ネットバンキングの不正送金などに使われていた日本国内の中継サーバーの管理会社が、今年2月に1社、11月には8社が摘発された。中継サーバーには、一般ユーザーから盗み取ったプロバイダの接続アカウントを使用して、インターネットに接続していたものがあったという。
匿名接続機能を持つ中継サーバーを使用すると、相手からは、その中継サーバーしか見えなくなる。Webサイトなどにアクセスすると、その中継サーバーから直接アクセスして来たように見え、逆向きの中継機能を利用してWebサイトなどを開設すると、そのサイトにアクセスする側からは、中継サーバーにアクセスしているように見える。その向こうにいる、真の接続元や接続先が隠ぺいされてしまうのだ。
ネット犯罪の捜査では、アクセス時の接続記録から接続元や接続先を割り出して行く。ところが、間に入っている中継サーバーが接続記録を残していないと、そこから先を追跡できなくなってしまう。摘発された業者が提供していたのは、このような匿名接続を提供する中継サーバーで、オンラインバンキングの不正送金をはじめ、不正アクセスやフィッシング、ウイルスメールの送信など、日本国内で起きた中国人が関与していると見られる様々なサイバー犯罪に使用されていたという。
業者が提供していた中継サーバーは、一般ユーザーが利用するアクセス回線が使われており、フィッシングの事例では、2012年4月~6月にかけて大量発生した韓国の金融機関を装うフィッシングで、国内のISP 8社の東京都内のアクセス回線が使用された。昨年から今年にかけて行われた、国内のオンラインバンキングやオンラインゲームを装うフィッシングでも、一部に国内ISP 6社のアクセス回線が使われており、都内だけでなく、埼玉、和歌山、神奈川、静岡、福岡と全国に波及していた。注意しなければいけないのは、犯罪に使われたこれら中継サーバーで、一般ユーザーから不正に入手した、ISPの接続アカウントが使われていた点だ。
■ルーターから盗まれた接続アカウント
インターネットの接続環境は、通信を行うための物理的回線を提供する業者(回線事業者)と、インターネットへの接続業務を行う業者(ISP)が、同一である場合と、異なる場合とがある。例えばケーブルテレビなどは前者だが、NTTのフレッツ回線を使用している場合には、回線はそのままで利用するISPを自由に選択できる。誰がどのISPを利用するのかを決めるのが、ISP各社から提供される接続アカウント(ユーザー名とパスワード)だ。したがってこれを盗まれてしまうと、あなたになりすました第三者に、勝手にインターネットに接続されてしまう。
接続アカウントは、パソコン用の接続ソフトやルーターに設定する。接続ソフトに設定している場合にはパソコンのウイルス感染などで、ルーターに設定している場合にはルーターのセキュリティ上の不備などで、第三者に接続アカウントを盗み取られてしまうことがある。読売新聞や産経新聞の報道によると、一連の中継サーバーでは、どうやらルーターから盗み取ったものが使われたらしい。
■忘れがちな周辺機器のアップデート
ルーターは、ひとつのインターネット回線を複数の端末から同時に利用できるようにする機能を提供する機器で、インターネット回線が直結されている無線LANの親機が、この機能を内蔵していることが多い。ルーターの中には、管理ページを開くと設定した接続アカウントが取得できるものがあり、被害を受けたユーザーのルーターの場合には、インターネット側から、この管理ページにアクセスできてしまう問題があった。
パソコンのOSやアプリケーションと同様、ルーターのセキュリティ上の問題もまた、機器内部のソフトウェア(ファームウェア)のアップデートで対処する。ところが、あまり周知されておらず、自動更新の機能もなかったため、修正済みのファームウェアのリリースから1年以上たっても、多くの機器が問題を抱えたままだったようだ。問題のあるルーターを、管理ページのパスワードを変更しないまま利用していた場合には、知らない間に外部からアクセスされ、接続アカウントを盗み取られてしまうおそれがあった。
セキュリティ上の問題が生ずる可能性があるのは、パソコンだけではない。インターネットに接続している全ての機器にその可能性があり、中には今回の事例のような致命的なものもある。インターネットにつながっている機器は、常に外部から攻撃を受ける可能性があるので、メーカーのサポートサイトでファームウェアの更新状況をチェックするよう心がけたい。
(2014/12/18 ネットセキュリティニュース)