MS01-033 - 緊急
Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される
https://docs.microsoft.com/ja-jp/security-updates/securitybulletins/2001/ms01-033

　この時の敗北は，３点．

・OSをインストールしてそのあと必要なパッチを当てることまでしなかったこと．
・使ってもないインデックスサーバを稼動さえていたこと
・まだ準備できてないのにインターネットにオープンにしていたこと．

　まだ救われたのは，この時は増殖する以外にの，例えばファイルの破壊行為はなかったし，感染しているぞとわかるページを残していて発見しやすかったことかな．

Code Red ワームに対する警告
https://docs.microsoft.com/ja-jp/security-updates/planningandimplementationguide/19871744?redirectedfrom=MSDN

　そして2回目は，2007年ごろかな．外部からのメンテナンス用に，当時SSHサーバをSpringboard(踏み台)として使っていたのだけれど，そこにある安田のおっちゃんのyasudaユーザが乗っ取られてしまった．
　発見したのは，偶然見つけた2chの記事．「不正アクセスしてくるIPを晒すスレ」にSprinbboardサーバが出ていたのでした．見つけたきっかけはSpringboard場で動かしていたWebサーバにアクセスしようとブラウザの検索バーにホスト名を入れたら，HTTPアクセスではなく検索になってしまったことという，本当に偶然．．．

　不正通信の状態を見ると，ノルウェーのIPアドレスから，yasudaユーザでログインされてIRCのリレーサーバが設置されていました．安田のおっちゃんに聞き取りしたら，アカウント払い出ししたあと，簡単なパスワードに変更してそれっきりにしていたそうで．．．

そのSpringboardサーバはLinuxサーバだったのだけれど，隠しフォルダを使って送り込んだファイルを隠蔽していたけれど，root権限まで取ろうとしてなくてログ削除などは行ってませんでした．

　隙を見せると瞬間的に乗っ取られるので，インターネットは怖いね．