新たな脅威を引き起こしたComodo Hacker
データベースにまつわるクラッキングで最も今年印象に残った事件は? との質問に新井氏は「Comodo Hacker(コモドハッカー)」の名前を真っ先に挙げる。日本では震災の直後に最初の侵入事件が起こったので、メディアなどで取り上げられる機会は少なかったが、米ニュージャージーに本拠を置くSSL認証局Comodo Groupが3月15日にSQLインジェクション攻撃を受け、9通もの不正なSSL証明書を発行してしまったという事件である。証明書を発行されたドメインの中にはGoogle、Yahoo、Skypeなど超巨大サイトが含まれており、全世界のセキュリティ関係者を震撼させた。事件を受けて、MicrosoftやFirefoxがこれらの証明書をブロックするセキュリティアップデートを行ったことを覚えている方もいるだろう。
サイバーセキュリティ研究所 主席研究員
サイトの安全性を証明する存在である認証局がクラッキングに遭うということ自体、本来ならあってはならないのだが、この問題がより深刻なのは「あるアカウントのログイン情報を踏み台にして侵入し、イントラ内部まで入り込んでクラッキングを行った点にある」と新井氏は指摘する。
これまでSQLインジェクションの被害といえば、Webサーバのトップページが書き換えられ、利用者をウイルスに感染するページに誘導させるものや、データベースに含まれる個人情報などを収集するものがほとんどだった。それが、ログインアカウントをひとつ入手すれば、外部のサーバを踏み台にしてファイアウォールの内側にまで侵入し、破壊行為を行えるということが示されたのである。その後、犯人(と思われる人物)は大胆にもみずから名乗り出て、その手口の詳細を公表するという手段に出る。メッセージによれば「熱烈なイラン愛国者の21歳、米国とイスラエルのイランに対する暴挙に憤慨した」ことが犯行の理由とされている。
さらに、セキュリティのニュースを日々追いかけている方なら、この続きの事件についてもご存知だろう。9月、Comodo Hackerと同一人物と思われる攻撃者がオランダの認証局DigiNotarにも侵入、Comdoのときと同じく、GoolgeやSkype、Facebook、Twitterなどを含むさまざまな組織に対して不正なSSL証明書を発行したと宣言した。DigiNotar以外の認証局にもアクセスしたとも発表されており、その中には日本でも事業を行うGlobalSign(GMOグローバルサイン)も含まれていた。同社はこの事件を受け、一時、証明書の発行を見合わせるという措置を取っている。
