日本経済新聞社

記事利用について
印刷 印刷

専門家が明かす「イスラム国」系のサイバー攻撃手口

2015/3/26 7:00
ニュースソース
日本経済新聞 電子版

 中東の過激派「イスラム国」の賛同者とみられる組織が3月上旬、日本の複数サイトをサイバー攻撃した。いずれも一部のウェブサイト作成ソフトにあるセキュリティー上の欠陥(脆弱性)を放置していたことが原因。専門家は「4つの脆弱性が狙われた」とも指摘する。脆弱性によって関与する組織も、攻撃手法も違うが、いずれも基本的な対策で防げるものだった。

■3月以降、1200カ所で攻撃

「イスラム国」系がハッキングしたとみられるサイトの一部

「イスラム国」系がハッキングしたとみられるサイトの一部

 賛同者とみられるグループは3月10日までに、福岡市や兵庫県西宮市、加森観光(札幌市)など国内サイト8カ所を攻撃した。サイト上に、「イスラム国」の存在を誇示する黒い旗の画像やメッセージが貼り付けられた。連絡先のメールアドレスが記載され、交流サイト(SNS)フェイスブック上のメンバー紹介ページに誘導するケースもあった。

 ロシアのセキュリティー大手、カスペルスキー研究所の日本法人(東京・千代田)は3月5日以降、アイルランドや米国などのサイト約1200カ所で同様の攻撃を確認したという。日本でも一部の防御の弱いサイトが狙われたとみられる。サイトやブログの作成ソフト「ワードプレス」の機能拡張ソフトの脆弱性が悪用されたケースが多かった。

 たとえば、サイトの一部に「Hacked by Islamic State(『イスラム国』が乗っ取った)」と書き込む攻撃があった。この攻撃について、ソフトバンク・テクノロジーの辻伸弘氏は「表面では分かりづらく、改ざん自体に気づいていない可能性もある」と指摘する。

 では、何が狙われたのか。デロイトトーマツリスクサービス(東京・千代田)の岩井博樹マネジャーは「多くのサイトで『Slider Revolution』の脆弱性が狙われている」と分析する。

 「Slider Revolution」とは、ワードプレスの機能拡張ソフトの一つで、サイト上に画像のスライドショーを表示できる機能を持っている。別の攻撃に使われたワードプレスの機能拡張ソフト「FancyBox」と同様、脆弱性が放置されたのが根本的な原因だ。開発チームは昨年2月に修正版の最新ソフトを公開しているが、サイト管理者らが更新していなかったことが攻撃の呼び水となってしまったとみられる。

 攻撃者はワードプレスのほかに、「Joomla!(ジョームラ)」というサイト作成ソフトも狙う。ジョームラも広く普及するソフトで、民間情報共有組織「JPCERT」は昨年10月、ジョームラの複数の脆弱性を注意喚起している。岩井氏は「ワードプレスやジョームラの脆弱性は、攻撃者がよく狙う典型的なソフトだ」と指摘する。

 だが、攻撃はこれだけでは終わらなかった。「Team System Dz」を名乗る賛同者グループが3月12日、近畿大などのサイト3カ所をサイバー攻撃。続けて21日には、国内企業のサイト4カ所が被害に遭った。10日までに攻撃したグループとは別の組織のようだ。

「イスラム国」系の攻撃手法一覧
攻撃結果攻撃の手法対策方法
(1)黒い旗の画像サイト作成ソフト「WordPress(ワードプレス)」の機能拡張ソフト「FancyBox」の脆弱性を悪用最新版のソフトに更新する
(2)「『イスラム国』が乗っ取った」とのメッセージワードプレスの機能拡張ソフト「Slider Revolution」の脆弱性を突く最新版のソフトに更新する
(3)攻撃者とみられる名前と連絡先ワードプレスと「Joomla!(ジョームラ)」の脆弱性を悪用する最新版のソフトに更新する
(4)凝った画像と動画グーグル検索でプログラム「PHP」の設定不備を見つける「グーグル・ハッキング」パスワードの変更など

 標的となったのは、近畿大理工学部の研究室が持つ掲示板サイトや音楽スタジオなど7つの大学や企業のサイト。トップページにはグループ名と一緒に「I love isis(『イスラム国』を愛している)」と書かれ、連絡先も併記されていた。このグループは、アルジェリアのハッカー集団とみられる。

 昨年2月に攻撃が確認され、ほぼ毎日、彼らは世界中のサイトを攻撃している。凝った画像や動画をトップページに貼り付け、短文投稿サイト「ツイッター」でハッシュタグ「#I_LoVe_You_ISIS」をつけてサイト改ざんを誇示していたのが特徴だ。

■実は単純な攻撃手口

グーグル検索でPHPの設定不備を突いて動画や画像を貼り付ける

グーグル検索でPHPの設定不備を突いて動画や画像を貼り付ける

 「典型的な『グーグル・ハッキング』という攻撃手法を使っている」(サイバーディフェンス研究所の名和利男上級分析官)。グーグル・ハッキングとは、グーグルの高度な検索機能を悪用し、脆弱なソフトを使うサイトを見つけ出す方法のこと。セキュリティーの国際イベント「ブラックハット」でも紹介され、世界的にも問題となっている。

 攻撃対象は、オープンソースのプログラム言語「PHP」。PHPは初心者でもわかりやすい言語だが、高度な機能を容易に組み込める。ウェブページの記述言語であるHTMLなどに書けるので、プログラムの記載量を省略できる利点がある。

 手口はこうだ。グーグルの検索窓でPHPの設定不備を特定できる文字列を打ち込んで検索。見つかったサイトに対し、画像や動画をアップロードする機能を悪用することで改ざんを試みるというものだ。「簡単なパスワードにしていた」(岩井氏)などの設定不備で、そこをつくことは難しいことではない。

 こうした4つの攻撃パターンは、ソフトウエアの基本的な対策不足が狙われていただけにすぎない。今年1月、京都大学や理化学研究所など少なくとも11の研究機関が立て続けに攻撃を受けたのも、サーバーのソフトの脆弱性を放置していたのが原因だった。対応を怠っていなければ、サイトを改ざんされたり、コンピューターウイルスを組み込まれたりされなかったはずだ。

 警察庁は2月、サーバー用ソフトの脆弱性「シェルショック」を狙う攻撃が急増していると注意喚起している。こちらも高度な攻撃ではなく、「最新版にソフトを更新」「強固なパスワードに変更」といった基本対策ができていなかったところが狙われた。

 今回は短期間に5千カ所以上を攻撃したが、賛同者グループの一派は昨年12月中旬にも日本の動物病院など4つのサイトを攻撃。今年1月にはフランスのサイト1万9千カ所も攻撃している。名和氏は「ネット上だけで活動する賛同者グループは、想像以上に複数存在する」と指摘する。

 「賛同者グループは、自分たちの技術でも攻撃できるサイトを物色している」(名和氏)という。高度な攻撃を仕掛けているわけではない。これは、今回に限ったことではない。大半のサイバー攻撃はごくごく基本的な対策で防御が可能だ。

 今回の攻撃は、一部では「勧誘目的のプロパガンダ」とも言われる。基本的な対策をやっていれば、サイトを乗っ取られることもなかった。「日ごろの備えを怠ることなかれ」――。システム管理者は、こうした当たり前のことの再認識する必要がある。

(企業報道部 浅山亮)


本サービスに関する知的財産権その他一切の権利は、日本経済新聞社またはその情報提供者に帰属します。また、本サービスに掲載の記事・写真等の無断複製・転載を禁じます。