情報システム

インドネシアでよくある不正アクセス【利益誘導目的や怨恨から来る犯罪】

バックドアとは?

毎週日曜夜に絶賛放送中の「半沢直樹」の第三話で、半沢が非正規ルート(おそらく白水銀行で働く大学の同期である油山から)から入手した、フォックス社の経営状況報告書と、それに基づいて作成された買収計画書を保存してある、セントラル証券のクラウド上の通称「隠し部屋」に、スパイラル社の天才プログラマーである高坂が、金融庁の黒崎検査官よりも先に侵入し該当ファイルの削除を試みるシーンで、胸熱のセリフをさく裂させました。

  • これからセントラル証券のクラウドにバックドア仕込むよ!

システムにバックドア(裏口)を仕込む動機は、所有者に気づかれないように不正アクセスを続けたり、サイトへの訪問者を特定のサイトへ不正リダイレクトで誘導するフィッシング詐欺であったり、サイトから不特定多数のメールアドレスにスパムメールを送り続けたりする愉快犯的目的というものが多く、先月当サイトのWordPressテーマを変更した最大の理由がバックドアを仕込まれたものの、それがどこにあるか特定できなかったからでした。

以前の中国製のテーマ(現在この製作会社は音信不通)のフッター領域に、当サイトにアクセスし、次の投稿や固定ページへのリンクを踏むと、ロシアの物販サイトにリダイレクトさせるJavascriptが埋め込まれており、スクリプトを削除してもwp-updatesという不審な管理者ユーザーを自動生成し、再度埋め込まれるの繰り返しとなるのですが、試しに別の無料テーマを適用してみると、この現象は発生しないことが判りました。

WEBサイトがウィルス(マルウェア)に感染したときの対処【無関係なサイトを別タブで開くjavascriptを埋め込まれた】

 

つまり当サイトが受けた被害は以下のように要約されます。

  • フィッシング詐欺を目的とした何者かから、テーマのどこかに不審な管理者ユーザーを生成するバックドアを仕込まれ、そのアカウントを通じてテーマのフッター領域にリダイレクトのJavascriptを埋め込まれるようになった。

不正リダイレクトをさせるJavascriptが埋め込まれた場所は判明したものの、肝心のバックドアがどこに仕込まれているのかどうしても分からず、自分がフィッシング詐欺の加害者になる前に、テーマ自体を変更しました。

新しい情報と断片的な記憶を紐づける作業【時代の変化の中でWEBサイトのリニューアルは不可避】

 

半沢第三話では、プログラマーの高坂がサーバーにバックドアを仕込む前に、黒崎検査官のPCをハックした目的(PCからサーバーのファイルを削除するわけでもなくPC画面をフリーズさせるわけでもなく)と、該当ファイルを削除することだけが目的なのにバックドアを仕込む理由がよくわからないのと、パスワードの3回間違いでロックアウトされると言いながらパスワードクラッカーが使われるなどの不明点があるにせよ、スピード感あるストーリー重視の脚本はそれらを補って余りあるものがありました。

インドネシアでよくある不正アクセス

コロナ禍の影響で政府や民間企業、学校などでZOOMを利用した会議やウェビナー、オンライン学習の機会が増えましたが、6月に西スマトラの選挙管理委員会のZOOM会議中に画面がポルノ動画に切り替わって中断されたり、授業中に外部から侵入した何者かにコメント欄を荒らされたり、外出自粛のストレスを発散するかのような愉快犯による不正アクセスは頻繁に耳にします。

元々ZOOMは代表的なWEB会議アプリケーションだったWebEXの中国系技術者が中心となって設立された会社であり、6月にアメリカでのオンラインイベントが中国政府によって監視されているのではないかと疑われる事件が発生して以来、インドネシアの日系企業でも使用禁止にしているところが多く、弊社でもWEB会議は客先によってZOOMかMicrosoft TeamsかGoogle Meetを使い分けており、せっかくZOOMでのウェビナー開催を呼びかけても、会社でZOOMによるウェビナー参加は禁止されているという理由で、参加を見送られるケースもありました。

有料のCisco WebEXと無料のスカイプの違い

 

WEBサイトに仕込まれるバックドアの場合、目的の大半は利益誘導のためのフィッシング詐欺で、所有者に気づかれないように長く利用するほうが得なので、よほど誰かから恨みでも買わない限り、サーバー内のファイルを全削除されたりデータベースを破壊されたりすることはないはずですが、基幹システム用の社内サーバー導入後に、サーバーが不正アクセスされるケースのほぼ100%が元社員による怨恨によるものです。

一番多いのは退社した社員がWindowsサーバーやTeam Viewerの管理者用IDとパスワードを使って外部からリモートアクセスし、犯行が発覚しない程度にデータを削除する行為であり、事件が発覚すればすぐに疑惑の目が向けられるにもかかわらず、具体的な証拠がなく、管理者パスワードを変更しなかった管理上のミスという負い目もあり、責任の所在はうやむやにされることがほとんどです。

またメールサーバーに会社の営業用ダミーアカウントを作成され、会社が不利益を被るような偽の社内連絡メールを客先に送り付けられた結果、案件がキャンセルされたという話や、酷いケースでは納品した会計システムに仕込まれたテーブルデータ削除スクリプトが特定の日時に起動され、突然データ消えたと大騒ぎになったという事件も聞いたことがあり、イスラム教のような一神教は怨恨の念が非常に強く、ジハード(聖戦)という名の元の復讐が起こりやすいという宗教的背景があるのではないかと邪推してしまうほどです。

© 2020 バテラハイシステム Powered by STINGER