ラック取材メモ

20080327_canon-eos-40d_ef24-105mm-f-4l-is-usm_01.jpg

3月27日はラックへの取材。記事はZDnetとBuilderに掲載。取材自体はなかなか良かったが、文字数の関係上落とした部分を取材メモとして残しておきます。写真はラックによる改ざん状況を調べるためのGoogle検索の結果。当日の取材記事がニュースサイトに上がってブログを書く人が増えたせいか、27日付で調べると一気に数が増えている。


ラック自身は04年ごろからSQLインジェクションの攻撃を「マークしていた」(川口氏)そうで、同社のIDS/IPS向けの定義ファイル「JSIG」にSQLインジェクション検出用の定義を導入していたという。当初は攻撃自体はほとんど観測されなかったが、05年以降攻撃が増加。05年半ばには大手ポータルサイトが攻撃を受けて停止したほか、06年に入って攻撃ツールが出回り始め、07年に入ってから攻撃が急増したという。

ラックが企業に提供しているIDS/IPS、ファイアウォールそれぞれのセンサー(約400社・760センサー)に届いた攻撃だけでも、07年以降、それまでの数千件から一気に4万件に急増。一時2万件程度まで落ち着いたが、昨年12月ごろから再び上昇に転じ、3月26日の時点で3万件程度の攻撃が行われている。「世界や国内のほかの企業でどうなっているのかは分からないが、同様の傾向になっていると考えている」(同)という。

攻撃の傾向についても変化が見られ、当初はWebサーバに侵入してサイトを書き換えたり、ファイル置き場にしようという攻撃が多かったが、こうした攻撃はほとんどなくなり、05年以降はデータベースへの侵入を目的とし、クレジットカード情報などの個人情報を盗もうという金銭目的の攻撃が増加。現在でも「99.99%がこうした攻撃で占められている」(同)。こうした攻撃はいわば企業を狙った攻撃だ。しかし07年以降、サイトを書き換えて不正なスクリプトを埋め込むことで一般ユーザーにマルウェアを送り込んで情報を盗むことなどを目的とした新たな攻撃が出現しているのだという。

今回行われた攻撃は、こうした個人ユーザーを狙った攻撃だ。SQLインジェクションによってデータベースの文字列型を書き換えてスクリプトを実行するタグを埋め込むという手法で、これによってサイトにアクセスしたユーザーは別のサイトにひそかに転送されて、さらにダウンローダーがダウンロードされて別のマルウェアがPC内に取り込まれるなどの被害が発生する、という流れになる。

その「予兆」(同)となったのは昨年11~12月ごろにかけて行われた攻撃だ。ラックが追跡したところ中国のIPアドレスからの攻撃で、あるドメインにアクセスユーザーを転送する形で攻撃が行われ、報道では世界で4万サイトが改ざんされたという。ラックのJSIGはこの攻撃を検出してブロックしていたそうだ。その後12月にも同じIPアドレスから攻撃が行われた。この攻撃では、IDS/IPSの攻撃検知を回避するような手段が盛り込まれていたそうだ。通常のマルウェアも、ウイルス対策ソフトに発見されないような工夫をしているが、IDS/IPSを回避するような手法も取り入れられており、川口氏は「こんなに悪質な攻撃はなかったという印象」を受けたそうだ。

そして今年に入り、3月2~8日にかけてまた同じIPアドレスから特定の企業らに対して攻撃が行われ、同11~13日には別の中国のIPアドレスから別のドメインに転送する形で同じ攻撃が行われた。このとき、「fuckjp」というファイル名のJavaScriptが使われていたため、日本を狙った攻撃にも見えるが、世界中での被害も確認されており、日本だけを狙った攻撃とはいえないようだ。このJavaScriptファイルについて、ラックでは2つを入手、さらにもう1つのファイル名も確認しているが、いくつのJavaScriptが攻撃に使われているかは把握できていないという。

この11日から始まった攻撃に対し、ラックではすぐさま注意喚起を配信。ラックの顧客からも通常時の70~100倍という量のインシデントが寄せられていたという。平行してラックでは調査を行ってきたが、13日には攻撃元のホストが停止して攻撃が終息した。

しかし、19日には前記の攻撃で使われたドメインのAレコードが変更され、別のIPアドレスのホストが立ち上がった。21日には攻撃に使われていたJavaScriptも復活し、24日19時30分ごろから1時間半の間に同社顧客約20社に対してこれまでと同様の攻撃が行われたという。