ホームページ改ざん事件の裏側

呉井嬢次(Johji Kurei) 2005-06-14 09:58:00

 ホームページの改ざん事件が日本で知られるようになったのは、西暦2000年1月に起きた省庁ホームページ連続改ざん事件だ。犯人達は未だ逮捕されていない。当時は、犯行側も匿名でメッセージを残す余裕があった。このため、警察が犯人を特定する前に、犯人らとEメールでコミュニケーションする珍しい現象も起きた。それから5年が経ち、多くの情報セキュリティー製品、サービスは省庁のみならず、企業へも浸透していった。今では、情報セキュリティーのレベルは当時より向上したが、同時に不正アクセスに関するテクニックも高度化、複雑化している。

 世界のコンピューター犯罪統計を眺めれば、ハイテク犯罪の統計で最も引用される「コンピューター犯罪とセキュリティ・サーベイ」(http://www.gocsi.com/)、フッシングに関する統計を毎月発表しているアンチ・フィッシング・ワーキング・グループ(http://www.antiphishing.org/)など、被害件数も一向に減っていない。情報セキュリティー対策が技術面、管理面、法律や制度など、十分に追いついていない。

 ホームページの改ざんでは、被害に遭った企業が原因を公開しないことに非難が集中することがある。非難の大半が、不正アクセスの手口をオープンにしなければ、更なる被害防止に役立たないという意見だ。これには、安易に賛同するのは要注意だ。泥棒が入られて、関係者に謝罪しても、その手口を詳しく公表する義務はないからだ。私には、自らの不安を静める理由をネットでしか探せない者の叫びに聞こえる。

 自分の身を安全な場所に置きつつ、インターネットを経由し、対象システムのOSやアプリケーションのバナー情報を探し出す。そして検索サイトの履歴、ネットクラフト(http://www.netcraft.com/)からシステムの情報を収集する。電子掲示板で情報交換する。こうしたやり方は、5年前と変わっていないのである。ただし、実際に足を使って調べなければ、問題の本質に迫ることはできない、というのも同じである。

 だから、実際に被害を受けた会社を訪問している。ある企業で訪問した第一印象は、とても最高級レベルのセキュリティー対策を施している場所とは思えなかった。実は、訪問前に最高レベルのセキュリティー対策であると聞いていたのだが、あっさり裏切られた。全てを明らかにすることは控えるが、まず、職場への入室におけるセキュリティー対策が甘い。共連れによる入室が可能だし、訪問者に対する本人確認すら不十分だった。当然ながら、入退室記録も自動化されておらず、保管もできていないことは明らかだ。これでは不正アクセスの手口をオープンにできないのは当然だろう。発見されていない脆弱箇所への攻撃、未知なる攻撃手法が使われたことが原因ではなく、最高級レベルではない複数のセキュリティー対策の継続が原因のように感じた。不正アクセスされる原因が一つで説明できる程、情報システムは単純にできていない。小説「レディー・ジョーカー」のように、もう少し世の中は複雑にできている。

 漠然とした話が続いたので、別な話題にしよう。5月にカカクコムのホームページが改ざんされた。周囲の情報を総合した結果、従来のネットワーク犯罪者とは異なる点が3つある。

・非常に周到な準備が行われている
 不正アクセスを成功させるには、入念な準備が欠かせないが、特に今回は、侵入する以外に、コンピューターウイルスを用意していた点だ。ちなみに、発見箇所が限定され、被害箇所、感染スピード、感染経路、復旧する側の対応からも、ワーム単独によるウェブ改ざんではない。犯人による不正アクセスが成功した後にウイルスが解き放たれたと考えるのが筋だ。そして複数のウイルス対策ソフトウエアでも検知できないタイプのウイルスの選択は、事前に確認していたと考えるのが妥当だ。準備には相当な時間をかけており、攻撃対象のシステム構成を調べ、攻撃の検証も別な場所で行われていることは間違いないだろう。

・攻撃を仕掛ける絶妙なタイミング
 不正アクセスが決算発表の時期に合わせて実施されたのは、偶然だろうか。計画的な犯行は、犯人にとって最大の効果を狙う。攻撃後には決算発表が控えていた。上場企業であれば、予想の範囲内である。5月17日に発表された平成17年3月期の決算短信では、不正アクセスが原因で業績予想を開示できなかった(http://www.kakaku.com/info/ir_release/ir050517_2.pdf)。結果として、株価に影響を及ぼしている。通常の株式の出来高が数百株であるのに、数倍に膨れ上がった。具体的な株価の動きは略すが、株を売買していれば、概算で数千万から1億円を手にした計算になる。もし既存の脆弱性を突く攻撃であれば、Exploitコードを動かして簡単に大金を手にしたことになり、企業には対応が求められる。

・フォレンジック対策を妨害する行動
 不正アクセスが行われた場合、システムに残された情報を手がかりに、犯人を追跡する技法がある。裁判の証拠にできる証跡資料を集める点から注目され、米国司法省から2001年に資料が公開されている(http://www.ncjrs.org/pdffiles1/nij/187736.pdf)。ところが、今回はフォレンジックを妨害する方法が使われた可能性が見られる。フォレンジックを妨害する方法を、アンチフォレンジックという表現もある。今回の場合は、「コンピューターウイルスを使うことによって、大量のアクセスを促してログの分析を困難にさせる(ログを溢れさせる)」、「外部からの問合わせを増やし、インシデント・レスポンスチームの負荷を増加させる」等によって、企業や警察などのフォレンジック対策を意識した行動をしている。色々な状況を作り出し、結果として、電子メールアドレスを盗み発覚を遅らせることに成功している。

 以上3点から、このような不正アクセスは、これまでのホームページの改ざんとは区別できる。原因がどこにあるにせよ、今後のホームページの改ざんは、技術的な問題を超えた事件に広がる予感がする。企業の情報システムにはセキュリティー製品を導入することになるが、企業の敵対的な買収、情報漏えい等、経営者を巻き込んだ対策を検討する時代がやってくるに違いない。

 最後に、著者はカカクコムの株価の下落を阻止すべく、6月7日に一株80万円弱で大量の株を購入した(おかげで7日の売買高は1000を超えてしまった)。なぜなら、犯人らが最初の株価下落時(17日頃)に儲けた金を、下落後に再び株を購入して上昇した時に売って儲けることが予想できたからだ。大量の買い支えによって、計画は失敗に終ったことだろう。ちなみに7日に80万円強で全て売り、意外な儲け(数十万円)になった。6月13日現在、株価は1株84万まで回復している。ホームページの改ざんによって、カカクコムのホームページへが広く知られるようになった。ホームページへのアクセス数は増加し、バナー広告による収入も増えている。セキュリティー対策が強化されると、利用者は増加していくだろう。ホームページの改ざん事件の裏では、色々な思惑が渦巻いているのだ。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR