08/07/09 16:13:55
今年5月、国際機関や米政府機関など約150万のウェブサイトが改ざんされていたことが
米国の情報セキュリティー調査機関SANSインスティテュート(本部:ワシントンDC)
の調べで分かった。
アンケートや認証画面などの入力フォームから侵入し、企業内のアプリを改ざんしたり、
データベースから顧客情報を抜き取るといった手法。これまではOS(基本ソフト)や
文書作成ソフトなどが攻撃対象とされてきたが、企業が社内で使うアプリケーションソフト
にも、サイバー犯罪の魔の手が伸びているといえそうだ。
SANSインスティテュートは7月1日と2日、技術者らを対象に東京都内で講演会を
開催。アラン・パーラー代表らが、記者説明会で、同機関が運営する警告システム
「インターネット・ストーム・センター」により、データのバックアップソフトや、
企業向けにカスタマイズされたアプリケーションなど、企業が社内で使うソフトを狙った
新しいタイプの攻撃が見つかったことを明らかにした。
5月に起きたのは「SQLインジェクション」と言われる攻撃。
SQLはウェブアプリケーションが使うコンピューター言語で、ウェブの入力画面と
内部データとの間でID、パスワードや顧客情報などをやり取りしている。
「SQLインジェクション」は、通常はIDなどを入力するフォームからコマンド
(コンピューターへの命令)を入力してSQLを使った内部のやり取りを細工する。
利用者のクレジットカード情報を持っているショッピングサイトなどが狙われやすい
という。このとき被害にあったサイトでは、データが盗まれただけでなく、サイト訪問者の
パソコンにキー入力監視ソフトを仕掛けるプログラムを仕込まれた。
当初は「オンラインゲームのパスワードが盗まれるだけ」だったため、企業関係者は
ほとんど心配していなかったという。しかし6月中旬、利用者のキー入力情報が盗まれて
おり、銀行口座にアクセスすると口座情報が流出することが分かった。
なぜ、これほど多数のサイトが被害にあったのか。同機関が約3万サイトをランダムに
抽出して分析したところ、4分の1以上で「SQLインジェクション」の
脆弱(ぜいじゃく)性が見つかった。
「SQLインジェクション」は日本でも急増しているという。情報処理推進機構(IPA)
は5月、注意喚起を発表。オンライン楽器販売店で4月、計約10万人の顧客情報流出が
分かったほか、IPA自体への攻撃回数も、3月の4件から、4月は29件と増えた。
6月はさらに多いという。さらに、脆弱性があるかもしれないとIPAに通報された
ウェブサイトとソフトウエア累計2000件のうち、約3割がSQLインジェクションの
脆弱性を持っていた。IPAでは急増について、簡単なツールが開発されたのではないか
と推測する。
一方、バックアップソフトが狙われるケースについて、パーラー代表は、企業内システムに
無線で侵入して金銭を詐取した事例を挙げ、「社内で使っているソフトでもネットワークに
つながっていればポート越しに情報を盗むことはできる」と説明した。
パーラー代表によると、「攻撃者がウェブサイトを勝手に書き換えられることを示して
企業を恐喝する事件も起きている。米国では特にオンラインカジノが狙われるケースが
多く、要求に応じてしまう」状況だ。
ソースは
URLリンク(mainichi.jp)