管理者もきちんとした対策をとるべきだ

中国から日本のサイトに向けたサイバー攻撃が激化している。ウェブサイトが書き換えられたり、DDoS攻撃によってつながりにくくなったサイトもあり、今後も警戒する必要がある。ヴィトン エピ

DDoS攻撃とウェブサイト書き換え

 尖閣諸島の国有化決定以降、中国の反日感情が高まり、デモや破壊行為が行われているが、同時にインターネット上のサイバー攻撃の被害も出ている。警察庁の発表によれば、11日から19日までに、少なくとも日本の19のサイトが被害に遭っており、中国から攻撃された可能性が高い。louis vuitton バッグ

 中国からと思われるサイバー攻撃は、二つの方法で行われている。一つはサイトへのDDoS攻撃で、ホームページなどがあるサーバーにデータを大量に送りつけ、接続しにくくしたり処理不能にしたりする攻撃が行われた。ヴィトン タイガこの攻撃により、総務省統計局・防衛省政府インターネットテレビなどの政府機関や、銀行・電力会社などの民間企業計11サイトが被害に遭って、サイトがつながりにくくなった。

 もう一つの攻撃は、ウェブサイトの改ざんだ。ヴィトン 新作ウェブサイトで使われているソフトウエアの脆弱(ぜいじゃく)性(欠陥・問題点のこと)を突くなどの方法で、トップページなどを書き換えられている。最高裁が管理している裁判所のウェブサイトは、14日の夜に書き換えられ、尖閣諸島に中国の国旗が掲げられている画像と、尖閣諸島は中国のものというメッセージが表示された。ヴィトン 新作この他にも、東北大学病院奈良市観光協会東京工業大学世界文明センター・日本経済新聞社健康保険組合など8サイトが書き換えられた。

 警察庁によれば、中国のハッカー団体である中国紅客連盟が、掲示板でターゲットとなる日本のサイトをリストアップしていたほか、中国大手サイトのチャットでもサイバー攻撃を呼びかけていた。vuitton bag大量にデータを送りつけるDDoS攻撃のためのツールも配布していたようだ。このサイバー攻撃は、満州事変の発端となった柳条湖事件が起きた18日がピークとなった。vuitton 財布

■ウェブサイト改ざんはサーバー側の不備が原因

 この中国からの攻撃について、企業向けセキュリティー大手・LAC(ラック)の専務理事・西本逸郎氏が近接国の、政治的抗議行動の一環と推測される日本のホームページ改ざん事件に関してという分析・注意喚起のブログ記事を発表した。

 それによると、改ざんの原因はウェブサイトで使われているアプリケーションや、CMS(コンテンツ管理システム)などの欠陥・設定の不備にあるのだという。ヴィトン ヴェルニ西本氏の分析によれば、犯人はまず政府機関のウェブサイト一覧を作り、ターゲットとして狙える穴があるサイトを探す。脆弱性が残っているバージョンのアプリケーションを使ったサイトを探したり、SQLインジェクション攻撃(データベースを不正に操作する攻撃のこと)ができるサイトなどを調査するわけだ。ヴィトン専門店これらの脆弱性を突いて攻撃し、内部に侵入してウェブサイトを書き換えている。西本氏は使用された道具も限られており、いわゆる高度なハッキング技術が駆使されているわけではないと分析している。vuitton 財布

 西本氏によれば、改ざんの被害に遭った団体・企業では三つのことが起きる。まずは
1.元に戻しても何度も改ざんされるで、脆弱性が残っていた場合、元に戻したとしても、繰り返し何度も改ざんされてしまう。louis vuitton バッグ次は
2.脆弱性を無くしても何度も侵入されるで、一度侵入されると裏口(バックドア)を作られてしまい、脆弱性を解消したとしても、今後さらに被害を受ける可能性があるという。最後は
3.個人情報は大丈夫なのかという問いに応えなければならないで、メールや書類などのファイルが流出していないか確認するなどの調査が必要になり、日常業務がストップする可能性があるとしている。ヴィトン ヴェルニ

 単純に書き換えられましたが、脆弱性を直したので大丈夫ですというだけでは済まないということだ。

■日頃の監視と、改ざんされることを覚悟する

 今回の中国からの攻撃については、警察庁が電子計算機損壊等業務妨害不正アクセス禁止法違反の疑いがあるとみて捜査しているほか、9月25日には内閣官房情報セキュリティセンター(NISC)が、政府機関ならびに重要インフラ事業者などにおける情報セキュリティー対策の強化徹底を要請する政府機関等において今後、早急に対応すべき措置についてという文書を出している。vuitton 財布

 しかしながら、政府や警察の措置では足りないので、個別のサイト管理者もきちんとした対策をとるべきだ。LAC専務理事の西本逸郎氏は、対策として三つのポイントを挙げている。ヴィトン 新作

1.自分のサイトが標的になり得るかの確認(自分のウェブサイトが攻撃対象になっているかどうか)
2.物色されていないかの確認(アクセスログの分析)
3.万一への備え(改ざんに遭った場合の対処をシミュレート)

 また脆弱性対策としては、LACが2012年9月のセキュリティインシデント:攻撃件数の増加についてという記事の中で、脆弱性やログの分析について詳しくまとめている。サイト管理者は目を通しておきたい。vuitton 財布