ネット通販サイトからの個人情報流出が相次いでいる。原因は中国など海外からのサイバー攻撃だ。最近ではウイルス感染した個人のパソコンを足場にして、企業サイトを狙う例も増えてきた。攻撃プログラム作成用のツールまで販売されている。(テクニカルライター・三上洋)
相次ぐ通販サイトからの個人情報流出企業向けセキュリティー大手のラックが「ビジネス化がさらに加速するサイバー攻撃〜進化し続けるアンダーグラウンドビジネス」というレポートを発表した。ラックのサイバーリスク総合研究所によるもので、今年になって急増しているサイバー攻撃の実態を詳しくリポートしている。
ラックによれば8月に検知した攻撃数は、史上最高の約17万5千件(SQLインジェクション攻撃、ラックの監視センター・JSOCによるもの)。これは1年前の4倍にあたり、特に6月以降に急増しているという。
一連の攻撃によると思われる被害もいくつか報道されている。以前の記事でも取り上げた音響機器通販の「サウンドハウス」、ガーデニングなどの通販サイト「アイリスプラザ」、そのほかにも健康や美容関連の「アイビューティーストア(オズ・インターナショナル)」、ペット用品の「ホッタ」などからクレジットカード情報や個人情報が流出している。いずれも中国からと思われるサイバー攻撃によって、サーバーにあるデータを盗み取られたものだ。
新たな手口は「ボットによる自動化攻撃」中国からのサイバー攻撃では、日本をターゲットにしたものが今年3月に大きな問題となった。以前の記事「犯人は中国から?日本へのサイト集中攻撃」でとりあげたように、中国のIPアドレスから日本の企業サイトに向けてSQLインジェクション攻撃が3月に集中した。SQLインジェクション攻撃とは、サイト側のプログラムの不備を突いてデータベースを書き換える攻撃のこと。データを盗まれたり、サイトの内容が勝手に書き換えられてしまう。
この攻撃はいったん収まったものの、ラックによれば6月20日以降、新たなSQLインジェクション攻撃が増えているとのこと。それまでは中国からの攻撃がほとんどだったが、6月20日以降はブラジル・トルコ・インドなどのIPアドレスからの攻撃が増えてきている。
ラックではこの攻撃を「ボット化したSQLインジェクション攻撃ではないか」と分析している。ボットとはコンピューターウイルスの一種で、自動遠隔操作ツールのようなもの。感染すると犯人によってパソコンを勝手に操られ、スパムメール送信などに利用されてしまう。
ボットによる攻撃を説明したのが右の図だ。犯人は一般ユーザーのパソコンに感染したボットを通じて、企業サイトに向けてSQLインジェクション攻撃を行う。今までのように直接犯人が攻撃するのではなく、一般ユーザーのパソコンを足場にするため、追跡されにくいのが特徴だ。ラックでは「中国以外の国からの攻撃が増えたのは、このボットによるものではないか」とコメントしている。
ラックによれば6月からの新たな攻撃でのコードを分析したところ、2バイトの文字列が含まれていたそうだ。ラックでは「このボットがマルチバイト環境で作成した可能性が高い」と分析している。マルチバイト文字とは2バイト以上を使う文字のことで、中国語や日本語が該当している。
中国製の攻撃コード作成ツールも流通2008年4月から5月にかけての攻撃コードは、ラックによれば中国製の「Vip2.8x」「Vip200x」などと呼ばれるツールによって作成されているという。左の画像がその攻撃コード作成ツールだ。攻撃先のURLアドレス、利用する脆弱性(ソフトの問題点)、攻撃方法などを選択するようになっている。あとはボタンを押すだけで、専用の攻撃コードができてしまうという悪質なツールだ。
このツールは標準版で1か月400元(約6400円)で利用できるそうで、中国のアングラ系サイトや掲示板などを通じて流通しているとのこと。これらのツールによって様々な攻撃コードが作成され、SQLインジェクション攻撃が行われている。
ラックでは「ボット経由のSQLインジェクション攻撃は、ここ数か月の新しい傾向。犯人は攻撃の効率化を進めているようだ。効率化によってSQLインジェクション攻撃が急増している」とコメントしている。
●参考サイト
ラックのサイバーリスク総合研究所 発表レポートhttp://www.lac.co.jp/info/rrics_report/
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20080905nt13.htm