【未確認情報】カカクコム事件 ワームによる攻撃の可能性 続報 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.16(土)

【未確認情報】カカクコム事件 ワームによる攻撃の可能性 続報

製品・サービス・業界動向 業界動向

編集部ではカカクコムをはじめとする大手サイトの改ざん、ウィルスばらまき、情報漏洩について情報を収集してきたが、最終的な原因などについて特定することができなかった。
可能性あるいくつかのシナリオを整理することができたので、そのうちのひとつを読者の参考にしていただくために「読物」として、今回掲載させていただくことにした。
このシナリオは今回のケースだけではなく、今後、大量無差別攻撃に利用されることで大きな脅威になりうる可能性を有している。

>> 既知のワームと新種のワームのワームの2つの可能性
>> 既知のSantyワームの可能性と新種のミミック・ワームの可能性

編集部が考慮した可能性のひとつにワームを利用した攻撃がある。ワームの可能性があると考える理由は下記である。
・phpBB の既知の脆弱性をついたSQLインジェクション攻撃が行われた可能性
 が高い
 既知のワームが用いる攻撃のひとつに類似している
・攻撃対象はサーチエンジンで「viewtopic.php」を含むキーワードで検索し
 て探した可能性がある
 この検索方法は既知のワームが用いるものであり、今回のケースでも攻撃
 対象はこのキーワードにヒットするようになっていた。
 http://www.google.com/search?hl=ja&q=viewtopic.php+site%3Akakaku.com&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja
・一連の攻撃は手動による高度なものではなく、機械的に同じ手順で実行さ
 れた可能性が高い

phpBB の既知の脆弱性をついたSQLインジェクション攻撃は、やり方さえわかればある程度のネットとSQLの知識があれば誰でも実行可能である。防御方法も複数存在する。とりあえずソフトあるいはアプライアンスを買ってくれば防御できてしまうので、この攻撃を有効に活用するには多数のサイトの中から防御していないサイトをピックアップする必要がある。多数の対象に対してパターン化されたことを機械的に実行するのは人手よりはワームの方がはるかに効率的である。

なお、ワームの可能性は必ずしも他の攻撃方法の可能性に比べて高いわけではない。しかし、他のサイトでも起こりうる脅威として今回紹介することとした。特にミミック・ワームについては、知られていないこともあり、参考情報として知っておくことは有効と思われる。

ワームの攻撃だった場合、可能性は2つある。
ひとつは既知のワームに単純に感染したという可能性。もうひとつはなんらかの新種のワームを利用した可能性。

>> 既知のワームは簡単に防御可能

既知のワームであるとすると可能性が高いのは、Santy系のワームである。Santy系のワームにはWindowsで動作するものがあるので、今回のターゲットになったサイトも餌食になる可能性があった。しかし、今回サイトにうめこまれた利用者にウィルスをきちらす仕掛けは既知のSanty系のワームには見られない特徴である。ある種のSanty系のワームが感染した場合、外部からリモートでターゲットサイトにコマンドを送ることできる。これを利用すれば、今回のケースのような攻撃も可能となる。また、特定サイトからスクリプトをダウンロードしてくるようなタイプもある。
ただし、Santy系のワームはサーバに感染するのでサーバにアンチウィルスソフトが導入されていれば、感染する可能性は低い。
当初、最高のセキュリティとまで表現していたサーバにアンチウィルスソフトが導入されていない可能性は低いと考えられる。
さすがに素人の初心者でもない限り、アンチウィルスを導入していないことは考えにくい。

12月22日 ウイルス対策ベンダ各社がSantyに対する警告を発表
https://www.netsecurity.ne.jp/8_1137.html
01月05日 ウイルス対策ベンダ各社がSantyに対する警告を発表(更新情報)
https://www.netsecurity.ne.jp/8_1197.html

>> ミミック・ワームによる攻撃の可能性

今回のケースで発見されたのとまったく同じ症状を自動的に引き起こす既知のワームはないので、既知のワームではない可能性もある。
攻撃者が発見される可能性を低くするために、自動攻撃するワームで攻撃した可能性もある。
サーバに感染するタイプでなく、クライアントに感染し、クライアントからサイトに対して自動攻撃を仕掛けるタイプのワームであれば、サイト側でアンチウィルスソフトを導入していても攻撃可能である。
しかし、既知のワームでないとすると新種のワームとしてアンチウィルスベンダに発見されてもよいはずであるが、その報告はない。
非常に感染力、感染範囲がせまいために発見されにくいワームという可能性もあるが、攻撃に利用する目的からこれは考えにくい。
なんらかの理由でアンチウィルスベンダが発見にしくい新種のワームということになる。
感染を広げながら、発見しにくいワームでもっとも簡単で汎用性の高いものは「既知のワームもしくはウィルスとして検知され、駆除される」ものである。なぜなら、「既知のワームとして検知され、駆除される」ものは新種のワームとしては認識されにくいのである。
既知のワームに擬態した新種ワームのことを「ミミック・ワーム」と呼ぶ。「既知のワームとして検知され、駆除される」のでは感染が広がらないのではないかという疑問もあると思うが、既知のウィルスやワームに感染する無防備なPCは多数存在する。ある程度の感染力が低いことを我慢すれば、発見しにくいウィルス、ワームの感染を広げて攻撃の準備を進めることが可能である。
重要インフラに対するサイバーテロや感染したサイトから情報を盗んだりすることが目的であればミミック・ワームのように見つかりにくい方がいい。
クライアントに感染してサイトを攻撃するミミック・ワームの場合、発見が困難であるだけでなく、犯人の特定も困難である。感染した無数のクライアントから攻撃が実行されている上に、感染経路をたどるのも困難である。
このようにミミック・ワームは検出の難しさや犯人特定の難しさから大量無差別攻撃のツールとして有効とされる。フォレンジックについても一般の手動による攻撃とは異なる方法論が必要とされる。

大量無差別攻撃に無防備なサイバーテロ対策
http://old.netsecurity.ne.jp/article/7/3144.html
http://old.netsecurity.ne.jp/article/7/3147.html

>> 待たれるサイト側の情報公開 アンチウィルスソフト未導入?

どのような形で攻撃を受けて被害を受けたかは最終的にはサイト側の発表を待つしかないのであるが、サイト側では公表する意思がないことを明らかにしている。
ワームの可能性についてもサイト側の情報がなければ検証のしようがない。さまざまな媒体が情報公開の必要性を訴えているが、本誌でも同様に情報公開を求めたい。
そうでないと、アンチウィルスソフトの導入を怠ってSanty系のワームの侵入を許したのではないかというかんぐりも出てきそうである。
もし、ミミック・ワームによる攻撃が用いられたのであれば、事例の少ない攻撃であるので、今後の貴重な情報となることは間違いない。

関連情報
05月24日 価格.com 原因についての説明なしのまま、24日午後に再開
https://www.netsecurity.ne.jp/1_2890.html
05月19日 【続報】カカクコム、改竄されたページの一覧を公開
https://www.netsecurity.ne.jp/1_2846.html
05月18日 【未確認情報】カカクコム事件 高度な攻撃ではなくワームの可能性!?
https://www.netsecurity.ne.jp/1_2800.html
05月16日 価格.com、改竄被害で一時閉鎖へ、 閲覧者はウイルス感染の可能性も
https://www.netsecurity.ne.jp/1_2769.html
05月16日 5月16日のWeb改竄情報
https://www.netsecurity.ne.jp/9_2772.html

関連コラム
05月26日 大手サイトの「4つのやりません宣言」 サイバーノーガード戦法を超えた必殺のサイバークロスカウンター!
https://www.netsecurity.ne.jp/1_2937.html
05月17日 カカクコム続報 実はサイバーノーガード戦法? 最大の問題は無知の脆弱性
https://www.netsecurity.ne.jp/1_2777.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

    カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

  3. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  4. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  7. ダークウェブからAIで情報収集(DTRS、IISEC)

  8. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  9. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  10. 学校の自殺予防体制、情報セキュリティ技術活用

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×