最近,株式取引にかかわる事件が目立っている。例えば米国証券取引委員会(SEC)は3月10日,株価操作を目的としたスパム・メールの対象となった35社の株取引停止に踏み切った。「Operation Spamalot」(Spamalot作戦)と呼ぶ株価操作スパム撲滅プロジェクトである。3月21日までという期限付きの施策ではあったが,後を絶たない不正に対して実力行使に踏み切ったことで話題を呼んだ。

 一方,今年の2月にSECは,米シマンテックや米リアルネットワークスなど12社から業績予想などの未公開情報を盗み出し,これを基に株式市場で不正に利益を上げていたとして香港企業などを告訴した。

 こうした事件が多発する背景には,株取引のオンライン化によって無防備な個人投資家が増加したことと,悪のハッカーと犯罪者組織が連携している事実がある。インターネット上には多くの情報があふれており,個人投資家が情報の真偽を判断するのは難しい。ソーシャル・エンジニアリングによる「だまし」のテクニックも巧妙になり,知らないうちにインサイダー情報を盗まれる危険性は高まっている。

 これらの手口は技術背景や社会的背景により常に変化を続けるものであり,それらの防御や抑止の手段は継続的に見直していかなければ,あっという間に時代遅れとなる。コンピュータ・インシデント全体に言えることだが,事例を知らなければ対策は困難である。今回は,対策の参考として,個人や企業を狙った犯罪がどのように行われるかを紹介する。

落とし穴は「匿名情報への慣れ」

 一般に,ネット上での情報操作で利用される手口としては,(1)スパム・メールによる虚偽情報の流布,(2)ファイナンス系の掲示板へのインサイダー情報の書き込み,(3)Webページやブログでの虚偽情報の流布などがよく見られる。(3)に関しては,存在しない「新製品」の情報が(合成)写真付きで出回るなど,手の込んだものまで見られる。どれも,ユーザーの「匿名情報への慣れ」というすきを突いた攻撃である。

 スパム・メールの送信方法はいくつもあるが,多くの場合は不正プログラムが用いられる。過去には株価操作を目的としたスパム・メールを送信する「Trojan.Peacomm」というウイルスが出回った。ウイルス作者は最初から株取引により利益を得ることを目的として作成しているのである。

 ボットもこうした不正プログラムの一つだ。ボットがスパム・メールの中継に悪用されているという話は以前から取りざたされているし,スパム用の代理サーバーは世界中でレンタルされている(写真1)。最近では,メール・アドレスもネットで購入できる。シマンテックによると,現在メール・アドレスは2万 9000件で5USドル,Yahoo!メールのCookie情報は3USドルで売買されているという。

写真1●スパム用代理サーバーのレンタル掲示板
写真1●スパム用代理サーバーのレンタル掲示板

 別の方法としては,偽サイトにユーザーを誘導しIDやパスワードを詐取するフィッシングがある。Webの一般化に伴い,クロスサイト・スクリプティングのぜい弱性を抱えるWebサイトは増加し,サイバー攻撃の威力はさらに強大になりつつある。ファイナンス関連の掲示板やスパム・メールに記載されているような,「不審・匿名情報」には細心の注意が必要である。

インサイダー情報狙い,あの手この手

 もう一方のインサイダー情報を狙う犯行は,企業や社会に与える影響が一層大きい。

 シマンテックなどの業績予想が流出した事件についても,手口は公開されていない。ただ,シマンテックが不正侵入の痕跡はないと発表していることなどから,物理的な窃盗を含め,何らかの形で企業内に侵入されたと考えるのが妥当だろう。

 企業内に侵入(内部犯罪を含む)できれば,「Pod Slurping」などの手口で情報を持ち出すことができる。Pod Slurpingは,USBフラッシュ・メモリーなどの外部ストレージを利用し,コンピュータ内の特定の情報を検索し,盗み出す手法で,最近欧米で注目されている。操作の自動化が可能な上に,DOSコマンドの知識さえあれば,簡単に実行できてしまうからだ。

for/r"C:\Documents and Settings"%Iin(*.doc*.xls*.ppt)do@echo %I

といったNTシェル・スクリプトをバッチ・ファイル化するだけで,C:\Documents and Settings以下のOffice関連ファイルを探し出せる。さらに一工夫加えれば,数秒で外部ストレージや他のパソコンにデータをコピーできる(写真2)。同様に,インターネット・ストレージも流出経路なる(図1)。

写真2●コマンドプロンプトで外部ストレージへのデータ・コピーを実行した様子
写真2●コマンドプロンプトで外部ストレージへのデータ・コピーを実行した様子

図1●外部ストレージを使って機密情報を盗み出す犯罪が増えている
図1●外部ストレージを使って機密情報を盗み出す犯罪が増えている
[画像のクリックで拡大表示]

 認証設定やパーミッション設定がないファイル・サーバーや,プリント内容を削除していないプリンタ・サーバーも攻撃者にとって宝の山だ。ほかにも,スケジュール管理アプリケーションなど,共同利用することが前提のサーバーは狙われやすい。重要情報を記入する際にはアクセス制御や記入方法に気をつける必要がある。

携帯電話やゲーム機も狙われる

 現在の標的は投資家や企業だが,これまでの推移と今後の見通しを考えると,いずれインターネット端末すべてが狙われる。既にゲーム機は攻撃者の興味の一つである。先日,プレイステーション3へのリモート攻撃コードが公開された。

 携帯電話や携帯ゲーム機が財布代わりになり,こうした端末からの情報入手や電子商取引が当たり前になると,攻撃者はこれらの端末をも標的としてくるに違いない。端末内の電子マネーは一見少額であっても,発展途上国などの人件費が低い国の攻撃者にとっては格好の標的となるだろう。SecondLifeのオブジェクト詐欺などはその表れと言える。

 情報の不正入手や操作のための個人を標的とした攻撃は,今後一層本格化しそうだ。

岩井 博樹(いわい・ひろき)
ラック コンピュータセキュリティ研究所 所長
ラックのコンピュータセキュリティ研究所に勤務。IDS/IPS導入設計,コンサルティングなどに従事した後,同社のJapan Security Operation Center(JSOC)にて監視業務に携わる。現在は,セキュリティ技術の研究開発,フォレンジック業務を手掛ける。