9.18に中国からサイバー攻撃? – 読売新聞

2012年9月の攻撃では、日本の裁判所などのサイトが書き換えられた(ラックによる)

2012年9月の攻撃では、日本の裁判所などのサイトが書き換えられた(ラックによる)

中国の反日運動が激しくなる9月18日前後に、日本のサイトへの一斉攻撃が予想されている。 毎年のように行われている中国の「紅客」(ホンクー:政治的な意図を持ったサイバー攻撃者)によるサイバー攻撃だ。 掲示板に日本へのサイバー攻撃予告が書かれる 9月18日は、中国で反日運動が激しくなる日だ。82年前、中国東北部の奉天(現・遼寧省瀋陽市)近郊で、関東軍による「柳条湖事件」が起きた。満州事変のきっかけとなっていることもあり、中国では「九一八事変」と呼ばれて、反日運動が激化する日と言われている。

この9月18日に、日本に対するサイバー攻撃が行われる可能性があるとして、警察庁、企業セキュリティー大手のラック、IBMセキュリティー・オペレーション・センターのTokyo SOCが相次いで警告を出している。

IBMのTokyo SOCによれば、すでに日本をターゲットとした攻撃予告が、掲示板などで確認されているとのこと(柳条湖事件が起こった9月18日に向けた攻撃予告に関する動向:Tokyo SOC Report)

また、警察庁によれば、攻撃の前兆とも言えるDNSサーバーの探索行為が始まっている(中国を発信元とする再帰問い合わせ可能な DNS サーバの探索行為の増加について(PDF:警察庁))。

9月18日「九一八事変」では、毎年のように日本のサイトなどに対するサイバー攻撃が行われている。右のグラフは、IBMのTokyo SOCによる「中国からのブラインドSQLインジェクション攻撃送信元IPアドレス数の推移」で、ここ3年間の中国からの攻撃件数がわかるものだ。

このグラフを見ると、毎年9月10日前後からSQLインジェクション攻撃が増え、9月16日から18日前後にピークを迎えることがわかる。今年はまだ兆候は見られないが、「9月18日付近の休日にピークとなる傾向(Tokyo SOC)」があるので、14日から18日にかけて攻撃が増加しそうだ。

昨年は尖閣諸島の国有化と重なったため、9月18日前後のサイバー攻撃はより激しいものとなった。昨年の本連載の記事「中国サイバー攻撃の手口と対策:サイバー護身術」でまとめているが、DDoS攻撃(大量にデータなどを送りつけ接続不能にする攻撃)で、総務省統計局・防衛省・政府インターネットテレビなどの政府機関や、銀行・電力会社などの民間企業計11サイトがつながりにくくなった。

また、最高裁などのウェブサイトでは、ウェブサイトが改ざんされ、尖閣諸島に中国の国旗が掲げられている画像が掲載された。今年も同様の攻撃が予想される。

日本を狙う「紅客」による二つのサイバー攻撃 中国では犯罪目的のハッカー(いわゆるクラッカー)のことを「黒客(ヘイクー)」と呼んでいる。非合法・犯罪をイメージさせる「黒」を基にして、英語のHackerと読みが近いことから「黒客(heike)」と呼ばれているようだ。

それに対して、政治的な目的を持ったハッカーのことを「紅客」と呼んでいる。中国の愛国的なイメージである「紅」を基にしたもので、政治的な目的でサイバー攻撃などを行うハッカーのことである。9月18日に日本を攻撃してくるハッカーも、この「紅客(ホンクー)」だと言われている。いわゆる「ハクティビズム」「ハクティビスト」の中国版と考えればいいだろう(詳しくは以前の記事「ハクティビスト」とは?:サイバー護身術」参照)

ただし「紅客」は一つの組織ではなく、いくつもの組織に分裂しており、組織によって方針もバラバラのようだ(詳しくはVladimir氏の記事参照「紅客聯盟はいかにして詐欺ビジネスの代名詞となったか(Far East Research)」:Scan NetSecurity)。 この「紅客」が、掲示板やチャット、SNSでの呼びかけに応じて日本を攻撃してくる可能性がある。 攻撃の手法として、セキュリティー大手・ラックでは以下の二つの危険性があるとしている(9月18日に関連したサイバー攻撃に関しての注意喚起:ラック)

●サーバーやサービスに対するサービス妨害攻撃

主に予想されるのは、大量にデータを送りつけるなどしてサーバーやサービスを止めるDDoS攻撃だ。昨年はこれによって日本の官公庁などのサイトが一時的につながりにくくなった。単純にボタンを連打する初歩的なものから、専用ツールを配布して多くの人に参加を呼びかけるパターンもあった。対策としては、特定の国のIPアドレスブロック、サーバー・回線の増強、クラウドサービスへの切り替えなどがある。

●Webサーバーの改ざん(乗っ取りや情報窃取にもつながる)

SQLインジェクション攻撃、脆弱ぜいじゃく性を狙った攻撃などにより、ウェブサイトなどを改ざんするもの。政治的な目的ではよく使われる手法で、昨年も政府系のサイトが乗っ取られて尖閣諸島の画像に差し替えられる事件があった。また、パスワードを盗み取るウイルスをしのばせたり、パスワードリストを使った攻撃により、使いまわしパスワードを使用している管理者アカウントが攻撃を受ける場合もあるとしている。対策としては脆弱性対策をしっかりすること、同一パスワードの使い回しを禁止するなどのパスワード対策も必要となる。

このように9月18日前後は、大規模なサイバー攻撃を受ける可能性がある。企業の管理者はもちろんのこと、個人のサイト運営者も注意する必要がある。ガードのゆるい日本の中小のサイトが狙われる可能性があるからだ。特に最近は、WordPressなど中小のサイトで使われているブログ・CMSが狙われている。被害に遭わないように設定を見直し、パスワード管理を改めて厳重にしたい。(ITジャーナリスト・三上洋)

●参考記事

 ・中国サイバー攻撃の手口と対策:サイバー護身術

 ・「ハクティビスト」とは?:サイバー護身術

 ・中国を発信元とする再帰問い合わせ可能な DNS サーバの探索行為の増加について(PDF:警察庁)

[Source :  読売新聞 2013年9月13日]