今週のSecurity Check(第227回)

 9月13日頃から9月末までの間、日本国内のWebサイトが改ざんされたという情報が多数報道された。改ざんされたWebサイトには、尖閣諸島に対する主張など政治的なメッセージが掲げられていた。このようなWebサイト改ざんが増加するのは、今年に限った話ではない。このような攻撃増加は、毎年9月中旬に確認されている。

 今回は、このような毎年行われている9月の攻撃増加について、日本IBM セキュリティー・オペレーション・センター(以下、東京SOC)の検知状況を基に解説する。

■2012年9月と過去の攻撃状況の比較
 毎年、満州事変が起こった9月18日の少し前になると、日本のWebサイトに対して攻撃を行うよう、中国の掲示板サイトなどに活発に書き込みが行われる。その呼びかけに賛同した人物が攻撃を行っている影響で、Webサイト改ざんなどの被害が増加していると考えられる。

 東京SOCの観測では、毎年9月に行われる攻撃は中国のIPアドレスを送信元として、既知のWebアプリケーションの脆弱性を悪用する攻撃(Nesuss、Nmapやw3afなどツールを利用した自動攻撃など)や、DoS攻撃が行われることが分かっている。今年も例年通り既知のWebアプリケーションの脆弱性を調査する行為が多数行われた。そして、CMS(コンテンツ・マネージメント・システム)などの脆弱性を悪用されて、Webサイト改ざんの被害が発生した。

 図1は、2012年8月から9月にかけての中国からのSQLインジェクション攻撃の送信元IPアドレス数の推移を示している。

図1●標的型攻撃メールが送信される曜日別件数(東京SOC調べ:2011年1月~2012年6月)
図1●中国からのSQLインジェクション攻撃送信元IPアドレス数の推移
(東京SOC調べ:2012年8月1日~9月30日)

 今年の攻撃のピークは、9月16日(日)だった。平日は攻撃に参加できない一般市民が多くいるため、休日に攻撃が集中するものと考えられる。攻撃が増え始めたのは9月10日頃。これは9月10日に尖閣諸島の国有化が決定したことに対する反発と考えられる。なお、この間、日本以外の国にある組織のWebサイトを狙った攻撃(図1の海外Webサイト)には特に大きな動きはなく、日本のWebサイトだけがターゲットになっていることは明らかである。

 また、今年は9月だけではなく8月16日から19日にも攻撃の増加が観測されている。これは8月15日に、尖閣諸島に香港の活動家らが上陸する騒動が発生したことに関連して、抗議のために攻撃が増加したと推測される。このように中国を送信元とする攻撃は、日中関係に問題が発生すると規模が増大する傾向にある。去年も9月18日に攻撃が行われてはいるが、この際は特に日中関係に大きな話題がなかったため、今年に比べると攻撃は小規模だった(図2の2011年)。対して、2010年は中国漁船が海上保安庁の巡視船に衝突する問題が9月7日に発生し、中国国内での世論が高まったため、今年と同規模の攻撃が発生している。

図2●中国からの国内WebサイトへのSQLインジェクション攻撃送信元IPアドレス数の推移
図2●中国からの国内WebサイトへのSQLインジェクション攻撃送信元IPアドレス数の推移
(東京SOC調べ:2010年、2011年8月1日~9月20日)

■攻撃のターゲットとなるWebサイト
 では、攻撃者は日本のどのようなWebサイトを狙って攻撃を行っているのか。これらの攻撃は政治的メッセージが強いため、政府関係機関がターゲットになっているかもしれない。図3は、東京SOCで期間中攻撃のターゲットとなった業種別の割合を示している。

図3●中国からWebサイトへの攻撃を受けた業種別割合
図3●中国からWebサイトへの攻撃を受けた業種別割合
(東京SOC調べ:2012年9月10日~9月25日)

 政府関係機関は比較的高い割合で攻撃を受けている。しかし、それ以外の業種にも攻撃は行われており、政府関係機関だけがターゲットになっているわけではないことが分かる。攻撃者は日本の組織のWebサイトであれば何でもよく、脆弱性が見つかれば手当たり次第改ざんしようとしていたと考えられる。

 このような示威目的の攻撃は毎年行われているのだが、攻撃の被害報道が増加してから、急きょ対策の見直しを始める組織が散見される。このような攻撃は社会情勢の変化によって常に発生する恐れがある。また、多くの攻撃はこのような示威行為のように社会情勢と連動して行われることはなく、インターネット上で常に行われている。そのため、報道が増えてから対策を講じるのでは遅すぎる。

 今回の攻撃の被害に遭ったWebサイトは目に見える改ざん被害が多かった。しかし、Webサイトの改ざんにつながる脆弱性があったということは、攻撃者に情報漏洩などの目的があった場合、さらに大きな被害につながっていた可能性がある。

 前述したように、このような示威目的の攻撃は既知の脆弱性を狙って攻撃を仕掛けてくる。そのため、日頃から対策を行っているWebサイトでは特にこの攻撃に限って特別な対策を行う必要はない。攻撃が話題になった時にだけセキュリティー対策を見直すのではなく、常に攻撃を受けるかもしれないということを想定して日頃から対策を行うことが重要である。

朝長 秀誠
日本アイ・ビー・エム セキュリティー・オペレーション・センター
セキュリティー・アナリスト

 「今週のSecurity Check」は,セキュリティに関する技術コラムです。日本アイ・ビーエム マネージド・セキュリティー・サービスのスタッフの方々を執筆陣に迎え,同社のセキュリティオペレーションセンター(SOC)で観測した攻撃の傾向や,セキュリティコンサルタントが現場で得たエッセンスなどを織り交ぜながら,セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より)





■IBM Security Servicesが提供するネットワークセキュリティの最新情報はこちら