• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

「今どきのハッカーは脆弱なサイトをググっている」と,米ISSディレクター

西村 崇=日経SYSTEMS 2006/07/14 日経SYSTEMS
写真●米Internet Security Systemsのダニエル・S・インゲバルドソン氏
写真●米Internet Security Systemsのダニエル・S・インゲバルドソン氏
[画像のクリックで拡大表示]

 「これまでのハッカーはワームを作ってばら撒くのが主流だったが,今は違う。今どきの一流のハッカーはまずセキュリティの脆弱性を持っていそうなWebサイトをGoogleなどの検索エンジンで検索する。検索結果に出たWebサイトを攻撃し,クレジットカード番号などの個人情報を盗み取る」。

 セキュリティ対策製品ベンダー,米Internet Security Systemsのダニエル・S・インゲバルドソン氏(技術戦略担当ディレクター)は,こう指摘する。ハッカーの行動が変わってきたのは「ワームを作るよりも,個人情報を盗み取ってブラック・マーケットで売ったほうが高額な利益を得られるから」(インゲバルドソン氏)である。

 そのやり方は,例えばこうだ。あるWebアプリケーション・サーバー・ソフトに脆弱性があり,ハッカーがその脆弱性を突く攻撃のやり方を知っていたとしよう。ハッカーは,検索エンジンを使い,そのWebアプリケーション・サーバー・ソフトを利用しているWebサイトを検索する。Webアプリケーション・サーバーの中には,特定の文字列をURLに含めるものがあるため,その文字列を検索すれば当該サイトが分かってしまう。

 検索結果が出たら,ハッカーはさらに「サングラス」などの商品名で検索結果を絞り込む。商品を扱うECサイトのシステムでは,商品代金の決済のためにクレジットカード情報を管理していることが多く,格好の攻撃対象になるからだ。ハッカーは絞り込まれた結果のなかのWebサイトにアクセスして,クレジットカード情報を盗み出すために攻撃を仕掛ける。

 ECサイトは検索エンジンで結果が上位に来るように狙っているのが普通だ。ここでの対策は,脆弱性を地道につぶすことしかない。インゲバルドソン氏は「万一,不正アクセスされた場合に備えて,IDS(侵入検知システム)など製品を導入するといった策を講じる必要がある」と説く。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【カード決済はこう変わる】

    間違い多発?落とし穴の多い改正割販法対応

     インターネットショッピングでの代金支払いや店舗での買い物を支えるクレジットカード。そのクレジットカードを支える仕組みが変わろうとしている。一般消費者の目線では、2020年をめどにクレジットカードを使う時の本人確認方法が従来の署名から暗証番号の入力に段階的に変わっていく見込みである。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る