専門家が明かす「イスラム国」系のサイバー攻撃手口

(1/2ページ)
2015/3/26 7:00
保存
共有
印刷
その他

中東の過激派「イスラム国」の賛同者とみられる組織が3月上旬、日本の複数サイトをサイバー攻撃した。いずれも一部のウェブサイト作成ソフトにあるセキュリティー上の欠陥(脆弱性)を放置していたことが原因。専門家は「4つの脆弱性が狙われた」とも指摘する。脆弱性によって関与する組織も、攻撃手法も違うが、いずれも基本的な対策で防げるものだった。

■3月以降、1200カ所で攻撃

「イスラム国」系がハッキングしたとみられるサイトの一部

「イスラム国」系がハッキングしたとみられるサイトの一部

賛同者とみられるグループは3月10日までに、福岡市や兵庫県西宮市、加森観光(札幌市)など国内サイト8カ所を攻撃した。サイト上に、「イスラム国」の存在を誇示する黒い旗の画像やメッセージが貼り付けられた。連絡先のメールアドレスが記載され、交流サイト(SNS)フェイスブック上のメンバー紹介ページに誘導するケースもあった。

ロシアのセキュリティー大手、カスペルスキー研究所の日本法人(東京・千代田)は3月5日以降、アイルランドや米国などのサイト約1200カ所で同様の攻撃を確認したという。日本でも一部の防御の弱いサイトが狙われたとみられる。サイトやブログの作成ソフト「ワードプレス」の機能拡張ソフトの脆弱性が悪用されたケースが多かった。

たとえば、サイトの一部に「Hacked by Islamic State(『イスラム国』が乗っ取った)」と書き込む攻撃があった。この攻撃について、ソフトバンク・テクノロジーの辻伸弘氏は「表面では分かりづらく、改ざん自体に気づいていない可能性もある」と指摘する。

では、何が狙われたのか。デロイトトーマツリスクサービス(東京・千代田)の岩井博樹マネジャーは「多くのサイトで『Slider Revolution』の脆弱性が狙われている」と分析する。

「Slider Revolution」とは、ワードプレスの機能拡張ソフトの一つで、サイト上に画像のスライドショーを表示できる機能を持っている。別の攻撃に使われたワードプレスの機能拡張ソフト「FancyBox」と同様、脆弱性が放置されたのが根本的な原因だ。開発チームは昨年2月に修正版の最新ソフトを公開しているが、サイト管理者らが更新していなかったことが攻撃の呼び水となってしまったとみられる。

攻撃者はワードプレスのほかに、「Joomla!(ジョームラ)」というサイト作成ソフトも狙う。ジョームラも広く普及するソフトで、民間情報共有組織「JPCERT」は昨年10月、ジョームラの複数の脆弱性を注意喚起している。岩井氏は「ワードプレスやジョームラの脆弱性は、攻撃者がよく狙う典型的なソフトだ」と指摘する。

だが、攻撃はこれだけでは終わらなかった。「Team System Dz」を名乗る賛同者グループが3月12日、近畿大などのサイト3カ所をサイバー攻撃。続けて21日には、国内企業のサイト4カ所が被害に遭った。10日までに攻撃したグループとは別の組織のようだ。

「イスラム国」系の攻撃手法一覧
攻撃結果攻撃の手法対策方法
(1)黒い旗の画像サイト作成ソフト「WordPress(ワードプレス)」の機能拡張ソフト「FancyBox」の脆弱性を悪用最新版のソフトに更新する
(2)「『イスラム国』が乗っ取った」とのメッセージワードプレスの機能拡張ソフト「Slider Revolution」の脆弱性を突く最新版のソフトに更新する
(3)攻撃者とみられる名前と連絡先ワードプレスと「Joomla!(ジョームラ)」の脆弱性を悪用する最新版のソフトに更新する
(4)凝った画像と動画グーグル検索でプログラム「PHP」の設定不備を見つける「グーグル・ハッキング」パスワードの変更など

  • 1
  • 2
  • 次へ

日経電子版が最長2月末まで無料!
初割は1/24締切!無料期間中の解約OK!

保存
共有
印刷
その他

電子版トップ



[PR]