「ネットセキュリティニュース」が選んだ2008年度のセキュリティ関連10大ニュースをお届けする。今年度最も目立ったのは、未曾有の規模で展開されたSQLインジェクション攻撃で、国内の正規サイトが次々に改ざんされた。「秋葉原事件」に誘発された犯罪予告書込みが多数発生し、スピーディな逮捕が続いたことも異例だった。こうした状況のなか、セキュリティベンダー各社は今後の動向をどう予測しているのか。
【1】SQLインジェクションによる正規サイト改ざん~企業から個人サイトまで無差別攻
【2】犯罪予告の検挙者100人超~「秋葉原事件」後、[書込み]-[通報]-[逮捕]激増
【3】P2P情報流出~学校、病院、警察、自衛隊など。風評被害で破産例も
【4】Amazon「ほしい物リスト」、Google「マイマップ」から個人情報流出
【5】「有害サイト規制法」成立~携帯各社がフィルタリング導入へ
【6】USBメモリーを介して広がるウイルスが猛威、製品への混入も相次ぐ
【7】フィッシング~金融機関やヤフー装い、ID/PW詐取。ボット悪用も急増
【8】不正アクセス~数万単位の顧客情報流出が多発、カード情報悪用も
【9】プロフ傷害事件、ネットいじめ~加害も被害も増加
【10】お粗末ミスで著名企業や自治体サイトから個人情報流出
【1】SQLインジェクションによる正規サイト改ざん~企業から個人サイトまで無差別攻撃
Webサイトの脆弱性を突いてデータベースを不正に操作するSQLインジェクション攻撃が、これまでにない規模で展開され、国内の正規サイトが次々に改ざんされた。その大半は、訪問者に中国や韓国のサーバーに置いた不正なスクリプトを実行させ、ウイルスに感染させようとするもの。特に2008年3月以降は、国内のサーバーを狙う大規模な攻撃が幾度となく繰り返され、トレンドマイクロやクリエイティブメディアなどの企業をはじめ、歌手の公式サイトや自治体、音楽配信サイト、一般ユーザーの個人サイトまでが無差別に攻撃された。
改ざん被害は2008年末にも相次ぎ、年明け早々にもエキサイトブログなど著名サイトにSCRIPTタグが埋め込まれる被害が発覚。これら攻撃を受けたサイトはまだ完全復旧に至っていないものもあり、閲覧者をウイルス感染の危険にさらしただけでなく、改ざんサイト自身にも深い傷を残している。
【2】犯罪予告の検挙者100人超~「秋葉原事件」後、[書込み]-[通報]-[逮捕]激増
ネット掲示板への犯罪予告書込みはこれまでも繰り返し行われてきたが、今年度は例年にない様相を呈した。2008年2月、千葉の小学生の殺害予告が書き込まれた事件が大々的に報道され、書込みをした男が逮捕されると、それを模倣した書込みが続出した。6月に「秋葉原事件」が起こると、犯罪予告はさらに激増。警視庁が通信4団体に犯罪予告の書込みを見つけた場合は通報するよう要請するなど対応が強化された結果、犯罪予告の書込み~通報~逮捕という流れがこれまでにないスピードで進むようになり、2008年上半期の検挙者が50人を超えるという異常事態となった。2009年も正月明け早々に、ブログで東大教授らの殺害を予告した男が逮捕されるなど殺害予告での逮捕が相次いだ。
当編集部の調べでは、犯罪予告の書込みによる検挙者は6月の32人、7月の30人をピークに、この1年間で100人を超えた。摘発された予告書き込みはいたずらや悪ふざけが圧倒的多数だが、秋葉原事件のように犯行後に予告書き込みが見つかった例もいくつかある。見極めは難しいが、有効な再発防止策が待たれる。対策の1つとして、ネット上に犯罪予告を書き込めば、威力業務妨害や偽計業務妨害、脅迫の罪に問われることを周知していくことも有効だろう。たとえ小学生や中高生によるいたずらでも、児相通告や家裁送致などの処置がとられる。未成年の保護者は、子どもたちにネット掲示板などの使い方についてしっかりと教えていく必要がある。
【3】P2P情報流出~学校、病院、警察、自衛隊など。風評被害で破産例も
ウイルス感染によるファイル共有ソフトを介した情報流出が相変わらず続いている。公表・報道された件数は、ピークだった2006年の222件から2007年には157件に。2008年はさらに減少したものの、それでも90件近くに上る。学校や病院、警察、自衛隊などが相変わらず名を連ね、核物質防護にかかわる機微情報こそ含まれないものの、原発関連資料も東京電力、東北電力、日本原子力発電から相次ぎ流出した。
破たん懸念先と名指しされた酒店が、その後の風評被害で破産に追い込まれた日銀職員からの機密情報流出、相談者と相手の氏名まで書かれた早稲田大学の6年分のセクハラ相談リストを流出した相談員、神奈川県立高の全生徒約11万人の口座情報を流出した日本IBMの協力会社社員など、頭の痛い情報流出が続く。今年度に入ってからも、IPA職員による1万件を超す個人情報流出や、同人誌即売会「サンシャインクリエイション」申込者のべ数万人分流出など大量の情報流出が相次いだ。神奈川県立高の生徒情報11万人流出事件では、第三者による再放流が被害を拡大させたことがわかっており、こうした意図的情報放流を規制する法整備を、県が国に要請している。
【4】Amazon「ほしい物リスト」、Google「マイマップ」から個人情報流出
ネット上では便利なサービスがたくさん提供されているが、誤用するととんでもない事態を招く。誰でも利用できるサービス上に、他人からは見えないと勘違いして秘密の情報を登録し、みんなに見られて騒動に、というのが標題の2件だ
Amazon.co.jpの「ほしい物リスト」では、リストの検索機能を使ってリスト作成者の登録情報を見ることができたほか、リストを友達に知らせる機能を悪用してメールアドレスと氏名を盗み取ることも可能だった。Googleマイマップからは、バイト応募者や、児童、生徒の個人情報、患者情報などが流出。削除した情報が復活したケースもあった。Googleカレンダーでも同様の流出例があるので、利用している人は設定を確認しよう。
【5】「有害サイト規制法」成立~携帯各社がフィルタリング導入へ
青少年をインターネット上の有害情報から守る「有害サイト規制法」(青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律)が、2008年6月11日に参議院本会議で賛成多数で可決、成立した。有害サイト規正法の主な具体策は、携帯各社やインターネット接続業者、インターネット接続機器のメーカーに対する、18歳未満の青少年が有害情報を閲覧できないようにする「フィルタリングサービス」の義務付けだ。これらの義務に対しては罰則は設けられず、保護者が希望すればフィルタリングサービスを解除することも可能だ。
同法の成立については、フィルタリング基準を判定する第三者機関への国の関与に対して、ネット界をはじめ新聞協会、高等学校PTA連合会などから反発の声があがり、最終的には国が関与しないこととなった。携帯各社はすでに2008年2月から新規契約者に対しフィルタリングサービスを原則適用し、既存の契約者に対しても今年度中に適用する方針。ただし、フィルタリング基準を判定する第三者機関であるEMAが認定したサイトについては閲覧可能となる。掲示板やSNSといったコミュニティサイトは、たとえ第三者機関認定があっても不特定多数が集まる場であることは変わりはないため、「フィルタリングをしているから安心」ではなく、これからも子どもたちを見守る大人の目が必要だ。
【6】USBメモリーを介して広がるウイルスが猛威、製品への混入も相次ぐ
USBメモリーなど、外部記憶メディアを介して広がるウイルスが猛威をふるっている。Windowsの自動実行(オートラン)機能を悪用するのが特徴で、USBメモリーを差しただけで感染することもあるから怖い。7月には、ジャストシステムのソフトと同梱されたUSBメモリーにこのウイルスが混入していたことが発覚。10月には、AsusTekのミニパソコン「Eee Box」への混入が発覚し、調査により別のウイルスが同社製外付けHDDに混入していたことも判明した。日本サムスンのデジタルフォトフレーム用ソフトにもウイルスが混入。10月末には、HPで公開していたソフトのみへの混入だとされていたが、1か月後、製品同梱のソフトにも混入していたことが発表された。
【7】フィッシング~金融機関やヤフー装い、ID/PW詐取。ボット悪用も急増
毎日数100件もの報告が上がる海外に比べ、振り込め詐欺が主流の日本国内ではフィッシング詐欺は非常に少ない。が、それでもゆうちょ銀行やイーバンク、UFJカードなどのフィッシングの定番である金融機関に加え、ヤフーやニフティなどのアカウントを盗み取ろうとするフィッシングメールとサイトが登場。7月と12月には、フィッシングで入手したID・パスワードを使い口座から預金を騙し取ったとして、計4名が逮捕されている。ヤフーのフィッシングサイトは2008年度も繰り返し作られ、2月にはシティバンクをかたる日本語フィッシングメールとサイトも出現した。
フィッシングには、詐取される直接的な被害のほかに、ホームページにフィッシングサイトを設置されるといった被害が国内でも毎日のように起きている。ボットに感染した国内ユーザーのパソコンがフィッシングに悪用されるケースも多く、昨秋、および2008年末以降、多数確認されている。
【8】不正アクセス~数万単位の顧客情報流出が多発、カード情報悪用も
オンラインショップが不正アクセスを受け、顧客情報をごっそり盗まれる事態が多発した。サウンドハウスからは9万7500件、アイドラッグストアーとアイビューティーストアーからは合わせて2万件、アイリスプラザからは2万8000件、ドッグワンライフの旧ショップからは1万8000件の顧客情報が流出した。これらの流出は、RMT(リアルマネートレーディング)がらみとみられるクレジットカードの不正利用にカード会社が気づき、ショップに問い合わせをした結果、判明している。RMTとは、オンラインゲームのアイテムや通貨などを現実の通貨で売買すること。RMTでは商品の受け渡しをゲーム上で行うので、足がつかないように、盗んだアカウントが使われる。
年が明けて1月にはIT人材企業から登録者情報約5000件が、2月には日本原子力研究開発機構から国際会議参加者情報281名分が、外部からの不正アクセスにより流出している。また昨秋、携帯サイト運営管理会社の元社員が不正アクセスで顧客企業6社の会員情報約18万人分を入手し、その一部が名簿業者に渡る事件が発生。当該社員は2月に逮捕されている。
プロフは自己紹介を中心としたコミュニケーションサービスで、中高生のコミュニティとして人気を集める一方、誹謗中傷やわいせつ画像などの投稿に使われることも多く、トラブルが絶えない。4月には千葉で)殺人未遂事件が起きてしまった。17歳の少年が中3男子を金属バットで襲ったもので、国内最大規模のプロフでの悪口の言い合いがエスカレートした結果だった。
文部科学省の調査では、携帯電話などで誹謗中傷や嫌なことをされる、いわゆる「ネットいじめ」は、2007年度は前年度の2割増の5899件を記録。とくに携帯電話の保有率が伸びている小中生での増加が目立った。2008年の調査では、携帯電話の所有率は、小6で24.7%、中2で45.9%、高2で95.9%にのぼり、自分のプロフを公開したことがある高2生は44.3%にも及んでいる。
小学生が掲示板で殺害予告をしたり、中高生が援交募集で逮捕されるなど子どもが加害側として登場することも多くなったが、その一方、警察庁の2008年の出会い系サイトに関わる事件調査では被害者全体の85%は児童である。全国の警察が摘発した児童ポルノ事件は過去最多の676件にのぼり、このうちネットを利用したものは254件あった。P2Pを使った児童ポルノ配信では、2008年11月と2009年1-2月に摘発が行われている。ネット社会で子どもを加害者にも被害者にもしない対策が求められている。
企業や自治体のホームページから、顧客や住民の個人情報が流出する例が相次いだ。ファイルを公開ディレクトリに置き、アクセス権を設定し忘れるというお粗末なミスによるものが多く、日本ヒューレット・パッカードからは顧客情報約14万件が流出、吉本興業も顧客情報1万6000件を流出させた。またジャルパックでは、システムの不具合で約18万人の顧客情報が閲覧可能に。楽天では、メルマガ登録者の情報89名分が検索サイト経由で閲覧可能となっていた。愛知県では38名分、滋賀県では8名分の個人情報を含むリストを誤掲載。黒塗り処理のミスで島根県では59件分の個人情報を流出させ、千葉県市川市では市民7名の個人情報が記入された書類を業務の実例として掲載していた。
(構成/文:現代フォーラム「ネットセキュリティニュース」執筆グループ)