SQL インジェクションの猛威、オートランの脅威が顕在化―2008年 IT セキュリティ

この記事のURLhttp://japan.internet.com/webtech/20081216/5.html

個人情報の漏洩やフィッシング詐欺、マルウェアの拡大などシステムの脅威が日々拡大している。

2008年は、特に、SQL インジェクション攻撃の爆発的な増加や USB メモリなどリムーバブルメディアを媒介して感染するマルウェアの脅威が拡大した。

また、システムへの攻撃を行ったり、マルウェアを作成、使用して個人情報、機密情報を盗み出すサイバー犯罪の組織化、ビジネス化も目立ったようだ。

以下では、これらの2008年の情報セキュリティを振り返り、大きな話題となったものを取り上げる。

■SQL インジェクション攻撃の拡大
一つの攻撃が大きく拡大し、今年、一気にその名を轟かせた。それが SQL インジェクションだ。報道でも BusinessWeek.com やソニー PlayStation の米国の Web サイトが被害にあったことが明らかになっている。

この攻撃手法は、Web サイトやデータベースに SQL 文やその一部を入力し、システムに管理者の意図しない処理をさせ、データベースに不正にアクセスする攻撃だ。攻撃が成功すると、Web コンテンツ (Web サーバー) から接続しているデータベース サーバーに、特別な細工を施した SQL 文を処理させる事でコンテンツを改竄する。

ただ、セキュリティ専門家らは、「SQL インジェクション自体は以前から知られていた手法だ」、と昨日今日に登場した攻撃手法ではないと口を揃えて言う。

ラックの報告によると、確かに2005年以前から SQL インジェクションの攻撃自体は存在したようだ。

同社が公表している SQL インジェクション攻撃検知数のグラフを見ると、ツールによる攻撃の自動化からその進化に従い、攻撃検知件数が増加していることがわかる。2007年春ごろに一度活発化した攻撃が、一旦沈静化の動きを見せ、2008年になりまた爆発的に増えた格好だ。ピーク時の2008年10月には、26万6,257件を数え、過去最高を記録した。

一連の SQL インジェクションの爆発的な拡大には、攻撃の効率化があるようだ。トレンドマイクロのサポートサービス本部コアテクノロジーサポートグループリージョナルトレンドラボでシニアアンチスレットアナリストを務める岡本勝之氏は「SQL インジェクションの攻撃も、自動的に攻撃を仕掛けるツールが増えてきた背景にもツールの自動化がある。イタリアンジョブ以来、攻撃の陳腐化、ツールの自動化が進み、日本にも拡大してきた」と解説する。

さらに、サイバー犯罪の手法が進化をやめることはないようだ。JPCERT/CC の早期警戒グループで情報セキュリティアナリストを務める久保啓司氏によると、大規模化する中で、クッキーの中に SQL 文を埋め込むといった高度な攻撃手法にも変化してきているそうだ。

もう一つ今年の SQL インジェクション攻撃の大きな変化がある。それは、攻撃の目的だ。今年、爆発的に増加した SQL インジェクションは、主に、この Web サイトの改竄を目的としたものだったという。

JPCERT/CC で早期警戒グループマネージャ情報セキュリティアナリストを務める鎌田敬介氏は「以前は、SQL 文を注入し、データベースから情報を盗み出すことが目的だった。一方、今年増加した SQL インジェクションはサイトを不正に改竄し、別の有害なサイトへアクセスさせるものだ。これまで情報を盗み出す手段だったものが、より発展した攻撃につなげる一つの手段になっている」と解説する。

同氏に、SQL インジェクション攻撃に対する有効な対策は何か、と尋ねると、「まずもって、サーバーのログを監視することだ」と答える。

続けて、前出の鎌田氏も「ログを取っている組織は多い。しかし、そのログをきちんと分析している組織は少ないのではないか。SQL インジェクションを受けている場合のログは明らかにおかしい。攻撃を受けているかどうかはサーバーのログを見ればすぐにわかる」と話している。

■オンライン犯罪のビジネス化・組織化
2008年、サイバー犯罪は、金銭目的に変化してきている、と何度も説かれた。さらに、同時にサイバースペースでの犯罪が組織化、ビジネス化してきている、とも繰り返し解説されてきており、サイバー犯罪をはたらくハッカー達も、より効率な体制をめざし、組織化、分業化していることが大きく取り上げられた。

ロシアに拠点を置きセキュリティソフトウェアやウイルス検索エンジンを提供する Kaspersky の会長の Eugene Kaspersky 氏は「伝統的なトップダウン型の組織ではなく、それぞれが独立して利益を得るようになってきている」とした上で、「マルウェアの取引、ゾンビネットの運営、情報を盗み出すなどの役割を分担した分業体制が成立している」とサイバー犯罪組織の現状を解説する。

また、「合法ビジネスと対称的にサイバー犯罪がひとつの産業として成立している。さらには、犯罪者たちに狙われる対象も企業や政府、軍部といった組織となっている（同氏）」。

各セキュリティベンダーの調査によると、サイバー犯罪者らは、盗み出した個人情報だけではなく、マルウェアやボットネットなどのツールも取り引きしているそうだ。

個人情報では、「クレジットカード番号と暗証番号」がセットで490ドル、運転免許書の情報が147ドル、米国のソーシャルセキュリティカードが98ドル（マカフィー）などとなっている。

他方、ツールとしては、「マルウェアの基本セット」が1,000ドルから2,000ドル、「エクスプロイト・キットのレンタル（1時間）」が0.99ドルから1ドル、「DoS 攻撃」1日あたり100ドルから（トレンドマイクロ）などとなっている。

各国政府も、ハイテクに対応し、スパイ活動のため組織的なサイバー攻撃を仕掛けている。昨年の11月には、スパイ活動のほかに経済的利益のためにサイバー攻撃を行っていることも明らかになっている。

イギリスでは英国情報局保安部、通称 MI5（エム アイ ファイブ）が、同国の企業に向けてシステム攻撃を防ぐよう注意を促すなど大きな懸案事項となっている。

また、北京五輪直前に起こったチベット暴動の際にも、活動家らを狙った標的型攻撃があったそうだ。当時、チベット開放を支援する組織や人権活動家、メーリングリスト、プライベートフォーラムに偽のEメールが直接送られた。（F-Secure の2008年上半期 IT セキュリティ総括より）

送信された文書は、代表権を持たない国や民族の国際組織（UNPO：Unrepresented Nations and People Organization）から送信されたように装われていた（同資料）。

システムへの攻撃の高度化と共に、サイバー犯罪の、分業体制の確立されたビジネス化、組織化が進んでいる様子をうかがうことができる。

■USB マルウェアの脅威が顕在化
マルウェアは進化し続けている。ウイルスの登場以来、機能を拡大し進化し続けてきたマルウェアは2008年も特徴的な新種が登場した。また、今年のマルウェアは観測される数が前年に比べ爆発的に増加し、例を見ない数のマルウェアが観測された。

まずは、観測されたマルウェアの数を見てみよう。

エフセキュアが公表した「2008年下半期データセキュリティ総括」によると、同社の2008年のマルウェアの総検知数は150万であり、今年追加された検知シグネチャは25万件に上る。この同社の総検知数は2007年に比べると3倍にもなるそうだ。

また、2007年の総検知数（50万件）は2006年までにエフセキュアが検知したマルウェアの総数の2倍にあたる。また、同社が今年に検知したマルウェアの総数は2006年以前に同社に検知されたマルウェアの6倍にもなる。数字だけ見ても、マルウェアの蔓延が非常に拡大していることがわかる。

脅威が増大し感染も広まるマルウェアだが、2008年に登場した特徴的なものは、USB フラッシュメモリを介して感染するマルウェアだ。

トレンドマイクロはこの種のマルウェアを「MAL_OTORUN（オートラン）」としており、今年の夏以降、感染報告数が急激に増加していると注意を促している。

同社が毎月提供する「インターネット脅威マンスリーレポート2008年11月版」では、8月以来4か月連続1位となっており、総報告数における「MAL_OTORUN」の割合も11月は約11％と、2008年で最も大きな割合となっている、と報告する。「USB メモリなどのリムーバブルメディアを感染経路として狙う手法は、今や定番化の様相を呈しており、攻撃者には不正プログラムを侵入させるための有効な手口と認識されている（トレンドマイクロ）」。

さらに、同種のマルウェアはリムーバブルメディアの設定ファイルであり、USB メモリだけが危険な訳ではなく、携帯音楽プレーヤーやデジタルごとフレームなども感染経路となる可能性を秘めている。JPCERT/CC の鎌田氏によると、USB を介して接続するカードリーダーなども同様の危険を孕む可能性があるという。

11月には、デジタルフォトフレーム同梱の CD-ROM の一部がウイルスに感染していたことが明るみに出るなど、リムーバブルメディアからの脅威も存在し続けている。


様々な手口で感染するマルウェアも進化し続けているという。新たなマルウェアをダウンロードするようになり、それぞれ不正なプログラムがモジュール化してきている（同氏）。なるべく小さく、ダウンロードするにもより効率的な手段を用いるようになってきているそうだ。

マルウェアの進化形の一つが詐欺ソフト（スケアウェア）だ。2008年には、セキュリティソフトを模したソフトを利用し、ユーザーの不安をあおり、商品の購入を迫るといったマルウェアも拡大した。スケアウェア自体も、リムーバブルメディアを通して侵入したマルウェアがダウンロードしてくるという現状もある（トレンドマイクロのシニアアンチスレットアナリスト岡本勝之氏）。

さらには、自動的にソフトをインストールさせて、しつこく購入を迫るなど悪質化している手段でもあるようだ。

2008年には、ほかにも、FBI による、サイバー犯罪集団の Web フォーラムが摘発され、米国ではワシントン州とマイクロソフトがスケアウェア業者を訴えた。また、ボットネットの指令サーバーの多くをホスティングしていたとして、米国の ISP の McColo が閉鎖されるといった動きもあった。

JPCERT/CC が発行している「JPCERT/CC REPORT」でも、今年の重大ニュースとして、大規模 SQL インジェクション と手法の進化や ＵＳＢ メモリを経由して感染するマルウェアが取り上げられ、各所で大きな話題を呼んだ。

なお、「JPCERT/CC REPORT」は、同団体の Web サイトから申し込める。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。