急増しているウェブサイトへのサイバー攻撃は、多くが中国からのものだと推測されている。「中国黒客」と呼ばれるハッカーやクラッカーが、金儲けのために攻撃しているようだ。(テクニカルライター・三上洋)
攻撃用サーバーのほとんどは中国右の画像は、企業向けセキュリティー大手のラックが作成した、最近のサイバー攻撃用サーバーの位置をプロットした地図だ。ご覧の通り、ほとんどの攻撃用サーバーが中国にある。ラックでは「攻撃用ツールが中国語環境で利用できることなどを考慮すると、一連の攻撃は中国語を理解できる中国在住の攻撃者の仕業であると推測できる」とコメントしている。
前回の記事「個人PC経由の企業サイト攻撃、急増」でも取り上げたが、ラックのサイバーリスク総合研究所が「ビジネス化がさらに加速するサイバー攻撃〜進化し続けるアンダーグラウンドビジネス」というリポートを発表している。2008年に入って急増しているサイバー攻撃の実態をまとめたものだ。
リポートによれば、中国方面からの攻撃は、前回も紹介した攻撃コード作成ツール(左画像)を使い、一般ユーザーの個人情報やクレジットカード番号などを盗み取っている。
ラックでは、これを「中国黒客の仕業ではないか」と分析している。「黒客」とはハッカーやクラッカーのこと。以前の「中国黒客」は靖国神社のウェブサイトを攻撃するなど政治的な活動が多かったが、現在では金儲けが目的の「中国黒客」が多くなっている。ラックでは「中国のアンダーグランドビジネスが成熟してきている」とコメントしている。
一連の攻撃の経緯をまとめると、次のようになる。
・企業サイトをSQLインジェクション攻撃
・書き換えられたサイトを通じて、一般ユーザーが不正サイト(攻撃用サーバー)に誘導される
・不正サイト(攻撃用サーバー)によって一般ユーザーのPCへスパイウエア、ウイルスなどを送り込む
・一般ユーザーの個人情報
・クレジットカード番号を盗み取る
・ボットに感染した一般ユーザーのPCを通じて、再び企業サイトを攻撃。これを繰り返す
犯人が作成したボットは、Googleの検索結果を使って、攻撃するサーバーを探しているようだ。企業サーバーを攻撃するボット(前回記事参照)をラックが分析したところ、下のようなコードを送っていたそうだ。
このボットはGoogleで「.asp」という名前が付いたページを探す。「.asp」とはサーバーで使われているスクリプトの拡張子。データベース表示などでも使われており、SQLインジェクション攻撃のターゲットを探していることになる。この検索結果を基に、ボットはSQLインジェクション攻撃をしかけて、ページを書き換えようとする。すべてボットによる自動作業なので、大量な攻撃が一気に行われる。8月になって猛烈にサイバー攻撃が増えた理由はここにあるようだ。
対策は「Google対策」と「脆弱性取り除き」ラックでは防御方法として3項目を紹介している。
攻撃されやすいページをGoogleなどに表示されないようにするボットによる自動化攻撃を防ぐには、の「Googleに表示されないようにする」ということが重要なポイントになる。従来まで企業サイトのほとんどは、検索結果の上位に表示される努力、いわゆるSEO(検索サイト最適化)を行ってきた。ところがSEOによってデータベースのページが上位に来た結果、ボットによる攻撃を受けやすくなっている。そのためデータベース表示などのページは、検索サイトの巡回対象にならないように設定したほうがいい、というアドバイスだ。一般ユーザーへの被害が拡大しないように、企業サイトのセキュリティーを強化することを望みたい。
●参考サイト
ラックのサイバーリスク総合研究所 発表リポート
http://www.lac.co.jp/info/rrics_report/
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20080912nt14.htm