TOKYOMXは10月4日、同社Webサイトへの不正アクセスを受け、視聴者情報37万人分が流出したと同社Web上で発表を行いました。
同社によると、流出した視聴者情報は、一部番組のコメント用フォームから投稿された氏名とメールアドレス約1270件、およびニックネームとメールアドレスのべ37万件との事。
不正アクセスが発覚したのは、10月3日。同社Webサーバへのアクセスの異常値が検知されたため、調査したところ外部からの不正アクセスが発覚。サーバの一部プログラムの脆弱性を悪用された事が原因とみられている。
同社は、不正アクセスの発覚後、原因となったコメントフォームを利用停止し情報流出拡大を防ぐ対策を講じたとのこと。なお、今回の不正アクセスでは住所、電話番号、クレジットカード情報は含まれていないとのこと。
不正アクセスの流れ
不正アクセスによる情報漏洩の被害は今となっては珍しいことではなく、身近なリスクとなってきました。
不正アクセスはどの様に行われ、何が行われるか、事前準備から情報窃取までの段階に至るまで段階別に応じて主な流れを紹介します。
1.事前調査
フットプリンティング
攻撃を行う前に攻撃対象の弱点を調べる情報収集を行う下見の事です。
ポートスキャン
不正アクセスを行う前に攻撃対象のポートに抜け穴がないかチェックする行為です。
2.不正アクセス(権限取得)
■パスワードクラックを用いた攻撃手法
辞書攻撃
人名・地名など辞書に載っているような言葉や誕生日などを組み合わせて解読を行う方法の事です。
推測されうるパスワードを全て総当たりで試してログインを行う攻撃のことです。
パスワードリスト攻撃
他のサービスで流出したアカウントを利用して不正アクセスを行う攻撃のことです。ID・パスワードを別サービスで使いまわして利用しているケースを悪用した攻撃のことです。
■脆弱性を悪用した攻撃手法
OSコマンドインジェクション
内部でOSコマンドを呼び出すWebアプリケーションの脆弱性を悪用し、外部から不正なOSコマンドを実行させる攻撃のことです。
SQLインジェクション
内部のデータベースと通信するWebアプリケーションの脆弱性を悪用し、外部からデータベースに不正なSQLコマンドを実行する。
クロスサイトリクエストフォージェリ(CSRF)
情報の書き込み、設定の変更、注文の確定等を行うWebアプリケーションへ直接リクエストを送信するような罠ページへユーザーを誘導する攻撃のことです。
クロスサイトスクリプティング(XSS)
動的に生成されるページの脆弱性を悪用し、任意のタグやスクリプト等を埋め込むよう仕向ける攻撃です。
3.不正を実行
盗聴…通信を流れるデータを盗聴し情報を不正入手します。
改ざん…データの書き換えを行います。
なりすまし…本人になりすまして機密情報を入手する方法。
破壊…データやプログラムなどを削除・改ざんし、破壊を行うことです。
不正利用…遠隔操作
踏み台…迷惑メールやDDoS攻撃などの踏み台として利用します。
不正プログラム設置…ウイルス、スパイウェア、ボットを設置します。
4.後処理
バックドア…不正アクセスを行ったPCに対して後から再度侵入できるように裏口を設置することです。さいごに
今回の不正アクセスではプログラムの脆弱性を悪用した攻撃でした。
脆弱性を悪用した攻撃への対策はプログラムのバージョンを最新版にアップデートすることです。また、Webアプリケーションやプログラムの脆弱性が悪用される攻撃に対しては事前に脆弱性診断を行うことを推奨いたします。
Webサイト簡易診断サービスはこちら
セキュリティ脆弱性診断はこちら
