ラックは2013年9月12日、9月18日に満州事変の発端となった事件を背景にインターネット上で抗議活動が活発化し、サイバー攻撃につながるおそれがあるとして、国内の企業や団体に対して注意を喚起した。
例年9月18日は、1931年の満州事変の発端となった事件が起きた日として、抗議活動を煽動するユーザーに呼応して、サイバー攻撃が活発化している。攻撃を受けた組織やWebサービスは、運営が停止状態に陥ったり、Webページを書き換えられたりといった被害に遭っている。
ラックによれば、今回の注意喚起は、こうした攻撃が増加するタイミングでセキュリティ対策状況を見直してほしいという願いから行ったものだという。
満州事変に関与した攻撃活動は、数年前から繰り返されており、これまでの攻撃の傾向や緊急対応を行った実績を踏まえて、ラックは危険度の高い次の2つの攻撃方法についてまとめている。
サーバやサービスに対するサービス妨害攻撃
一般的にサービス妨害(DoS)攻撃は、サーバやサービスの脆弱性を悪用するものと、サーバやサービスの性能を超える要求を送信して正常な処理をさせないものの2つに大別される。過去の9月18日前後の妨害攻撃については、後者のものが確認されている。
Webサーバに対する攻撃が一般的で、Webブラウザの再読み込みボタン(キーボードショートカットはF5キー)を連打したり、再読み込みを自動実行するツールを用いたりする。
なお、サーバの脆弱性を悪用する手法は、乗っ取りと改ざんを目的とするケースが多くなっている。
DoS攻撃を仕掛けられた場合、攻撃の種類によって対策が変わる。前者の脆弱性を悪用する攻撃に対しては、サーバやアプリケーションのアップデートを適切に実行すること。また、独自のWebアプリケーションの場合はSQLインジェクションなどの脆弱性が組み込まれていないかどうかをチェックすることだ。IDS/IPSやWAFを用いて、サーバやアプリケーションへの攻撃を検知することも効果的である。
後者の許容量を超える要求が送る手口は、セキュリティ対策ツールによる対策は困難である。高性能なサーバや回線で許容量を増強する。攻撃元の国やIPアドレスを特定してブロックする。また、クラウド事業者のパブリッククラウド環境での運用に切り替えることも効果的だ。
Webサーバの改ざん
Webサーバのデータを改ざんする攻撃は、組織への抗議活動やマルウェアの配布などを目的として、日常的に発生している。Webサイトは企業の顔として象徴的に利用するものであるため、抗議活動の標的にされやすい。
9月18日に関連する攻撃においても同様で、2012年にはSQLインジェクション攻撃に寄ってWebアプリケーションに組み込まれた脆弱性や、バックエンドのミドルウェアの脆弱性を狙った攻撃が確認されているという。さらに、Webサイトの管理を行うCMSツールも攻撃の対象となる。
また、数年前より被害が発生しているマルウェア「Gumblar」などを用いて、Webサイト管理者のコンピュータにパスワードを取得するウイルスを忍ばせたり、パスワードリスト攻撃によって管理者アカウントを攻撃する場合もある。
サーバーのWeb改ざん攻撃への対策は、プラットフォームやミドルウェアのアップデートを適切に実行し、脆弱性をなくすことである。また、Webアプリケーションのセキュリティ診断も確実に行っておきたい。
また、WebサイトやWebコンテンツの管理者のID管理も重要だ。パスワードの使い回しを禁止したり、複数要素認証を導入したりして、ソーシャルエンジニアリング攻撃を防ぐ対策が必要である。
