今年6月に起きた財務省Webサイトの改竄事件は、人々のWebセキュリティに対する関心を改めて高めるきっかけとなった。しかしながら、まだまだ中堅・中小企業などではこうしたWebサイトへの攻撃を「自社には関係のない出来事」と捉えているところも多いのではなかろうか。
こうした背景を受けて10月18日、『"加害企業"にならないためのWEBセキュリティセミナー~6月の事件はこうして起こった、その手法と対策~』と題するセミナーが都内で開催された。セミナーでは、最新のWeb攻撃の手口が紹介されるとともに、大規模なIT予算の確保が難しい企業でも各種Web攻撃に低コストで対策が行える方法などが示された。
Web攻撃の"歴史"を辿り、正しい対処法を知る
HASH コンサルティング 代表取締役の徳丸浩氏 |
最初の講演となる「Webサイトを巡る攻防、変わらぬ原理と今必要な対策とは」に登壇したのは、HASH コンサルティングの代表取締役、徳丸浩氏。同氏は、2000年以降に発生したWebサイトに対する侵入事件のトレンドを追うとともに、普遍的な対策の糸口を示した。
徳丸氏はまず、ソニーのPSN(プレイステーション・ネットワーク)侵入事件や情報通信研究機構(NICT)のトップページ改竄事件について経緯や手口の解説を行った。なかでもNICTの事件では、既に脆弱性が修正されたバージョンが公開されているにもかかわらず、オープンソースCMS「Joomla!」を古いバージョンのまま使用していたことが攻撃の原因となったという。
これを受けて徳丸氏は、「バージョンアップをしていれば防げたはずの事件。どんなに便利なアプリケーションでも、自分できちんと管理できないようなら最初から使うべきではない」と警告を発した。
その後同氏は、Gumbler攻撃やSQLインジェクション攻撃についてデモを交えつつ言及。さらに、phpMyAdminの脆弱性を狙った攻撃やApache Killerを使ったDoS(Denial of Service attack)攻撃などについても、その手口と対処法を紹介した。
最後に徳丸氏は会場に向け、「攻撃の具体的手法は変化しているものの、攻撃の原理と対策方針は変化しない。とにかく基本的な対策さえきちんと施していれば、かなりのリスクを低減できる。WAFなどのソリューションを有効に活用して欲しい」と訴えた。
アノニマスが使用した新ツールを解析
NSFOCUS 事業統括ダイレクターの椋野慎一氏 |
続いては、NSFOCUS 事業統括ダイレクターの椋野慎一氏が登壇。「DDoS攻撃の新ツール! 『HOIC』の振る舞いと対策」というテーマを掲げて講演を行った。
6月に行われた財務省や最高裁判所などへの国際的なハッカー集団アノニマスによる攻撃では、「HOIC(High Orbit Ion Canon)」と呼ばれるDDoS(Distributed Denial of Service attack)攻撃用ツールが使われたと見られている。椋野によると、HOICは以前から広まっている攻撃用ツールLOICの改良版であり、LOICとの大きな違いはHOICでは使用者がスクリプトを書いて攻撃の内容を自由に定義できることとHTTPのみを扱うという2つの点にあるという。
「ここ1、2年の間でアノニマスが攻撃に使っているツールのほとんどがHOICとLOICだ」と椋野氏は言う。
同氏が北京にある自社サーバに対してHOICで擬似攻撃を仕掛けたところ、すぐにサーバがフリーズしてしまったというエピソードからも、その攻撃力の高さがうかがえる。
また椋野氏は、ある北陸の中小企業のWebサイトからクレジットカード番号が漏洩した案件についての対処事例を紹介。その企業のECサイトをすぐに停止させて分析を行っったところ、OSコマンドインジェクション攻撃やウイルス注入攻撃、XSS(クロスサイトスクリプティング攻撃)などさまざまな攻撃の跡が見つかったという。
「なかでも圧巻だったのはSQLインジェクション攻撃の嵐とも言うべき攻撃跡だった。ネットにおいて情報が盗まれる手口のほとんどがSQLインジェクション攻撃によるものだ」と、椋野氏は注意を呼びかけた。