第1回 Web改ざんの実態(前編)
|
office
2001/3/2
2000年の1月末から2月にかけて、日本の官庁のWebサーバが次々とクラックされた事件[1]は、インターネットのみならず一般のマスメディアでも大きく報道され、世間一般に広く知られることになった。そして「危機管理能力のない政府の実態が露呈」、「技術大国日本の恥」といった批判も多くなされ、ひとたびWebが改ざんを被ると組織のイメージダウン、信頼度の低下を招くといったことを知った経営者や企業幹部の方々も少なくないはずだ。
[1]http://www.zdnet.co.jp/news/0002/04/haikei2.html
Webが改ざんされてもそのデータ自身はバックアップから書き戻すだけであり、情報や資産を失うわけではない。失うのは信用だけだ。Web改ざんは、インターネットコミュニティの中で改ざんする側は威力を誇示し、改ざんされる側は信用を失うという社会性が問題になる事象だ。この記事ではWeb改ざんの実態について述べ、そこから垣間見える社会的側面について取り上げる。
最初のWeb改ざん事件 |
コンピュータ侵入事件は20年以上前から頻繁にあったが、Webがこの世に存在しなければWeb改ざんは不可能だ。またWebが改ざんされても、それが事件になるだけの環境、つまりWebというものが人々に浸透しなければ、クラッカーがWeb改ざんをして示威的な目的を果たすことはできない。
WebがCERNにより公開された1991年から、Webシステムを開発する仲間同士でのいたずらなどはずっと行われてきたには違いないが、当然事件として記録には残っていない。Webがまず世界に広がった時期は、ブラウザの礎を築いたMosaic(編注)が無償公開された1993年以降と考えられる。日本では、初の商用インターネット接続が始まった1993年末から一般社会に普及しはじめた。
編注:NCSAで開発されて無償配布されたWebブラウザ。Netscape Navigatorが普及するまではWebブラウザの代名詞的存在だった。 |
しかし、記録の中に最初のWeb改ざん事件が見いだされるのはそれから2年もたった後で、www.thespot.comが1995年6月12日に被害にあったことが知られている[2]。Web世界が一部のマニアやエリートの閉じられたコミュニティから、一般社会に開かれたメディアへと質的に変化し、Webでの事件が社会的な事件になるまでには、Web公開後4年の歳月を要したということだ。
[2]http://www.attrition.org/mirror/attrition/1995.html
日本での最初のWeb改ざん事件がいつかを特定するのは難しい。公的なセキュリティ対策事業を行っている情報処理振興事業協会(IPA)に報告された日本最初のWeb改ざん事件は、1997年5月23日に農水省の掲示板にオウム真理教の音楽が流れるようになった事件だ[3][4]。下で述べるように、1996年末のゲリラWebサーバの件などほかの事件も知られているが、おおよそ米国に1〜2年遅れてWeb改ざんが事件と見なされるインターネット環境になったようだ。
[3]http://www.ipa.go.jp/security/ciadr/txt/19970627.txt
[4]http://www.asahi-net.or.jp/~wx7s-yngd/d/dnousui.html
ニュースサイトにおけるWeb改ざん事件報道 |
初のWeb改ざん事件記録とほぼ同時期に本格的な商業ニュースサイトのサービスが開始された。これらニュースサイトが取り上げるインターネット上の事件としてWeb改ざんは格好の話題であった。
1995年6月に始まったCNET[5]は1996年8月18日、司法省のサイトが正義を嘲る内容に書き換えられたことを最初に報道した[6]。また1996年4月に始まったCNN[7]は9月19日にCIAのサイトが改ざんされたことをスクリーンショットとともに報道した[8]。これを機にWeb改ざんはニュースサイトで頻々と取り上げられるようになり、それにつられるかのようにWeb改ざん件数は増加の一方をたどっている。
[5]http://news.cnet.com/
[6]http://news.cnet.com/news/0-1005-200-312170.html?tag=st.ne.ni.rnbot.rn.ni
[7]http://www.cnn.com/
[8]http://www.cnn.com/TECH/9609/19/cia.hacker/
日本ではインプレス[9]が1997年1月より、毎日新聞JamJam(現毎日新聞)[10]が同年5月よりインターネット事件を特集して報道を始めた。Web改ざんに関する最初の報道は、1997年5月18日に朝日放送のページが改ざんされた事件[11]と、その犯人が5月23日に逮捕されたという内容だ[12]。
[9]http://www.watch.impress.co.jp/internet/
[10]http://www.mainichi.co.jp/
[11]http://www.watch.impress.co.jp/internet/www/search/article/
9705/2003.htm
[12]http://www.mainichi.co.jp/digital/netfile/jamjam/9705/0523-1.html
この事件報道によって2つの事柄が日本で初めて明らかにされた。Web改ざんは電子計算機損壊等業務妨害となること。そして、インターネットは匿名などではなく、プロバイダや電話会社に残された記録から犯人を追跡可能だということである。
AlterNICのInterNIC乗っ取り |
1997年7月14日ごろ、トップレベルドメイン管理組織であるInterNIC[13]のWebがAlterNIC[14]に乗っ取られるという事件が発生し、InterNICのURLへアクセスするとAlterNICのWebページが表示されるようになった[15]。AlterNICはこの乗っ取りを「プロテスタント」と称し、InterNICのドメイン名の独占的な管理に対する抵抗の1つとして位置付け、7月22日ごろにも乗っ取りが再度敢行された。
[13]http://www.internic.net/
[14]http://www.alternic.net/
[15]http://news.cnet.com/news/0-1004-200-320460.html?feed.cnetbriefs
これは、技術的にはAlterNICがDNSシステムの弱点をついて、www.internic.netへのアクセスとしてwww.alternic.netのIPが返されるようにしたものであり、InterNICのWebサーバに侵入したわけではない。DNS乗っ取りは厳密にはWeb改ざんではないが、ユーザーから見ると区別がつかない。乗っ取られたサーバのURLにユーザーがアクセスすると、本来のWebとは異なる内容が表示されるからだ。
つまりWebを乗っ取られないようにするためには、Webサーバの侵入だけを阻止するのみでなく、DNSサーバも同様に守らなければならないということだ。DNSを行う標準的なソフトウェアであるBINDはたびたびセキュリティホールが報告されているだけに注意が必要である。この乗っ取り事件の後にはBINDのバージョンを4.9.5-P1以降にすべき(編注)だと報道された[16]。
[16]http://www.watch.impress.co.jp/internet/www/article/
970722/protest.htm
編注:2001年3月1日現在、BINDの最新バージョンは8.2.3。これ以前のバージョンには重大なセキュリティホールが存在するため、最新バージョンを利用するべきである。 |
また、DNSは自サイト・自社だけの問題ではなく、ネットワークの上流のDNSを乗っ取られた場合にも大きな影響を被り、防衛が自サイトだけで完結しない難しさがある。最近問題となっている、登録されているドメイン所有者が勝手に変更されるというドメインジャック[17]を受けた場合にも自サイトのWebにユーザーがアクセスできなくなる。つまりWeb乗っ取りの問題はインターネットのドメイン管理システム全体とかかわっている。
[17]http://www.zdnet.co.jp/news/0006/01/domain.html
[17]http://www.zdnet.co.jp/news/0006/06/hijacking.html
「連載 Web改ざんの現状と対策」 |
出典:Scan Security Handbook Vol.5
2000/10/11発行
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|