「サイト改ざん」が多発している。3月から4月にかけては、日本を狙い撃ちにした攻撃によって「エッ、まさか、あの会社が改ざんされるなんて?!」と驚くような有名企業のサイトをはじめ、多くの正規サイトが改ざんされた。同じ手口の世界規模の攻撃で、5月に入ってからもたくさんのサイトが改ざんされている。また、昨年末からオンラインゲーム愛好家を震え上がらせていたのが「FC2ブログ」のテンプレート改ざんだ。
改ざんの仕掛け人は何を狙っているのか。ユーザーとして有効な対策は何か。簡単な用語解説を加えてまとめた。
【INDEX】
■ 著名企業も多数被害に~SQLインジェクションによるWebサイト大量改ざん
★ コラム:「SQLインジェクション」とは?
■ 大規模な攻撃を仕掛けた何者かの「目的」とは?
■ 「FC2ブログ」で続出したテンプレート改ざん~罠サイトへ強制誘導
■ なぜ、オンラインゲームのアカウント情報が狙われる?
■ ユーザーにできる対策~ウイルス感染するパソコンとしないパソコン
■ ユーザーにできる対策~パソコンを「脆弱性のない状態」に保つために
【本文】
■著名企業も多数被害に~SQLインジェクションによるWebサイト大量改ざん
「サイトを改ざんする」とは、管理者の許可を得ないまま、サイトの中身を勝手に変更してしまう行為のことだ。文章を書き換える、画像を挿入するなど、サイトを閲覧したときにすぐ気付くような部分をいじられることもあるが、「見た目には変化がないものの、実はウイルスが仕掛けられている」というケースもある。 コンピューター用のセキュリティ対策製品を開発、販売するトレンドマイクロが、「サイトの一部が改ざんされていた」と発表したのは、3月12日のことだった。
「セキュリティベンダーのサイトが改ざんされた」という、オドロキのニュースだったが、それ以降、大手プロバイダのニフティ、コンピューター周辺機器のクリエイティブメディア、自動車情報サイトを運営するカービュー、アニメなど映像コンテンツを扱うバンダイビジュアルから、次々にサイト改ざんが告知された。
また同時期に、トヨタ自動車が運営する情報サイト「GAZOO.com」や、大阪府豊中市のサイト、複数のショッピングサイト、芸能人の公式サイトなども改ざんされている。サイト改ざん攻撃が嵐のように日本を襲ったのだ。 これと同じ手法を使った世界規模の改ざん攻撃によって、5月に入ってからも国内のサイト多数が改ざんされている。オンライン書店「Fujisan.co.jp」、就職情報サイト「Re就活」、オンラインゲームサイト「Lievo」、静岡県のサイト、味の素のサイトのほか、3月に改ざんされた「GAZOO.com」がまた改ざんされている。
これらの改ざんでは、SQLインジェクションという手法(下記「コラム:SQLインジェクションとは?」参照)が使われた。短い間に多数のサイトが改ざんされてしまったのは、何者かがある「目的」を持って、ネットを通じて大規模な攻撃を行った結果である。
-------------------------------------------------------------------------------
SQLインジェクションとは、データベースへのリクエスト(SQL:Structured Query Language~データベースの処理言語)の中に不正な文字列を挿入(injection)し、外部からデータベースを操作する手法で、Webアプリケーションの脆弱性を悪用して行われる。どういうことかよくわからないという方のために、用語の説明をしておこう。まず、「脆弱性」とはソフトウェア等に存在するセキュリティ上の弱点のことで、セキュリティホールとも呼ばれる。
「Webアプリケーション」とは、「あなたからのリクエストに対応するWebページを生成して、あなたのブラウザ上に表示させる」という役割を持つアプリケーションのことだ。「入力欄に必要事項を入力してボタンを押したら、入力内容が反映された新しい画面が現れた」という時に、Webアプリケーションが働いている。通販サイトの「ショッピングカート」や、「ある交通機関の○月○日の空席状況を調べる」ようなページを思い浮かべるとわかりやすいだろう。 Webアプリケーションを管理しているのはWebサーバーで、ユーザーは、ネットに接続した状態でブラウザからこれを利用する。また、Webアプリケーションの多くは、データベースから取り出した情報を使ってページを生成している。以上を頭に入れてから、IPA(情報処理推進機構)のサイトで以下のページを見ると、SQLインジェクションの輪郭を理解していただけるだろう。
・知っていますか?脆弱性~1.SQLインジェクション(IPA)
SQLインジェクション攻撃が成功してデータベースに侵入されると、データを盗まれたり、書き換えられるといった被害にあうおそれがある。4月に明らかとなった、楽器・音響機器販売業者サウンドハウスからの顧客情報流出事件も、SQLインジェクションによるものだった。このケースでは、顧客情報を収めたデータベースから9万7500件の個人情報が盗まれている。
「私はデータベースを使っていないから、SQLインジェクションなんて関係ない」と思っている方もいるかもしれないが、あなたは、ブログ、掲示板、wiki、SNSなど、CMS(Content Management System)によるシステムを使っていないだろうか。CMSは、データベースを利用している。SQLインジェクションによってある日突然、あなたのブログが改ざんされてしまう、という事態も起こりうるのだ。
----------------------------------------------------------------------------------
■大規模な攻撃を仕掛けた何者かの「目的」とは?
SQLインジェクションという手法を使い、これだけ大規模に、短期間に、多数のサイトを改ざんした仕掛け人の「目的」とは何か。彼らの目的は、サイト閲覧者のパソコンをウイルスに感染させることだ。攻撃者は、Webページ生成の際に使われるデータベースに細工をし、中国に置かれていたサーバーから悪質なスクリプト(プログラム)をこっそり読み込むような仕掛けをWebページに忍び込ませた。その結果、閲覧者がこのページにアクセスすると悪質なスクリプトが実行され、パソコンへウイルスが送り込まれてしまうおそれがあった。
3月から4月にかけて発生した一連の攻撃では、オンラインゲームのアカウント情報(IDやパスワード)を盗むウイルスが確認されている。ただし、攻撃者がいつもこのウイルスを仕掛けておくとは限らない。攻撃者は、仕掛けるウイルスをいつでも別のものに取り替えられる。
ウイルスが行う悪事はさまざまだ。ネットバンクのアカウント情報が外部に流出して、あなたの預金が盗まれるかもしれない。パソコンが起動不能にされてしまうかもしれない。あるいは、あなたのパソコンがボットネットに組み込まれてしまうかもしれない。
■「FC2ブログ」で続出したテンプレート改ざん~罠サイトへ強制誘導
ブログやホームページの作成サービスを提供しているFC2が、ブログ管理者用のお知らせページに「不正ログイン対策対応状況につきまして」という記事を載せたのは4月17日のことだ。
・不正ログイン対策対応状況につきまして(FC2ブログ ブログ管理者用お知らせ)
この「お知らせ」によると、昨年11月頃から、FC2のシステムを使ったブログやホームページが改ざんされる被害が相次いで発生。被害にあっていたのはオンラインゲームに関するブログやホームページで、改ざんは、ユーザーが利用しているサービスへ不正にログインされて行われていた。改ざん目的の不正アクセスは今年2月頃からひんぱんとなり、同社ではセキュリティ対策を実施。それ以降、不正アクセスによる改ざんは確認されていないという。
「何が起きていたのか」「どういう対策をとったのか」という肝心な点が公表されていないのだが、同社がセキュリティ対策を行ってからは改ざん被害が起きていないということなので、同社のシステムに問題があったのだろうと推測できる。ブログを改ざんされてしまった人たちの情報によると、改ざんされたのはテンプレートで、ブログへアクセスすると、ウイルスを仕込んだ罠サイトへ強制的にアクセスさせられるようになっていたという。罠サイトに仕掛けられていたウイルスは、オンラインゲームのアカウント情報を盗んで外部へ送信しようとするものだった。
・FC2ブログユーザーフォーラム~原因究明・セキュリティの強化を
なお、今回改ざん被害が明らかとなったのはFC2のブログだが、今回の改ざんで使われた<iframe>タグや、<script>タグを使えるブログシステムは他にもある。もしかすると今後、そのようなブログシステムがFC2のように狙われるかもしれない。
SQLインジェクション攻撃による一連のサイト改ざんでも、FC2ブログで発生したテンプレート改ざんでも、オンラインゲームのアカウント情報が狙われている。狙われる理由は簡単。金になるからだ。ゲーム内通貨やアイテムは、RMT(Real-Money Trading、リアルマネートレード)で現実の通貨や電子マネーに換えることができる。盗み取った他人のアカウントでオンラインゲームにログインし、本来の持ち主がコツコツ貯めてきた通貨やアイテムを根こそぎ奪って、RMTで売り払い、金銭を得るのだ。また、クレジットカードの情報を不正に入手した者がこれを悪用することもある。盗んだアカウント情報を使ってオンラインゲームにログインし、ゲーム内通貨をクレジットカードの限度額いっぱいに購入し、RMTで売り払って現金化する。
上のコラムでサウンドハウスからの顧客情報流出についてふれたが、この件の被害者の中には、このやり方でカードを不正利用された人もいる模様だ。
■ユーザーにできる対策~ウイルス感染するパソコンとしないパソコン
実は、一連のSQLインジェクション攻撃によるサイト改ざんでも、FC2ブログの改ざんでも、ウイルスに感染するおそれがあったのは脆弱性の存在するパソコンのみだった。言い換えると、脆弱性が存在しないパソコンなら、改ざんされたページにアクセスしてもウイルスには感染しなかった。セキュリティベンダーのラックによると、一連のSQLインジェクションによるサイト改ざん攻撃では、13件の脆弱性を悪用しようとしていた。この中には、日本でもよく使われているRealPlayerや、Yahoo!メッセンジャー、マイクロソフト関連の脆弱性も含まれている。また、FC2ブログの件については、ユーザーフォーラムで、Windows、Internet Explorer6、RealPlayerの脆弱性を悪用するようだと報告されている。
幸いなことに、これまで悪用が図られたのは、どれもすでに修正された脆弱性だ。ということは、OSやアプリケーション、プラグイン(アプリケーションに機能を追加するためのプログラム)を常に最新版または、すべてのパッチを適用した状態にしておけば、ウイルスに感染することはなかったのである(ただし、今後も修正済みの脆弱性のみが狙われるという保証はない)。
■ユーザーにできる対策~パソコンを「脆弱性のない状態」に保つために
あなたのパソコンを脆弱性のない状態に保っておくためには、以下の対策が必要だ。
・Microsoftの月例パッチを必ず適用する。
・音楽や動画の再生ソフトおよびプラグイン(RealPlayer、Flash Player、Quicktime Playerなど)、ワープロソフト、表計算ソフト、PDF閲覧ソフトなど、ネットにつながるアプリケーションやプラグインを最新の状態にしておく。
・使っていないアプリケーションやプラグインは削除する。
このほか、ウイルス対策ソフトを導入し、定義ファイルを最新の状態にしておくことも、もちろん大切だ。また、オンラインゲームをはじめ、IDやパスワードを入力して使うようなサービスを利用している人は、パスワードを破られにくい強力なものにしておこう。マイクロソフトが公開しているパスワードチェッカーで、現在使っているパスワードをチェックしてみるのもいい。加えて、サービスへの最終ログイン情報を確認できる場合は、こまめにチェックして、不正にログインが行われていないかどうかを確かめよう。
ホームページやブログを運営している人は、「あなたのブログやホームページを見た人がウイルスに感染してしまう」という事態を避けるため、改ざん被害にあわないよう十分注意を払いたい。まずはページのソースを表示して、不審な<iframe>タグや、<script>タグが挿入されていないかどうかを確認しよう。
「信頼できないサイトにアクセスするのは危険だ」ということが、これまでよく言われてきた。これはこれで大事なことだ。しかし、これだけ多くのサイトが改ざんされてしまった現実がある以上、これからは、有名企業や団体の正規サイトも、毎日訪れている友人のブログも、「改ざんされているかも」という前提で見る必要があるだろう。信頼できるサイト――無防備な状態でアクセスしても大丈夫なサイトは、もうどこにも存在しないのだ。
【関連資料】
・SQLインジェクションによるWebサイト改ざんに関する注意喚起(JPCERT/CC)
・日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、同行為により改ざんされたページへのアクセスによるマルウェア感染について(ラック)
(執筆:現代フォーラム/北野)