2012/09/27

コラム

サイバー事件・事故

LACコラム2012 vol.07

「近接国の、政治的抗議行動の一環と推測される日本のホームページ改ざん事件に関して」

西本逸郎

専務理事
西本逸郎

日本並びに日本語でホームページを運用している全ての会社や団体もその改ざん対象になっている現状をご理解いただくとともに、適切な対策を取って頂きたいと考え、今回、この事件に対しての私なりの「見立てと対策」に関して意見を述べます。
皆様の事業継続や対策のお役に立てれば幸いです。

はじめに

9月中旬以降、政治的な抗議行動の一環と推測される、日本の政府機関などに対するインターネットサービスの妨害*1や、ホームページの改ざん*2行為が、インターネットを通じて行われた。

*1 DDoS攻撃:
ディードス攻撃あるいはディーディーオーエス攻撃などと呼称される。多数の拠点から大量のデータを送りつけてホームページなどを閲覧しにくい状態にする攻撃。実社会で例えると、大勢で大使館に押しかけ業務を止めてしまうような行為。

*2 ホームページ改ざん:
実社会に例えると、塀を乗り越え侵入し建物にペンキで落書きするような行為。

これを受け、9月25日には内閣官房情報セキュリティセンター(NISC)において情報セキュリティ対策推進会議幹事会が開催され、政府機関ならびに重要インフラ事業者などにおける情報セキュリティ対策の強化徹底を要請する「政府機関等において今後、早急に対応すべき措置について」が発表された。

まずは、関係機関においては、これに則り適切に対応いただきたい。しかしながら、今回の抗議行動に伴うホームページの改ざんは、上記要請の対象となっている政府機関や重要インフラ等のみで観測されたわけではない。今回の政治的な抗議とは全く無関係な、数多くの一般企業や団体なども改ざんの被害に遭遇している。

つまりは、政府関係機関や大手の会社だけが対応すれば良いわけではない。日本並びに日本語でホームページを運用している全ての会社や団体もその改ざん対象になっている現状を理解いただくとともに、適切な対策を取って頂きたいと考えている。

一方、今回発生したことは、国内で言えば不正アクセス禁止法違反などの刑事事件に該当する行きすぎた「政治的抗議行動」ではあるが、高々「落書き」でもある。昨今、社会的な問題にもなっている所謂サイバースパイ、組織内に忍び込みこそこそと情報を盗み続けている輩の方が遥かに大きな課題である。しかし、ホームページが改ざんされるということは、まず、国際的信用を第一とする組織としては看過できない事件である。次に、一般的な企業や団体にとっても、現実的には後述するが大きな衝撃ともなっている。

今回、この事件に関する私なりの「見立てと対策」に関して意見を述べる。皆様の事業継続や対策にお役に立てれば幸いである。

※ここでの記載はあくまでも執筆者個人としての見立てであり、株式会社ラックを代表した意見ではない。記載内容に沿った対策を行い被害や損害などが生じても、筆者並びに株式会社ラックは一切の責任を負わない。各自の自己責任での対策をお願いする。

 

事象概要

9月14日頃から、政府関係機関、大学、大学病院、企業の健保組合などのホームページが改ざん報道された。その後、多くの一般企業や団体などにおいて改ざんが確認された。

改ざん例:(画像クリックで拡大表示)

改ざん例1

改ざん例2

改ざん例3

改ざん例4

改ざん例5

改ざんされたホームページの特色

ホームページで利用しているアプリケーションサーバやCMS(コンテンツ管理システム)などの欠陥や設定の不備が原因と推測される。基本的に、インターネットの掲示板やチャットなどを通じて改ざんなどの呼びかけ、それに呼応して改ざんが行われたと見られる。その為、使用された道具も限られており、所謂高度なハッキング技術が駆使されているわけではない。また、改ざんされたホームページなどを分析することで、犯人がどのようにして改ざんするホームページの見当をつけたかが推測可能である。

基本的には検索サービスを悪用し「改ざん候補ホームページのリスト」を得て、攻撃を行ったと推測する。

  1. まずは政府関係機関を対象に検索。例えば、"site:go.jp"などのキーワードで検索を行う。
  2. 次に、関連機関の検索。例えば、"site:or.jp"など。
  3. その後、手当たり次第に日本の組織を検索。例えば、"site:jp"
  4. 最後に、検索のオプションで使用言語を日本語に限定し検索。

改ざん可能かどうかの見当は、利用しているアプリケーションサーバの特徴で検索する。弊社JSOCから公開した、以下の注意喚起内に彼らが使用していると推測できる検索方法を記載しているので、参考にして頂きたい。

恐らく改ざん実行者は、上記の検索キーワードに、例えば、"inurl:asp?id="、"inurl:action filetype:action"、"inurl:php?nid="などを加えて、検索していると推測する。

※ 攻撃件数の増加について
http://www.lac.co.jp/security/alert/2012/09/18_alert_01.html

 

改ざんされると

改ざんされても「元に戻せば良いじゃないか」

多くの経営者は口には出さないが、薄々考えていることである。しかし、実際は以下のようなことが起きる。

1.元に戻しても何度も改ざんされる。

改ざんという行為は、「侵入してペンキを塗る」ということなので、扉が開いている限りは、再度塗られることになる。しかも、犯人同士で「成果」を誇示しあっているので、元に戻っていると、扉が開いたままになっている限り、何度も改ざんされるのは自明の理である。

→ 脆弱性対策あるいは攻撃をブロックするなどの対策が必要である。

2.脆弱性を無くしても何度も侵入される。

改ざん被害にあったところを実際に調査すると、改ざんだけではなく裏口(所謂バックドア)を仕掛けられているケースをよく見かける。そうすると、単に脆弱性を無くしても、いつでも何度でも裏口を経由して改ざんされることになる。

もう一点。今回の活動は技術レベルの高い攻撃ではない。その為、以前より既に侵入者(恐らくは改ざん犯とは別)が潜んでいたことも、よく見かける。逆説的であるが、改ざんされたお陰で、以前からの悪質な侵入者の存在に気がつくことが出来たとも言える。皮肉な話であるが実際にはよく見かけるパターンである。

→ バックドアの排除などシステム全体が正しい状態で動作しているかを確認しなければならない。

3.個人情報は大丈夫なのかという問いへ応えなければならない。

改ざんされたことを隠し通すことは大変難しい。その為、取引先や利用者に対して説明責任を果たさなければならなくなる。何故ならば「侵入」されたので、そこに個人情報やそれに類する情報、あるいは取引先とのメールや関連書類などが漏えいしていないかどうかを確認しなければならないからである。場合によっては、調査範囲はオフィスの機器など全般に及んでしまう場合もある。

以上のようなことから、会社の日常業務が週の単位で停止してしまうこともざらにある。長引けば、事業継続上危機的な状態に陥ってしまうことすらある。

つまり「初動が肝心」ということである。

事前の対策

今回のように「政治的な抗議行動」が起きそうになったら確認すべきことがある。

1.自分のサイトが標的になり得るかの確認。

前述の注意喚起で記載しているようなやり方で自分のホームページが改ざん候補リストに上がっているのかを確認する。自分の店が抗議行動の通り道になっているかを確認するイメージである。これで、安心は出来るわけではないが、このような事件に効率よく対応できることとなる。

→ この自己診断を元に、何を確認すべきかが分からない人は、専門家に相談することをお勧めする。

2.物色されていないかの確認。

改ざん候補の検索結果から犯人は当該ホームページを確認することが一般的である。要は検索結果をクリックするのである。そして、当該ホームページを閲覧し、実際に改ざん可能かどうかなどを確認していると推測される。もちろん、検索結果から機械的に改ざん攻撃を仕掛けるかもしれないので、全てでそうであるとは言えない。しかし、そうやって物色された場合、ホームページのアクセスログにその痕跡が残るので確認できる。

ホームページの運用の一環で、閲覧した人の分析を行っているところは多い。どこのブログから紹介されたのか、どんなキーワードで検索されてたどり着いたのかなどである。よって、通常では検索しないようなキーワードで閲覧しているログは、例えると「目つきの悪い怪しい訪問者」の記録であるとも言える。

このような怪しい訪問者の存在を確認出来たら、建物全体の戸締りを確認すると同時に、政府機関などで有れば、情報をうまく共有し事前の備えをさらに強化して頂きたい。これは、事後でも行えることである。

また、IPAから攻撃の痕跡を確認できるツールも公開されているので、こちらも試して頂きたい。

※ ウェブサイト攻撃の検出ツール「iLogScanner」
~ウェブサイト管理者は、ログを分析する習慣を~
http://www.ipa.go.jp/about/press/20100827.html

3.万一への備え

万全にしているつもりでも改ざんされることはある。特に大きな組織では本丸は大丈夫だが、支店、子会社や海外拠点などで事件は起きるものである。犯人は「抗議行動」の一環なので改ざんが目的であり、単に検索エンジンで物色するからである。相手はどこでも良いのである。また、今回とは別な手口(道具)が使われる可能性もあるし、最悪はホームページ更新担当者のパソコンが乗っ取られることもあり得ることだ。

その為、どんなに対策をしても、改ざんはあり得るとの心構えが重要である。

これは、改ざんに限った話ではない。対策をしたために「安心しきってしまう」ことこそが、最悪に陥ってしまう元凶の一つでもあることを認識しよう。

1)万一の場合の停止範囲
2)再開に向けての経営意思
3)相談相手の確保
4)予算措置

などを軸に、今回被害に遭遇しなかった組織も考慮してみることは有効である。

 

日頃の心構え

現実は、常時セキュリティを意識し事業を継続するのは無理もある。人はブレーキよりアクセルを踏みたいものだ。また長時間、集中を持続することも出来ない。良くも悪くも慣れるものである。

その為、適時に適度な「喝」が有効である。

今回のような騒動を契機に、例えば「サイバー防災月間」なるものを設け、点検や演習を行うのは効果的である。

ポイントを押さえた効果的な対策を行っていただきたい。

免責:
本ブログの掲載内容は、執筆者個人の見解に基づいたものであり、必ずしも株式会社ラックの立場、戦略、意見を代表するものではありません。また、本ブログの情報を利用したことにより、直接的あるいは間接的に損害や債務が発生した場合でも、株式会社ラックは一切の責任を負わないものとします。内容は掲載同時のものであり、現在のものとは異なる場合がございます。

  • メールマガジン
  • セキュリティ情報