「対日本网站的一次入侵(日本のウェブサイトへの一次侵入)」
こんなタイトルの中国語のブログが2年も前からインターネットに流れていたと知り、千葉県成田市の音響機器販売会社「サウンドハウス」の中島尚彦社長(51)は息をのんだ。ハッキングの手口を詳細に暴いたブログ。「標的」として名指しされていたのは、自分の会社だった。
「こいつが煽っていたのか?」
自社の通販サイトが中国のハッカーから攻撃を受け、顧客のクレジットカード番号など個人情報9万7500人分が盗まれていたことが発覚したのは今年3月。流出調査の中で浮かび上がってきたのが、その中国語ブログの存在だった。
サウンド社のシステムに侵入する「裏口」の作り方や外部からシステムを操作する手順、そしてサイト管理者に侵入を気付かれないように裏口を消す方法——。「初心者でも簡単」「言う通りにやればできるよ」とも呼びかけている。
通信記録によると、ブログが書かれた2006年6月以降、中国各地から4万回以上にのぼる不正アクセスが自社サイトに集中していた。中島社長らは、クレジットカードが悪用されるまで、標的となっていたことすら気付かなかった。
問題のブログはその後、閉鎖されたが、今も社長は腑に落ちない。従業員110人程度の中小企業。「なぜうちが狙われたのか」
「標的になっているのは、大企業や金融機関より、中小企業の通販サイト」。東京都内のネットセキュリティー会社「ラック」の西本逸郎取締役はこう警告する。セキュリティー対策が甘い上、個人情報の宝庫だからだ。
ハッカーが攻撃に成功したウェブサイトのアドレスや名前を「戦果」として公開する掲示板サイトがある。その一つ、「被黒站点統計系統」には「被害者」として日本の企業や団体名も並ぶ。3年分をざっと見ただけで約50件見つかった。
昨年4月にトップページが改ざんされ閲覧できなくなった大阪府をはじめ、多摩大学、富山県商工会連合会、兵庫県の工芸品通販会社——。「Hack by〜」とハッカーの名前が書き込まれたもの、ガイコツの画像に替えられたサイトもあった。
だが、連絡がとれたサイト管理者の半数は、攻撃を受けたことすら気付いておらず、多摩大の場合、読売新聞の取材後に調べ直し、「ようやく小さな改ざん跡に気付いた」という。
サウンド社を狙った「SQLインジェクション」と呼ばれるハッキングは、急激に増えている。システムの裏口から侵入し、外部から情報を抜き取るタイプで、ラックによると、今年9月には過去最高の24万件以上を確認。セキュリティー対策ソフトでも検知されにくく、被害に気付きにくいのが特徴だ。
「かつてのハッカーは自分の技術力やメッセージをアピールするため、有名企業を狙って被害を誇示したが、今は金と情報が目的。むしろ、こっそり入り込む」と西本氏。被害は潜在化しつつある。
◆連載「ネット社会」へのご意見・ご感想はこちらへ