編集部ではカカクコムをはじめとする大手サイトの改ざん、ウィルスばらまき、情報漏洩について情報を収集してきたが、最終的な原因などについて特定することができなかった。可能性あるいくつかのシナリオを整理することができたので、そのうちのひとつを読者の参考にしていただくために「読物」として、今回掲載させていただくことにした。このシナリオは今回のケースだけではなく、今後、大量無差別攻撃に利用されることで大きな脅威になりうる可能性を有している。>> 既知のワームと新種のワームのワームの2つの可能性>> 既知のSantyワームの可能性と新種のミミック・ワームの可能性編集部が考慮した可能性のひとつにワームを利用した攻撃がある。ワームの可能性があると考える理由は下記である。・phpBB の既知の脆弱性をついたSQLインジェクション攻撃が行われた可能性 が高い 既知のワームが用いる攻撃のひとつに類似している・攻撃対象はサーチエンジンで「viewtopic.php」を含むキーワードで検索し て探した可能性がある この検索方法は既知のワームが用いるものであり、今回のケースでも攻撃 対象はこのキーワードにヒットするようになっていた。 http://www.google.com/search?hl=ja&q=viewtopic.php+site%3Akakaku.com&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja・一連の攻撃は手動による高度なものではなく、機械的に同じ手順で実行さ れた可能性が高いphpBB の既知の脆弱性をついたSQLインジェクション攻撃は、やり方さえわかればある程度のネットとSQLの知識があれば誰でも実行可能である。防御方法も複数存在する。とりあえずソフトあるいはアプライアンスを買ってくれば防御できてしまうので、この攻撃を有効に活用するには多数のサイトの中から防御していないサイトをピックアップする必要がある。多数の対象に対してパターン化されたことを機械的に実行するのは人手よりはワームの方がはるかに効率的である。なお、ワームの可能性は必ずしも他の攻撃方法の可能性に比べて高いわけではない。しかし、他のサイトでも起こりうる脅威として今回紹介することとした。特にミミック・ワームについては、知られていないこともあり、参考情報として知っておくことは有効と思われる。ワームの攻撃だった場合、可能性は2つある。ひとつは既知のワームに単純に感染したという可能性。もうひとつはなんらかの新種のワームを利用した可能性。>> 既知のワームは簡単に防御可能既知のワームであるとすると可能性が高いのは、Santy系のワームである。Santy系のワームにはWindowsで動作するものがあるので、今回のターゲットになったサイトも餌食になる可能性があった。しかし、今回サイトにうめこまれた利用者にウィルスをきちらす仕掛けは既知のSanty系のワームには見られない特徴である。ある種のSanty系のワームが感染した場合、外部からリモートでターゲットサイトにコマンドを送ることできる。これを利用すれば、今回のケースのような攻撃も可能となる。また、特定サイトからスクリプトをダウンロードしてくるようなタイプもある。ただし、Santy系のワームはサーバに感染するのでサーバにアンチウィルスソフトが導入されていれば、感染する可能性は低い。当初、最高のセキュリティとまで表現していたサーバにアンチウィルスソフトが導入されていない可能性は低いと考えられる。さすがに素人の初心者でもない限り、アンチウィルスを導入していないことは考えにくい。12月22日 ウイルス対策ベンダ各社がSantyに対する警告を発表https://www.netsecurity.ne.jp/8_1137.html01月05日 ウイルス対策ベンダ各社がSantyに対する警告を発表(更新情報)https://www.netsecurity.ne.jp/8_1197.html>> ミミック・ワームによる攻撃の可能性今回のケースで発見されたのとまったく同じ症状を自動的に引き起こす既知のワームはないので、既知のワームではない可能性もある。攻撃者が発見される可能性を低くするために、自動攻撃するワームで攻撃した可能性もある。サーバに感染するタイプでなく、クライアントに感染し、クライアントからサイトに対して自動攻撃を仕掛けるタイプのワームであれば、サイト側でアンチウィルスソフトを導入していても攻撃可能である。しかし、既知のワームでないとすると新種のワームとしてアンチウィルスベンダに発見されてもよいはずであるが、その報告はない。非常に感染力、感染範囲がせまいために発見されにくいワームという可能性もあるが、攻撃に利用する目的からこれは考えにくい。なんらかの理由でアンチウィルスベンダが発見にしくい新種のワームということになる。感染を広げながら、発見しにくいワームでもっとも簡単で汎用性の高いものは「既知のワームもしくはウィルスとして検知され、駆除される」ものである。なぜなら、「既知のワームとして検知され、駆除される」ものは新種のワームとしては認識されにくいのである。既知のワームに擬態した新種ワームのことを「ミミック・ワーム」と呼ぶ。「既知のワームとして検知され、駆除される」のでは感染が広がらないのではないかという疑問もあると思うが、既知のウィルスやワームに感染する無防備なPCは多数存在する。ある程度の感染力が低いことを我慢すれば、発見しにくいウィルス、ワームの感染を広げて攻撃の準備を進めることが可能である。重要インフラに対するサイバーテロや感染したサイトから情報を盗んだりすることが目的であればミミック・ワームのように見つかりにくい方がいい。クライアントに感染してサイトを攻撃するミミック・ワームの場合、発見が困難であるだけでなく、犯人の特定も困難である。感染した無数のクライアントから攻撃が実行されている上に、感染経路をたどるのも困難である。このようにミミック・ワームは検出の難しさや犯人特定の難しさから大量無差別攻撃のツールとして有効とされる。フォレンジックについても一般の手動による攻撃とは異なる方法論が必要とされる。大量無差別攻撃に無防備なサイバーテロ対策http://old.netsecurity.ne.jp/article/7/3144.htmlhttp://old.netsecurity.ne.jp/article/7/3147.html>> 待たれるサイト側の情報公開 アンチウィルスソフト未導入?どのような形で攻撃を受けて被害を受けたかは最終的にはサイト側の発表を待つしかないのであるが、サイト側では公表する意思がないことを明らかにしている。ワームの可能性についてもサイト側の情報がなければ検証のしようがない。さまざまな媒体が情報公開の必要性を訴えているが、本誌でも同様に情報公開を求めたい。そうでないと、アンチウィルスソフトの導入を怠ってSanty系のワームの侵入を許したのではないかというかんぐりも出てきそうである。もし、ミミック・ワームによる攻撃が用いられたのであれば、事例の少ない攻撃であるので、今後の貴重な情報となることは間違いない。関連情報05月24日 価格.com 原因についての説明なしのまま、24日午後に再開https://www.netsecurity.ne.jp/1_2890.html05月19日 【続報】カカクコム、改竄されたページの一覧を公開 https://www.netsecurity.ne.jp/1_2846.html05月18日 【未確認情報】カカクコム事件 高度な攻撃ではなくワームの可能性!?https://www.netsecurity.ne.jp/1_2800.html05月16日 価格.com、改竄被害で一時閉鎖へ、 閲覧者はウイルス感染の可能性もhttps://www.netsecurity.ne.jp/1_2769.html05月16日 5月16日のWeb改竄情報https://www.netsecurity.ne.jp/9_2772.html関連コラム05月26日 大手サイトの「4つのやりません宣言」 サイバーノーガード戦法を超えた必殺のサイバークロスカウンター!https://www.netsecurity.ne.jp/1_2937.html05月17日 カカクコム続報 実はサイバーノーガード戦法? 最大の問題は無知の脆弱性https://www.netsecurity.ne.jp/1_2777.html
