記事登録
2008年12月26日(金) 00時00分

日本を襲う史上最悪のサイバー攻撃読売新聞

 日本を狙ったと思われるサイバー攻撃が12月14日から爆発的に増えている。検知した攻撃数だけでも1日で100万件を越えた。このサイトは見ただけで感染する可能性が高く、注意が必要だ。(テクニカルライター・三上洋)

1日100万件のサイバー攻撃が続く

ラックの監視センター「JSOC」での攻撃検知数。12月14日ごろから急激に増え、12月20日には1日100万件を越えた(ラック「【緊急注意喚起】改ざんされたWebサイト閲覧による組織内へのボット潜入被害について」

 企業向けセキュリティー対策大手のラックが、「【緊急注意喚起】改ざんされたサイト閲覧による組織内へのボット潜入被害について」という緊急リリースを出した。

 今までに例を見ない大量同時攻撃であり、ラックの監視センターである「JSOC」が検知した攻撃数は、12月20日の1日だけでも100万件を越えている。過去最悪だった10月の1か月の攻撃検知数が25万件だったから、たった1日で4倍もの攻撃が行われたことになる。ラックによれば、12月26日の時点で12月の累積攻撃検知数は1000万件を突破しており、過去最悪だった10月の40倍もの数字となっている。

 攻撃方法はSQLインジェクション攻撃によるものだ。サイトの表示に使われているデータベース(SQL)を改ざんし、犯人が設置したサイトへ誘導する不正なスクリプトを埋め込む。今回の例では、4つのサイトに誘導され、そのサイトで不正なプログラムを仕込まれ、ウェブサイトを見た一般ユーザーが感染してしまう。そして感染するとパソコンにボットが忍び込み、そのボットが再び攻撃を行うという流れだ。

 ボットとはロボットのように犯人に遠隔操作されてしまう不正なプログラムのこと。最近のサイバー攻撃では、このボットによってSQLインジェクション攻撃を繰り返す手口が増えている(参考記事「個人PC経由の企業サイト攻撃、急増」)。


攻撃元のIPアドレス数の推移。12月20日現在で約4000件のIPアドレスから攻撃が行われている。感染して攻撃側に回ってしまったパソコンが増えたためか、12月18日ごろから日本のIPアドレスからの攻撃が増えてきた(ラック「【緊急注意喚起】改ざんされたWebサイト閲覧による組織内へのボット潜入被害について」

 その状況証拠ともいえるのがこのグラフで、ラックの監視センターが検知した攻撃をIPアドレス別にまとめたもの。おおまかにいって「ボットなどに感染して、攻撃側に回ってしまったパソコン・サーバー」の数だと考えればいい。当初は韓国の数が多かったが、12月18日ごろから日本国内の数が増えており、12月20日には1000件弱まで増えている。ラックによれば「ボットに感染した日本国内のパソコンからの攻撃が増加したと推測している」とのことで、ボットによる被害が拡大していることがうかがえる。

有名ウイルス対策ソフトでも未対応?

 この攻撃の被害を受けたと思われるサイトが大量にある。報道されただけでも、東京都福祉保険局の「東京都障害者サービス情報」、日本体育協会、福井県の坂井地区介護保険広域連合、神奈川県のかながわ福祉サービス振興会などのサイトにスクリプトが埋め込まれていた。いずれもデータベースを使い表示していたサイトで、SQLインジェクション攻撃に遭って不正なスクリプトを埋め込まれたようだ。

 このほかにも12月26日現在で、不正なスクリプトが埋め込まれたままになっているサイトが大量にある。筆者が調べただけでも、大手転職サイト、京都市議会の民主党議員の公式サイト、大手レンタル掲示板サイト、中小の通販サイトなどが被害に遭っている。またタイ国政府関連の日本向けサイト、日本向けのアメリカ電話帳・情報サイト、といった日本向けのページでも被害が出ている。これらのサイトには、犯人が設置したサイトへの誘導するスクリプトが埋め込まれており、表示するだけで感染する可能性が高い。

 もう一つ大きな問題がある。それは今回のボットに対してウイルス対策ソフトの更新が遅れていることだ。ラックでは「未対応のウイルス対策ソフトがあるため注意が必要だ」と呼びかけている。ウイルス対策ソフトの検知状況をまとめている「ウイルストータル」によれば、12月26日現在で対応できていないウイルス対策ソフトがある。日本でもシェアの大きいウイルス対策ソフトの一部が未対応なので注意が必要だ(詳しくはラックの緊急プレスリリースを参照)。

攻撃対象から中国政府を除外=犯人は中国から?

 今回の攻撃は、一般ユーザーに感染したボットから行われているため、犯人を追跡することは難しい。しかし状況証拠から、犯人は中国在住ではないかと思える節がある。ラックによると「解析したところ、中国政府と中国の学校のドメインは攻撃しないように指定していた」とのこと。中国政府のドメインである「gov.cn」と中国の学校関連のドメイン「edu.cn」だけは、SQLインジェクション攻撃をしないようにプログラムされていたのだ。

 ラックによれば「あくまでも推測だが、中国国内で騒ぎになって摘発・検挙されていることを恐れて除外したのではないか?」とのこと。さらに攻撃対象を探す検索サイトに、中国最大手の検索サイト「百度」を使っていることも、状況証拠の一つと言えるだろう。

 以前の記事「サイバー攻撃は「中国黒客」が犯人か」でも取り上げたが、中国からと思われる日本のサイトへの攻撃が続いている。史上最悪となった今回の攻撃は、年末年始の休暇を控えているだけに、さらに被害が拡大することも考えられる。一般ユーザーが注意することはもちろん、企業サイトの管理者も警戒が必要だろう。ウイルス対策ソフトが早く対応することも望みたい。

http://www.yomiuri.co.jp/net/security/goshinjyutsu/20081226nt0b.htm