Internet Watch logo
記事検索
最新ニュース

「サウンドハウス」名指しの攻撃マニュアルが中国で公開されていた

不正アクセスの経緯と原因について詳細な報告書を公開

 楽器や音響機器を販売するサウンドハウスは18日、同社のショッピングサイトが不正アクセスを受け、過去に商品を購入した顧客の個人情報が流出した事件について、被害の詳細を公開した。原因を調査したラックの報告書の概要などを紹介している。


中国のブログでサウンドハウスのサイト攻撃マニュアルが公開

 サウンドハウスによれば、今回の不正アクセスの攻撃手法についてラックは、「SQLインジェクションおよび以前からサーバー上に存在した悪性プログラムを利用した攻撃」であると分析。Webサーバーに置かれた「aa.asp」というファイル名の悪性プログラムを経由して、個人情報が抜き取られたと見ているという。

 しかしサウンドハウスでは、「aa.asp」がWebサーバーに挿入、作成された形跡が見あたらなかったとして、「悪性プログラムを挿入したと思われるバックドアが以前から存在していた」と推測。あくまで推測の域を出ないとしながらも、攻撃者はまず2006年6月にSQLインジェクションを使用し、外部からデータベースサーバーを直接操作するためのバックドアを作った可能性があるとコメントした。

 なお、サウンドハウスは「推測」の根拠として、中国のブログで2006年6月29日、同社サイトへの不正アクセスに成功したことが記載されていたことを挙げている。このブログではそのほか、同社サイトへの不正アクセス方法を紹介するマニュアルも公開されていたという。

 さらにサウンドハウスは、攻撃者がバックドアを使用して、社内の別のサーバーにバックドアを埋め込み、これを使用して「asp1.asp」というファイルを2006年7月28日にWebサーバー上に配置した可能性が高いと指摘。この攻撃手法が2008年2月18日、中国のホームページ改竄に関するサイトに登録されたことから、これをもとに不正アクセスが行なわれ、最終的に既に存在していたバックドアを経由して、悪性プログラムの「aa.asp」を生成したと推測している。

 その後、2008年3月11日21時頃から3月22日24時頃にかけて、顧客データが保存されているテーブルから20件ずつデータを抽出する悪性プログラムが、計4,875回起動される集中攻撃が実施されたという。データ抽出時には、「select*from○○○○where○○○○like' %2008%'」というSQLクエリが送信された形跡が判明。2007年分も合わせると、最大9万7,500件の顧客データが流出した可能性があることがわかったという。このSQLクエリは、もともと難読化されていたコマンドを解読したものとしている。


今回の不正アクセスでは、2年前に埋め込まれた“時限爆弾”が活用か

 今回の不正アクセスについてサウンドハウスの中島尚彦代表取締役社長は、「自社開発したアプリケーションに対して、SQLインジェクションを介して悪性プログラムを埋め込み、バックドアのアクセスを作っていくような手法が用いられた可能性が高い」とコメント。2年前に埋め込んだ悪性プログラムを活用する事例は過去にほとんど例がなく、それは“時限爆弾”のように、いつ不正利用されても不思議ではなかったとしている。

 また、攻撃者がサイトへの侵入に成功してから一斉にクレジットカード情報などの不正利用を試みなかった理由については、「不正使用を長期化して収入が途切れないようにするため」「不要なアラートをたてて相手国がセキュリティを強化し、侵入しづらくなることを避けるため」と推測。このことから、過去にも気づかない間に少しずつ不正使用が繰り返されていた疑いを払拭できないとしている。

 サウンドハウスのサイトに不正アクセスした攻撃者は複数存在するようで、攻撃者らは中国のサイトで公開されたマニュアルに従って行動したという。サウンドハウスの報告によれば、具体的には、カード決済で使う本人認証システム「3Dセキュア」を導入しているガンホーなどのゲームサイトにおいて、サウンドハウスから抽出したクレジットカード番号と、サウンドハウスのサイトのパスワードをマッチングさせて本人認証を通過。その後、金券や商品を購入してRMT(Real Money Trade)などのサイトで転売するなど、足が付かないかたちで換金していたとしている。


独自開発したアプリケーションがSQLインジェクションの標的に

 サウンドハウスが紹介しているラックの報告書の概要によれば、SQLインジェクションの攻撃対象は2005年以降、企業が独自に作成したアプリケーションを狙うケースが激増し、SQLインジェクション攻撃の7割を占めるようになったという。

 以前は、一般に市販されているアプリケーションが狙われていたが、これらは複数のユーザーがいるため脆弱性が早期に発覚する可能性が高く、メーカーによる修正も早いという。一方、自社開発の独自アプリケーションは、ユーザー企業が自ら調査をしなければならず、対策が後手に回りやすいことから、2005年以降は独自アプリケーションが集中的に狙われるようになったとしている。

 なお、不正アクセスを受けた企業が、被害の経過や対策方法の詳細を公開するケースは珍しい。この点に関して中島社長は、「今回の不正アクセス事件についての誤解を払拭するだけにとどまらず、一連の検証から浮かび上がってきた事実を直視して、サイバー社会における問題と実態についての警告を、よりリアルなものと受け止めていただき、新たなる対策、方向性を見い出すきっかけとなることができれば」とコメントしている。


関連情報

URL
  個人情報流出に関する詳細(PDF)
  http://www.soundhouse.co.jp/news/20080418.pdf

関連記事
「サウンドハウス」のショッピングサイトからカード情報流出の恐れ(2008/04/04)
サウンドハウス、不正アクセスでカード情報27,743件流出の恐れ(2008/04/07)
サウンドハウス、個人情報流出の補償でポイント1,000円分付与(2008/04/18)


( 増田 覚 )
2008/04/18 18:53

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.