前回は2つの「改ざん」のパターンを解説しました。今回はその続編として「情報摂取目的の改ざん」と「DNSを利用した改ざん(もどき)」について解説させていただきます。
著者プロフィール辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社
セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。また、アノニマスの一面からみ見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。
情報窃取目的の改ざん
まずは、情報窃取目的の改ざんです。
前回紹介した「マルウェアを感染させるための改ざん」は結果的に、感染させたコンピュータなどから情報を盗み出すというものもあるのですが、ここでいう「情報窃取目的の改ざん」とは別のものです。
「情報窃取目的の改ざん」というのはマルウェア感染をさせることなく、ユーザが入力した情報をWebサイトの改ざんのみで別の場所に送信するなどして盗むものを指しています。
実際の事故件数としては少ないのですが情報が公開されているものでは下記のようなものがあります。
- JINS ONLINE SHOP - 不正アクセス(JINS オンラインショップ)に関する調査報告(中間報告)
- FIRST ON WEB! - 不正アクセスによるお客様の情報流出に関するお知らせとお詫び
上記の被害に遭ったサイトは共にクレジットカード情報を伝送、処理するような設計になっていたそうですが、クレジットカード情報は保管しない仕組みになっていました。しかし、クレジットカード業界のガイドラインでも保管してはいけないとされるセキュリティコード(クレジットカードの裏面に記載されている3~4桁の番号。CVC2/CVV2/CID/CAV2などクレジットーカードブランドごとに名称は様々)も漏洩していたとして、事件当時、Twitterなどでも話題になっていました。
詳細までは公表されていませんが、公開されている情報からは「JINS ONLINE SHOP」で、バックドア(裏口をさす言葉で、攻撃者が侵入し、外部から操作するためのプログラム)を設置、Webアプリケーションが改ざんされ、攻撃者が用意した外部のサーバに送信されるようになっていたと推測でき、「FIRST ON WEB!」でも同様にバックドアが設置され、Webアプリケーションが改ざん。セキュリティコードを含むクレジットカード情報などがファイル記録される仕組みを構築され、そのファイルを外部に送信されたと推測できます。
このパターンの改ざんも「マルウェアを感染させるための改ざん」同様、アクセスしてきたユーザからは、一見不審なところもなく、いつもと変わらないサイトが裏では別の動作を行っていたというものになります。
物理的な世界でいうところのスキミングに近いものと考えていただければいいかと思います。
DNSを利用した改ざん(もどき)
「DNSを利用した改ざん(もどき)」は、今まで説明してきたものと比べるとかなり異色のものとなります。
というよりも、分類した名前にもあるとおり「もどき」であり厳密にはWebサイトの改ざんではありません。ただ、改ざん(海外のニュースでは「Deface」)されたと報じられることが多く、一見改ざんされたように見えるため分類してみました。
さて、なぜ「もどき」なのかということを説明させていただきます。
このパターンは実際にはWebサーバを改ざんしているのではなく、DNS(Domain Name System)と呼ばれるIPアドレスとホスト名を紐づけるためのシステムに対して攻撃が行われています。DNSの仕組みをすべて説明するとなるとそれだけで数回に分ける必要があるため、今回は例え話で簡単に説明させていただきます。
携帯電話で電話をかけることを想像してください。
恐らく殆どの場合、電話帳機能を使って事前に登録してある名前で検索し、電話をかけることと思います。数字の羅列である電話番号すべてを覚えることは容易ではありませんが、名前であれば憶えることができ便利です。
例えばホスト名である「www.google.co.jp」は覚えやすいと思います。しかし、IPアドレス(通信相手の機器を判別するための番号)である「173.194.126.215」は容易ではないでしょう。携帯電話の電話帳機能に「事前に登録してある名前」がホスト名。「電話番号」がIPアドレスだと考えていただければいいと思います。(試しに上記の両方のアドレスをブラウザに入力していただけると分かるかと思います。同じサイトが見えるはずです。)
さて、改ざん(もどき)に話を戻しましょう。
先程、Webサーバを改ざんしているのではなく、DNSに攻撃を行っていると書きました。その攻撃内容というのは、ホストアドレスとIPアドレスの紐づけを変更してしまうことです。いつものホストアドレスへのアクセスを行っても、元々紐づいているIPアドレスに導くのではなく、攻撃者の意図したIPアドレスを持つコンピュータに導くように書き換えてしまうことで、一見、改ざんされたかのように見せかけることができるわけです。
携帯電話の電話帳でいうと「事前に登録してある名前」はそのままで「電話番号」を変更されるということになります。自分はAさんを検索して電話を掛けたつもりでも、実際に電話がつながる先はAさんではないという状況と同じだと考えていただければいいと思います。
内容、結果としては、見た目は改ざんっぽくても、誘導という認識でよいと思います。誘導の目的としては、以前に紹介した「単なる改ざん」のように自己顕示や主義主張の掲載を行うものもあれば、脆弱性を利用して攻撃を行ってくる「マルウェアの感染を促す改ざん」のようなものもあれば、「情報窃取目的の改ざん」のように認証情報(ユーザ名、パスワードなど)や個人情報を狙ってくるものもあり様々です。筆者の観測している範囲では「単なる改ざん」が多いように感じます。
* * *
前回および今回の内容から、「改ざん」と一言でいっても色々なタイプがあり、目的も違ってくるということがお分かりいただければ幸いです。
次回は「DoS(Denial of Service:サービス拒否)攻撃」についての解説をさせていただく予定です。