Home > その他楽器 > 続・個人情報流出騒動 ?サウンドハウス?

続・個人情報流出騒動 ?サウンドハウス?

サウンドハウスニュース

これっぽいです。

犯人は中国から?日本へのサイト集中攻撃 : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)
※続きに全文引用

主な目的は、サイトに仕掛けして、そこにアクセスした人にマルウェア仕込んで個別にカード番号なんかを盗むらしいけど、サウンドハウスに関してはサイトが攻撃された時点で顧客情報も一緒に持って行かれたということ。

流出したのは以下の項目

  • お名前
  • フリガナ
  • 性別
  • 生年月日
  • ログイン用メールアドレス
  • ログイン用パスワード
  • クレジットカード情報 (名義 /カード番号 /有効期限)

確かカードで買う場合、その都度番号を保存するかどうかの選択肢があったと思うけど、俺は1回も保存したことが無い。この場合も流出したのかどうかわからんけれども、一応大事をとってカード会社に連絡して新しい番号のカードを再発行してもらうことにした。とりあえず不正利用は無かった。

あと、いろんなところの登録情報、ログイン用メールアドレスとかパスワードなどを、全部同じにしてる人がいるけれど、それは極めて危険。俺は面倒でも全部違うものにしてるからよかったけど、同じなら全部変更して回らなければいけない。登録してるサイトの数が膨大なので考えただけで気が滅入る。

しかしまあアレですな、Javaスクリプトのファイル名が「fuckjp.js」だなんて、挑戦的すぎて今度長野で聖火リレーに「Attack」したくなりますな。

4月8日追記:
サウンドハウスから個別に調査したメールが来ました。それによると、やはりカード情報を保存していない場合は、番号などの流出は無いようです。結果、カード再発行する必要は無かったことになりますが、それはあくまでも"流出していない"ことが間違いないのが前提で成り立つ話。安心のためにも変えてもらおう。って、もう申し込んでるけども。

犯人は中国から?日本へのサイト集中攻撃 写真の拡大 3月11日夜からのサイト改ざん攻撃の手口。企業や組織のページを書き換え、閲覧する一般ユーザーにマルウエアを忍び込ませる(ラックの説明会資料より)

 3月12日から現在まで、日本のサイトへの集中攻撃が続いている。勝手にページ内容を書き換える攻撃で、一般ユーザーのクレジットカード番号などを収集する悪質なものだ。状況証拠から見て、犯人は中国からアクセスしている可能性が高い。(テクニカルライター・三上洋)
目的は一般ユーザーの個人情報収集

 セキュリティー企業・ラック(LAC)は、サイト改ざん攻撃についての説明会を27日に開いた。3月11日の夜から始まった日本へのサイト改ざん攻撃を分析したものだ。ラックのセキュリティーアナリスト・川口洋氏によれば、「狙われているのは日本の企業などのサイトだが、被害に遭うのはそのサイトを使う一般ユーザーだ」という。

 この攻撃は、日本の企業・公共団体・大学などのサイトを書き換えるもの。サイトに使われているデータベースを攻撃し、勝手にデータベースの内容を書き換えてしまう。悪意のあるソフトウエア(マルウエア)を導入させるスクリプト(簡易プログラム)へのリンクが、データベースに書き込まれる。そのページを見た一般ユーザーにマルウエアを感染させ、クレジットカード番号などの個人情報を収集するのが目的だ。
写真の拡大
改ざんされたページの例(家電製品の通販サイトで)。商品名にマルウエアを導入させるスクリプト(簡易プログラム)へのリンクが仕込まれている

 つまり企業のページを書き換えるのは手段にすぎず、最終的な目的は一般ユーザーの個人情報収集にあるのだ。この攻撃は昨年11月ごろから始まっており、世界中で約4万サイトが改ざんされたといわれている。同様の攻撃は12月にもあったが、今年の3月11日夜から始まった攻撃では、日本のサイトが集中的に狙われている。本サイトの記事トレンドマイクロのサイト改ざん、閲覧するとウイルス感染ものように、ウイルス対策ソフトの大手企業のページまで改ざんされて大きな問題となった。

 このほかにも、携帯電話を販売しているサイト、家電製品の通販サイト、有名女性アーチストの公式サイトなどが被害に遭っている。
攻撃は中国発だと推測される状況証拠

 この攻撃はどこから行われているのだろうか? ラックの説明会では攻撃の手口を詳しく分析していたが、その中で注目すべき点が3つあった。

<1>中国のIPアドレスからアクセス 今回の攻撃は「125.46.xxx.224」と「60.172.xxx.4」という2つの固定IPアドレスから行われている。IPアドレスはインターネット上の住所に当たるもの。2つのIPアドレスを調べたところ、前者は「CNCグループ」というチャイナテレコム系のプロバイダー、後者はチャイナテレコムのプロバイダー「チャイナネット」だとわかった。いずれも北京に本社のあるプロバイダーで、前者は「hn.xx.xx.adsl」というホスト名からADSL接続だと推定できる。ただしこれだけでは、犯人が中国だとする証拠にはならない。踏み台として利用されている可能性が高いからだ。

<2>日本を中傷するスクリプト名 閲覧ユーザーにマルウエアを仕込むには、Javaスクリプトという言語が使われている。今回の攻撃では、このスクリプト(簡易プログラム)の名前が「fuckjp.js」「fuckjp0.js」になっていた。「fuckjp」という名前からもわかる通り、明らかに日本を中傷するもの。犯人は反日の立場をとる人物だと考えられる。

<3>中国向けソフトの脆弱性利用 今回の攻撃では、一般ユーザーにマルウエアを仕込むために、様々なソフトの脆弱性を利用している。脆弱性とはソフトの問題点や欠陥のことで、これを利用することで閲覧ユーザーのパソコンにマルウエアを忍び込ませる。利用されている脆弱性は以下の通りだ。最も多く使われているのは「RealPlayer」やマイクロソフト関連ソフトの脆弱性だが、それ以外にも見慣れないソフト名が並んでいる。

●日本でも使われているソフト:「RealPlayer」「マイクロソフト関連の4つの脆弱性」「Yahoo! Messenger」

●主に中国語圏で使われているソフト「Xunlei Thunder DapPlayer(『迅雷』中国語圏のP2Pテレビソフト)」「Baofengメディアプレイヤー(中国で人気のメディアプレイヤー)」「PPSTream(上海発の人気P2Pテレビソフト)」「GLChat(中国でよく使われるチャットソフト)」「Qvod Player(中国語のメディアプレイヤー)」「Baidu Soba Search Bar(中国最大の検索サイト『百度』のツールバー)」「SSReader(中国語のOCR文字認識ソフト」)

 このように、日本や英語圏ではほとんど使われていないソフトばかりだ。1つを除きすべて中国語のソフトで、中国語圏ではメジャーなもの。最大の検索サイト「百度」のツールバー、インターネットテレビ(P2Pテレビ)の「PPStream」、人気のメディアプレイヤー「Qvod Player」が並んでいる。犯人は中国語を理解できる人物だと推定できる。
今後も中国からの攻撃が続く?
写真の拡大
3月下旬現在でも、このような改ざんされたページが残っている。一般ユーザーもマルウエアに感染しないように対策する必要がある

 筆者の推測ではあるが、上記3つの状況証拠から見て、犯人は中国国内にいると思われる。中国のIPアドレスを足場に使い、「fuckjp」と中傷し、中国のメジャーソフトの脆弱性を突いているからだ。政治的な目的があるかどうかは不明だが、日本の一般ユーザーの個人情報を盗もうとしているのは明確だ。

 今回の攻撃は3月11日夜から始まって13日にいったん停止している。しかし3月24日には再び攻撃を再開しており、今後も続くかもしれない。この画像のように、感染しているページが今も残っており、十分に警戒する必要がある。攻撃の手口と対策は、次回の記事で詳しく紹介する予定だが、とりあえず以下の3項目を守ろう。

●ウィンドウズアップデートを自動にすること

●「RealPlayer」「Yahoo!メッセンジャー」などのソフトは、必ず最新版にする

●ウイルス対策ソフトを導入し、最新の定義ファイルにする(自動更新に)

 特に2つ目の項目は重要だ。動画やメッセンジャーなどのソフトは、脆弱性への対策が進んだ最新のバージョンにしよう。
(2008年3月28日 読売新聞)

Home > その他楽器 > 続・個人情報流出騒動 ?サウンドハウス?

Sponsored link
Facebook
Categories
twitter
Archives
Feeds
Track Feed
    track feed guitars.grrr

Return to page top