体験で知るサイバーセキュリティー

恐怖!掲示板へのアクセスでパソコン乗っ取り(前編) クロスサイトスクリプティングなどを組み合わせた巧妙な手口を体験

記事保存

日経BizGate会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。

 この連載では、マルウエア(悪意のあるプログラム)、情報漏洩、不正アクセスなどセキュリティー侵害の恐ろしさを実際の体験を通じてリアルに説明している。情報セキュリティーの専門企業ラックによる監修・支援のもと、実験システムを作り、実際に体験させていただいた。今回は「社外の会員制掲示板サイトなどを使った社内パソコンの乗っ取り」についてリポートする。

◇ ◇ ◇

 前回はメールのリンクや添付ファイルをクリックすると、マルウエアが実行され、パソコンからオンラインバンクなどの情報が漏洩する手口を体験した。今回は、社外の掲示板サイトなどにアクセスするだけでパソコンが乗っ取られるという巧妙な手口を紹介する。有名な会員制の掲示板サイトなどであってもこのサイバー攻撃が行われる可能性がある点が厄介だ。

 体験するシステムを用意して説明をしていただいたのは、ラックのチーフペネトレーションテスターである北原憲氏(サイバーセキュリティ事業部 セキュリティ診断部 ペンテスト技術グループ)である。

 今回の実験的な攻撃で想定している状況は少し複雑なので、下の図にまとめた。

 大きく分けて会員制掲示板サイト、およびその掲示板サイトへアクセスする「ジョン(john)」と、犠牲者である「ビクティム(victim)」という2人のユーザーのパソコン、それに攻撃者「アタッカー(attacker)」のウエブサイトとそのパソコンがある。

 会員制掲示板サイトには「クロスサイトスクリプティング(以下、XSS)」というセキュリティー上の脆弱性(プログラムの欠陥)をあえて残してある。また、ビクティムのパソコンで動作するアドビフラッシュプレイヤー(Adobe Flash Player)というプログラムには、ダウンロードしたフラッシュコンテンツによっては不正なプログラムを勝手に実行する脆弱性をあえて残している。

 これらを悪用することで攻撃者は、ビクティムのパソコンへ不正なプログラムを送り込み、ビクティムのパソコンを攻撃者が遠隔操作できるようにする。さらに、攻撃者はビクティムのパソコンへのログインに利用するユーザー名とパスワードを取得。そのパソコンは社内の他のパソコンへのさらなる不正アクセスの「踏み台」となり、攻撃者は社内の機密情報を不正に取得して、社外へ送ることができるようになるという手口だ。

 なお、今回も体験には特別に用意したパソコンなどを使っており、インターネット上に実在する掲示板サイトなどは利用していないことをお断りしておく。また、記事ではXSSについて触れるが、掲示板サイトなどにXSS対策が施されているかどうかを安易に試してはならない。他社サイトはもちろん自社サイトでも、ウエブの管理者ではない一般社員がたとえセキュリティーチェックのために行うことだとしても、XSSを悪用しようとする攻撃者だとみなされるおそれがあるためだ。これは以下の実験全体も同様である。

閲覧履歴

    クリッピングした記事

    会員登録後、気になる記事をクリッピングできます。