日本シティジャーナルロゴ

サイバー戦争の幕開け ! 第2篇
SQLインジェクションによる猛攻撃で被害が拡大 ! !

2008年3月11日から11日間、中国を拠点とする数十箇所のIPアドレスから不正アクセスによる集中攻撃を受け、サウンドハウスのデータベースから個人情報に関わるデータが流出しました。流出したデータは推定で最大97,500件にも及び、その内、クレジットカード情報を含むデータが27,743件と大規模なものです。

サウンドハウスは創業からまだ15年目の新興企業ですが、いつの間にか国内最大規模を誇る楽器音響機器の販売店となり、成田市でも最大規模の企業にまで急成長した会社です。従業員は120名、5つの子会社を抱え、市内では天然温泉大和の湯も経営し、本年度7月には事業拡張のため、野毛平工業団地に移転する予定のある優良企業です。そのサウンドハウスが大規模なハッキングの被害にあい、テレビや新聞でも報道されたのですから、ただ事ではありません。

不正侵入の実態が暴かれる!

事件が発覚した翌日の早朝より、クレジットカード会社から紹介された専門調査機関であるラック社によるデータの検証が始まりました。ホームページにアクセスした外部からのログデータの解析により、調査を開始した直後にサウンドハウスが侵入被害を受けていたことが確認され、「個人情報の漏洩」という被害が発生していると断定されたのです。個人情報の保護は企業にとっては死活問題となる重大事項であり、それが流出したことが確認された訳ですから、緊急事態です。

その後、一週間以上にわたるWEBサーバーのログ分析の結果、3月30日、最終報告書がラック社により纏められ、遂に事件の全容が見えてきました。それは、今回の攻撃手法が「SQLインジェクションおよび以前からサーバー上に存在した悪性プログラムを利用した攻撃」であり、中国を拠点とする複数のIPアドレスから攻撃が仕掛けられたという当初の見解を肯定するものでした。具体的には、2008年3月11日21時から3月22日24時頃の間に、20件ずつデータを抽出する不正プログラムが4875回、自動起動されていたことが指摘されました。その根拠は、2008年に初回登録をした顧客のデータを自動的に抽出するsql=select*from [Web顧客]where初回登録日like’%2008%’というSQLクエリが見つかったことにあり、同様に2007年分の仕掛けも発覚した為、合計で最大97,500件にも上る顧客データが流出した可能性が否定できなくなりました。サウンドハウスのデータベースが明らかに攻撃を受けたのです。

今回の攻撃手法は通常のSQLインジェクションとは異なり、サイトに埋め込まれた悪性プログラムを活用したものであることも判明しました。ところがこの手法は類似例が見当たらず、当初から不可解な謎が残されていました。サウンドハウスのサーバー内に発見された悪性プログラムがSQLインジェクションによって挿入された形跡が2007-2008年のアクセスログに見当たらないのです。つまり、この不正プログラムがそれ以前に侵入していた可能性が考えられたのです。この謎を解決する鍵が偶然にも見つかりました。サウンドハウスには、ファニチャーハウスという100%子会社の家具販売店があります。この2社は、当時サーバーを共有しており、たまたま、この子会社の古いアクセスログが混在していたのです。2006年分のログを解析したところ、それがファニチャーハウスからのものであることが後でわかり、そこから新たなる事実が見つかりました。そこには2006年6月、SQLインジェクションによってファニチャーハウスが攻撃を受け、xp_REGコマンドの実行によってレジストリの書き換えが行なわれ、ターミナルサービスを実行しようとした形跡が残されていました。つまり2006年には遠隔操作とも言えるリモートアクセスが可能になる仕組みが構築されていた疑いが発覚したのです。もしこれが事実ならば、サウンドハウスも同じ手法で侵入されている可能性があるだけでなく、サーバーを共有するファニチャーハウス側からサウンドハウスにアクセスされていた可能性も否定できなくなりました。

今回の流出の根源は少なくとも2006年まで遡り、当時からコマンドを外部から実行するだけでweb経由でアクセスできるような仕掛けをプログラム内に仕組んだ可能性が高いということです。これはおそらくSQLインジェクションによって仕組まれ、そのバックドアを巧みに活用して、実に巧妙なサイバー犯罪行為に発展したと考えられます。そして驚くことに、2006年6月29日、中国のブログにおいてサウンドハウスが名指しで公開され、そのサイトに侵入した成功事例として、攻撃マニュアルが公開されていたことが明らかになりました。もはや疑う余地はありません。サウンドハウスは2006年6月からおよそ2年間、この事実に全く気づくことなく時を過ごしていたのです。しかしこれは単なる氷山の一角にしかすぎず、日本全国で、他にも被害が生じていることへの警告に他なりません。

SQLインジェクションとは?

そもそも、サイバー攻撃の手段として悪用されているSQLインジェクションとは、一体何なのでしょうか?企業が運営する商業サイトには、通常、ユーザーが利用できる各種入力フォームやメニュー等が存在しています。その仕組みに対して何らかの脆弱性を見出し、外部からSQLと呼ばれるコンピューター言語のコマンドを実行して、本来存在しない不正スクリプトを埋め込んでデータベースを操作しながらデータを抜き取ったり、ユーザーをウィルスに感染させたりする手法を指しています。これらの不正行為を実行するために、SQL文を外部より密かに「注入」することから、いつしかSQLインジェクションと呼ばれるようになりました。

以前は攻撃が成功しそうなサイトを捜すのに相当の労力と時間が掛かりましたが、今日では検索エンジンが進化したこともあり、サイトの脆弱性を見極めることのできるキーワードから、攻撃ターゲットになり得る商業サイトを見出すことが容易になりました。また、ある程度のコンピューター知識を有すれば、誰でも攻撃ができてしまうのです。その最も大きな理由は、SQLインジェクションの攻撃方法に関するマニュアルやツールが、中国のサイト等で公開されたことにあります。「注入工具」や「Mpack」と表記される攻撃ツールは今や、SQLインジェクションの代名詞でもあり、これらのサイトは今日でも、インターネット上で閲覧することができます。

サイバーテロ攻撃とも言えるSQLインジェクションによる被害が一気に拡大した理由はもはや明らかです。それはSQLインジェクションの手法を詳しく紹介したマニュアルの存在とツールの公開、そして検索サイトの精度が向上したことによる相乗効果に他なりません。また、これらの攻撃の結果が、中国においてはブログ等で細かく紹介されていることも注目に値します。ネット社会では、法規制の手が及びにくく、例え犯罪に利用されるツールであることがわかっても、掲載が許されてしまうのです。その結果、今やサイバー世界において、不正スクリプトと呼ばれるサイバー弾頭を搭載したSQLインジェクションというミサイルが世界中を飛び交い、特に日本に対してその矛先が向けられ、着弾しているのです。その甚大な被害は計り知れません。

ハッカーの背景に潜む抗日戦略とは

JSOCセキュリティセンターによると、SQLインジェクションによる攻撃は数年前より激増し、2006年度には前年の7倍にあたる約250件の攻撃が確認されました。また、日本企業を標的とした攻撃のおよそ75%が中国のIPアドレスを発信元としていたと報告されています。では何故、2006年より攻撃が急増したのでしょうか。どうも、その理由は国家レベルの問題に事の発端があるようです。

つい最近、北京オリンピックの聖火リレーで、数々の妨害が生じていることが話題となりました。既にヨーロッパでは、中国のチベット問題に対して抗議が活発化しており、特にフランスの大統領は、当初、あからさまに中国を非難し、開会式の不参加を明言していたことはテレビでも放映されている通りです。その結果、今年4月に中国では反フランス運動が勃発し、中国のネット社会の象徴とも言える携帯電話、及びインターネットの力を駆使して、フランス商品の不買運動が始まっただけでなく、スーパーのカルフールなどがそのターゲットしてデモ隊から攻撃を受けました。

この反フランス運動は2005年4月に勃発した反日抗争と良く似ています。当時、教科書問題が引き金となって中国では抗日運動が始まり、携帯電話、及びインターネットを原動力として庶民に反日情報が次々と流れ出し、短期間に大きな社会運動となりました。直後から中国のブログ等で日系サイトの攻撃手法が堂々と公開されるようになったことからしても、その抗日抗争の流れの一環として、ハッカー攻撃の矛先が日本に向けられ、攻撃が急増したと考えられます。

また、攻撃するサイトの対象が2006年を機に変わったことにも注目です。JSOCのレポートによると、2005年までは、一般に市販されているアプリケーションソフトが主に狙われていましたが、2006年からは、企業が独自に作成したアプリケーションを狙った攻撃が激増しています。独自のアプリケーションを自社開発するのは、一般的には成長企業だけですから、セキュリティ面まで神経が行き届かず、対策が後手に回りやすいのです。しかも、これらの成長企業の多くが通販企業であり、クレジットカード情報をデータベースに保有していることも多く、格好の餌食となってしまったのです。

サイバー戦争は空想の世界の話ではありません。サウンドハウスを始めとする多くの日本企業は、海外からSQLインジェクションの集中砲火を浴び、想像以上に被害が拡大しています。今や日本社会を脅かす重大な事態となりました。もはや一刻の猶予も許されません。

(文・中島尚彦)

© 日本シティジャーナル編集部