PR
写真●米Internet Security Systemsのダニエル・S・インゲバルドソン氏
写真●米Internet Security Systemsのダニエル・S・インゲバルドソン氏
[画像のクリックで拡大表示]

 「これまでのハッカーはワームを作ってばら撒くのが主流だったが,今は違う。今どきの一流のハッカーはまずセキュリティの脆弱性を持っていそうなWebサイトをGoogleなどの検索エンジンで検索する。検索結果に出たWebサイトを攻撃し,クレジットカード番号などの個人情報を盗み取る」。

 セキュリティ対策製品ベンダー,米Internet Security Systemsのダニエル・S・インゲバルドソン氏(技術戦略担当ディレクター)は,こう指摘する。ハッカーの行動が変わってきたのは「ワームを作るよりも,個人情報を盗み取ってブラック・マーケットで売ったほうが高額な利益を得られるから」(インゲバルドソン氏)である。

 そのやり方は,例えばこうだ。あるWebアプリケーション・サーバー・ソフトに脆弱性があり,ハッカーがその脆弱性を突く攻撃のやり方を知っていたとしよう。ハッカーは,検索エンジンを使い,そのWebアプリケーション・サーバー・ソフトを利用しているWebサイトを検索する。Webアプリケーション・サーバーの中には,特定の文字列をURLに含めるものがあるため,その文字列を検索すれば当該サイトが分かってしまう。

 検索結果が出たら,ハッカーはさらに「サングラス」などの商品名で検索結果を絞り込む。商品を扱うECサイトのシステムでは,商品代金の決済のためにクレジットカード情報を管理していることが多く,格好の攻撃対象になるからだ。ハッカーは絞り込まれた結果のなかのWebサイトにアクセスして,クレジットカード情報を盗み出すために攻撃を仕掛ける。

 ECサイトは検索エンジンで結果が上位に来るように狙っているのが普通だ。ここでの対策は,脆弱性を地道につぶすことしかない。インゲバルドソン氏は「万一,不正アクセスされた場合に備えて,IDS(侵入検知システム)など製品を導入するといった策を講じる必要がある」と説く。