前回から引き続き「価格.com」事件を取り上げる。今回は、技術的対策の観点から検証してみたい。
事件発覚後も、カカクコムは不正アクセスの詳細について情報を公開していない。しかしウイルス対策ソフトウエアベンダーの対応などをみると、不正アクセスの背景が浮かび上がってきた。
ウイルス対策ソフトとセキュリティパッチの隙間が狙われた
「価格.com」は、5月16日から自社サイトで、ウイルス対策ソフトウエア「NOD32」(キヤノンシステムズソリューション)を配布し始めた。ここで「trojandownloader.small.AAO」、「PSW.Delf.FZ」というウイルス(普通のプログラムを装って不正侵入し被害を与えるトロイの木馬型に属する)の関与が判明した。
前者は2004年11月に定義データ登録済の既知ウイルスであり、後者は発覚当時未知のウイルスだったが、「NOD32」以外のウイルス対策ソフトウエアでは両方とも検知できなかったのである。
「PSW.Delf.FZ」は、修正プログラム未適用のMicrosoft Internet Explorerにある脆弱性を悪用して、Lineage(リネージュ)というオンラインゲームのパスワードを収集するほか、キーボード・マウスの入力情報、アプリケーションに割り当てられたメモリに関する情報を記録して、外部の Web サイトに送信する恐れがある。
「Outlook Express用の累積的な修正プログラム(MS04-013)(837009)」を適用していたユーザーは、今回の被害を回避できた。このパッチは、「価格.com」事件発覚の1年以上前(2004年4月14日)に公開されたものである。パソコンや周辺機器を購入する際に会社から「価格.com」にアクセスするユーザーも多いが、日頃からこまめにセキュリティパッチを適用していれば、今回大慌てしなくて済んだのだ。
不正アクセスを助長する攻撃用ツールの拡大
警視庁は7月6日、今年3月に旅行会社クラブツーリズムで発生したインターネット会員情報流出事件に関連して、東京都内在住の中国人留学生を容疑者として逮捕した。この容疑者には、クラブツーリズムだけでなく、「価格.com」など14社のサイトのWebサーバーに「SQLインジェクション」と呼ばれる手口を利用して不正アクセスした疑いがかかっている。
ECサイトなどでは、Webアプリケーションとデータベースを連携させたシステムが使われているが、両者をつなぐプログラムの脆弱性を突いたのがSQLインジェクションである。この手法を悪用すれば、Webアプリケーションがアクセスするデータベースに記録されたデータを抜き出したり、書き込んだりすることが可能になる。
例えば、ホームページでユーザー情報を登録・変更する場合、裏ではデータベースが連携している。管理者がSQLインジェクションを見逃していれば、データベースに収録された個人データを抜き出されても気付かない、という事態が起こり得るのだ。
「SQLインジェクション」で情報を盗んだ?
2002年2月、米国アパレル大手Guess社で、顧客のクレジットカード番号が閲覧可能となっていたことが発覚した時に話題となった手口だ。2004年秋に中国でSQLインジェクションを用いた攻撃用ツールが出回ってから、さらに被害が急増している。
SQLインジェクションに関してカカクコムはコメントしていないが、同時期に一時閉鎖した「OZmall」を運営するスターツ出版社は、この手法で不正アクセス被害に遭ったことを公表している。具体的な対策については、独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)サイトの「セキュア・プログラミング講座」 などが参考になる。
ただし、次々と裏を突く攻撃手法が登場しており、「これで完璧」とはいかないのが現状だ。Webサイト運営者がこまめにアクセスログをチェックすることが、最善の対策となる。
ちなみにカカクコムは、事件発覚直後の記者会見で「過失のない十二分なセキュリティが行われていた」と発言したという。「騒動を起こしておいてこんなことを言うのか」と違和感を抱く人も多いだろうが、実はこれはどの企業にとても大切なことだ。なぜなら同社は本来被害者であるはずが、情報管理に不備な点があると加害者になりかねない。従って、その点を明白にしておく必要があったのだ。
次回は、企業経営への影響の観点から「価格.com」事件を検証してみたい。
IT Pro 2005年8月30日
Link
事件発覚後も、カカクコムは不正アクセスの詳細について情報を公開していない。しかしウイルス対策ソフトウエアベンダーの対応などをみると、不正アクセスの背景が浮かび上がってきた。
ウイルス対策ソフトとセキュリティパッチの隙間が狙われた
「価格.com」は、5月16日から自社サイトで、ウイルス対策ソフトウエア「NOD32」(キヤノンシステムズソリューション)を配布し始めた。ここで「trojandownloader.small.AAO」、「PSW.Delf.FZ」というウイルス(普通のプログラムを装って不正侵入し被害を与えるトロイの木馬型に属する)の関与が判明した。
前者は2004年11月に定義データ登録済の既知ウイルスであり、後者は発覚当時未知のウイルスだったが、「NOD32」以外のウイルス対策ソフトウエアでは両方とも検知できなかったのである。
「PSW.Delf.FZ」は、修正プログラム未適用のMicrosoft Internet Explorerにある脆弱性を悪用して、Lineage(リネージュ)というオンラインゲームのパスワードを収集するほか、キーボード・マウスの入力情報、アプリケーションに割り当てられたメモリに関する情報を記録して、外部の Web サイトに送信する恐れがある。
「Outlook Express用の累積的な修正プログラム(MS04-013)(837009)」を適用していたユーザーは、今回の被害を回避できた。このパッチは、「価格.com」事件発覚の1年以上前(2004年4月14日)に公開されたものである。パソコンや周辺機器を購入する際に会社から「価格.com」にアクセスするユーザーも多いが、日頃からこまめにセキュリティパッチを適用していれば、今回大慌てしなくて済んだのだ。
不正アクセスを助長する攻撃用ツールの拡大
警視庁は7月6日、今年3月に旅行会社クラブツーリズムで発生したインターネット会員情報流出事件に関連して、東京都内在住の中国人留学生を容疑者として逮捕した。この容疑者には、クラブツーリズムだけでなく、「価格.com」など14社のサイトのWebサーバーに「SQLインジェクション」と呼ばれる手口を利用して不正アクセスした疑いがかかっている。
ECサイトなどでは、Webアプリケーションとデータベースを連携させたシステムが使われているが、両者をつなぐプログラムの脆弱性を突いたのがSQLインジェクションである。この手法を悪用すれば、Webアプリケーションがアクセスするデータベースに記録されたデータを抜き出したり、書き込んだりすることが可能になる。
例えば、ホームページでユーザー情報を登録・変更する場合、裏ではデータベースが連携している。管理者がSQLインジェクションを見逃していれば、データベースに収録された個人データを抜き出されても気付かない、という事態が起こり得るのだ。
「SQLインジェクション」で情報を盗んだ?
2002年2月、米国アパレル大手Guess社で、顧客のクレジットカード番号が閲覧可能となっていたことが発覚した時に話題となった手口だ。2004年秋に中国でSQLインジェクションを用いた攻撃用ツールが出回ってから、さらに被害が急増している。
SQLインジェクションに関してカカクコムはコメントしていないが、同時期に一時閉鎖した「OZmall」を運営するスターツ出版社は、この手法で不正アクセス被害に遭ったことを公表している。具体的な対策については、独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)サイトの「セキュア・プログラミング講座」 などが参考になる。
ただし、次々と裏を突く攻撃手法が登場しており、「これで完璧」とはいかないのが現状だ。Webサイト運営者がこまめにアクセスログをチェックすることが、最善の対策となる。
ちなみにカカクコムは、事件発覚直後の記者会見で「過失のない十二分なセキュリティが行われていた」と発言したという。「騒動を起こしておいてこんなことを言うのか」と違和感を抱く人も多いだろうが、実はこれはどの企業にとても大切なことだ。なぜなら同社は本来被害者であるはずが、情報管理に不備な点があると加害者になりかねない。従って、その点を明白にしておく必要があったのだ。
次回は、企業経営への影響の観点から「価格.com」事件を検証してみたい。
IT Pro 2005年8月30日
Link
