クレジットカード情報流出頻発 サイバー攻撃用の「ツール」を使用?
クレジットカード番号やパスワードを盗んだり、データを書き換えたりするサイバー攻撃が激増している。独立行政法人情報処理推進機構(IPA)によれば、同機構が運営する1サイトだけで、2009年7月は4月の約25倍、534件に増えた。無差別的に「じゅうたん爆撃」のように攻撃する「TOOL(ツール)」が出回り、それを使った犯行ではないか、という見方が有力だ。
「検索窓」を狙った無差別攻撃が始まっている
IPAによれば、08年3月頃から増えているのが「SQLインジェクション攻撃」。データベースを持つサイトの「検索」用の窓から侵入してデータを盗んだり、データベースを書き換えたりするサイバー攻撃だ。IPAのサイトでは09年4月に21件だった攻撃件数が7月には25倍の534件に増加した。IPAだけを狙って攻撃したものではなく、無差別的な攻撃とみられるため、日本国内では相当数の攻撃が仕掛けられていると判断、IPAは09年8月17日、ウェブサイト運営者に緊急注意を喚起した。
このところ大量の顧客情報が流出したというニュースが後を絶たない。サザンオールスターズや俳優の福山雅治さんなどが所属するアミューズの通信販売サイトから延べ約14万9千人分もの個人情報が09年7月に流出した。うち3万4千件はクレジットカード情報が含まれているという。同社は「中国から不正アクセスがあったことが関係しているのではないか」と説明した。
アリコジャパンも09年7月に大量の顧客情報が流出した。最大13万件のクレジットカード情報が流出し、この情報を使ったクレジットカードの不正利用された可能性が、09年8月13日までに4228件にのぼる。流出した原因はまだわかっていないが、同社の太田健自専務執行役は09年8月19日に記者会見し、
「外部からのアクセスも含めて、あらゆる可能性を徹底して調べていきたい」
と述べた。いずれも「SQLインジェクション攻撃」が関係している可能性があると見られている。
150~300米ドルで売られサポートも充実、との情報も
サイバー攻撃で引き出された情報は、「地下」で売買される。サイバー攻撃に使われる「ツール」も売買されていて、その気になればネットを通じ入手が可能だというのだ。「SQLインジェクション攻撃」が増えたのも、攻撃用ツールが大量に出回っているためではないか、とIPAは睨んでいる。ネットでサイバー攻撃用と思われる「TOOL」を検索すると、おびただしい数の販売サイトが現れる。ただし、現在は削除されているものが殆どだ。過去に海外のメディアが報じた記事を見ると、サイバー攻撃用の「TOOL」は、ロシアなどでは150~300米ドルで売られ、使い方などの「サポート」も充実しているといい、攻撃がどこから仕掛けられているのか掴むのは困難だ。
