未分類

もろいのではなく、なぜ狙われたのか?

Leave a comment

ネット専業東証一部上場企業が約1週間の業務停止状態。こら異例だわと、二次情報を散策。ぶっちゃけ、銀行が1週間にわたって、ほぼすべての業務を停止したような状態なんだから。しかし、どうも解せん。まず、時系列。

  1. 2005年5月11日午前11頃、社員がWebサイトの異変に気づく。
  2. 同日同時刻頃、不正アクセスの痕跡がログ情報より判明。ユーザーからWebサイトを見てウィルスに感染したとの電子メール。
  3. 同日、該当サイトへアクセスすると、ウィルスがDLされる仕組みにWebサーバーのプログラムが改竄される
  4. 同日、プログラムファイルの修正を試みるが、修正しているそばから改竄される異常な事態に(24時間監視体制下)
  5. 同日、サイトの即時閉鎖を検討するが、不正侵入経路およびクラッキングが特定できないため、見送る。
  6. 同日、ログ情報より購読者のメールアドレスの一部が閲覧されていることが判明。名や住所の情報は含まれていない。
  7. 5月14日午後2時、これまで手作業による修正→改竄→修正の状態から一変する。アタックが急増し、対応しきれなくなりサイトを一時閉鎖。同日、午後10頃、再開するが、即刻集中攻撃をうけ再度閉鎖。

愚考してみたところ、2つだけポイントが浮かんだ。

  • なぜ、即刻閉鎖しなかったのか?
  • なぜ、狙われたのか?


14日に完全閉鎖されるまで、ディスクローズされず。なもんで、サイトへアクセスするとウィルスに感染するユーザーもいた。警察やIPAへ相談した結果、上記5.にある理由から見送ったらしい。けど、他にもひょっとすると穿ったことが。

今回のウィルスは、WindowsOSの"MS04-013の脆弱性"を悪用したマルウェア型がインストールされてしまう仕掛け。ちなみに、ITmediaによると、

少なくともエンドユーザーへの感染については、アンチウイルスソフト側のマルウェア対応がまだだとしても、Windows Updateを確実に行い、パッチを適用している場合、今回の問題は顕在化しないと見られる。

「自己責任を言うと酷だけど、PCに最新のパッチをあてていればふせげるだろう」って判断もあったのかなぁってね。やっかいなのは、マルウェア型なために、対応しているウィルス駆除ソフトが、少なかった。もう不幸中の災い。サイトの告知文に、「NOD32」を紹介するもアクセスが殺到して、アクセスできない香ばしい状況を生んでしまった…..orz。

まぁ、百歩譲って、数パーセントでも自己責任の余地が残ったとしても、なぜ狙われたのかって疑問が残る。これが、解せん。

記者会見によると、今回のクラッカーは、1人じゃないし、愉快犯でもないらしい。また、特定できたクラッキングからすると、ある程度高度な知識を有しているとのこと。

一方、確かな情報ではないけど、ネットを徘徊すると、「どうやら、先日、大規模な反日デモを繰り広げた国からではないか」と言われているみたい。というのも、埋め込まれたコードを検索すると、ある3つのドメインが突き止められた。そのドメインをWhoisしたら、メールアドレスがデタラメな登録情報。意味は、「Fuck Japanese!」だって。

ところで、朝日新聞のネット企業、弱さ露呈 価格.com閉鎖、収益ゼロにを読んでいると、こんなのがあった。

敵対的な攻撃で防御策が破られたという。ネット利用で好調な企業も、ネットを遮断されればほぼ全事業がストップするというもろさが見えた。「われわれはネット専業。最高のセキュリティーを構築してきたつもりだ。しかし破られてしまった」。穐田社長は東京都内での会見で肩を落とした。

もろさって、当たり前じゃないかな。なぜなら、銀行のオンラインシステムがクラックされない保証がどこにあるかと問い返したいし、システムがダウンしないなんて、今のご時世ありえんかと。なんか、「サイト利用で好調な○○新聞も、輪転機を遮断されれば、ほぼ全事業がストップするというもろさが見えた」って読めるような。まぁ、輪転機が遮断されるなんて事態は、絶対ないんだろうね。

むしろ、冒頭にもどって「なぜ、狙われたのか?」じゃないかと。ネット専業企業は他にもあるわけで。なのに、「60台以上のサーバで構成する同社システムをまるごと入れ替えてセキュリティ対策を強化する」(参照)なんて、どうも首をかしげたくなる。

本当に最高のセキュリティーだったのかいな。ウワサはどこまでいってもウワサで、僕には検証しようがないけど、サーバーのセキュリティ対策に疑問があるって声があがりはじめているよ。

  • OSに最新のパッチをあてて穴を塞いでいたのか?
  • ハードの構成に問題がなかったのか?
  • ベンダーからの適切なセキュリティアドバイスにもとづいた運用をしていたのか?

まぁ、1週間後には新調されるわけなんで、真相は闇かな。続報を期待してよっと。

It\'s only fair to share...Tweet about this on TwitterShare on TumblrPin on PinterestShare on Google+Share on Facebook

コメントを残す

メールアドレスが公開されることはありません。