価格.com以外の不正アクセス、ウイルス状況はいかに--被害届け数増加

　5月はカカクコムが運営する価格.comの不正アクセス事件が話題を集めた。5月のウイルスや不正アクセス動向が気になるところだ。独立行政法人情報処理推進機構（IPA）は、ウイルスや不正アクセスによる被害の拡大と再発防止に役立てるために、届け出制により情報を集め、毎月その動向を分析している。そして、5月の「コンピュータウイルス・不正アクセス届出状況」が6月6日に公表された。

　これによると、まず、不正アクセスの総届け出件数は94件で、4月の48件から倍増した（グラフ）。ただし、実際に被害にあったのは11件で、4月の24件から減少した。被害の内訳は侵入が10件で、DoS攻撃が1件だった。

グラフ：不正アクセス届け出件数の推移（2004年12月〜2005年5月）

出典：IPA、コンピュータ不正アクセスの届出状況2005年5月分

　侵入では、価格.comのようにウェブサーバに侵入されてコンテンツを改ざんされた被害が7件、利用者がウェブを閲覧しただけでウイルスに感染する仕組みを埋め込まれた事例が1件あった。また、フィッシング詐欺に悪用するために偽コンテンツを設置された事例が3件あった。IPA資料よると、その詳細は以下のとおりだ。

【侵入被害の詳細】

1. ウェブサーバに侵入され、利用者がウェブコンテンツを閲覧しただけで不正なプログラムをダウンロードさせられてしまう仕組みを埋め込まれているのを発見。改ざん行為と修復作業のいたちごっこが繰り返された。改ざん箇所の調査を進めるうちに、データベースでの改ざん形跡が発見されるなどして、最終的には一時的なサイト閉鎖に追い込まれた。原因は不明で、届出元で引き続き調査中。
2. ウェブサーバに侵入され、フィッシング詐欺に悪用するための不正なコンテンツ（某オンライン送金サービスの偽サイト）を設置された。さらに、スパム送信の踏み台にさせられていた。外部から連絡があり発覚。原因は不明。
3. ウェブサーバに侵入され、不正なコンテンツやファイルが設置されているのを発見。さらに、IRCを利用してデータを外部に送信しようとした形跡を発見した。サーバ用セキュリティツールの動作は、停止させられていた。syslogによるログ転送設定の不備のために、ファイアウォールのログが保全されておらず、原因究明に支障を来たした。
4. ルータの設定変更自動通知があったため不審に思い調査したところ、サーバへの侵入・ファイルの改ざんを発見。ルータの設定ファイルが書き換えられていること、不正なプロセスが起動していることを確認するとともに、攻撃者が不正侵入した後に利用するためのソフトウェアパッケージであるルートキットを発見。原因は不明だが、情報セキュリティ管理はISMS（情報セキュリティマネジメントシステム）に則って実施していたために発見や事後対応が早く、被害を最小限に食い止められた。
5. 「外部サイトを攻撃している」との通報で調査したところ、サーバに侵入され、管理者権限を持つユーザーアカウントが作成されているのを発見。一部ファイルが書き換えられたりログが消去されたりした上、パケットモニタリングツールが設置されていた。ユーザアカウントのパスワードの管理不備およびセキュリティパッチ未適用が原因と思われる。

   　1．は、単に情報を公開するだけのコンテンツに加え、利用者からの書き込みを受け入れる掲示板やサービス申込みフォームなどの仕組みもあった。そして、セキュリティパッチの適用や外部からのサーバアタック診断を適切に実施していたにも関わらず、サーバへの侵入を許す結果となっている。これについて、IPAは「こうしたサイトでは、OSやサーバソフトの脆弱性対策に加え、利用者からの入力を受け付けるウェブアプリケーションの処理方法が適切かどうかのチェックも必要となり、対策範囲が広範に渡ってしまうケースが多いと思われる。セキュリティ対策を施す範囲とその内容について、再確認するべきだ」としている。