文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    摘発されたプロキシサーバーのしくみは?

     中国からの不正アクセスに使われた「プロキシサーバー」を運営していた国内業者が摘発された。流出したIDとパスワードを使い、ネットバンキングの不正送金の足場として使われた可能性が高い。(ITジャーナリスト・三上洋)

    中国から日本アクセス向けの「プロキシサーバー」運営会社摘発

    • 不正アクセス禁止法違反容疑で摘発された大光のウェブサイト。中国人向けの観光ツアーなどのほか、インターネットデータセンターを運営していた
      不正アクセス禁止法違反容疑で摘発された大光のウェブサイト。中国人向けの観光ツアーなどのほか、インターネットデータセンターを運営していた

     ネットバンキング不正送金など、サイバー犯罪に使われていたプロキシサーバー運営業者が一斉摘発された。11月19日、警視庁など19道府県警の合同捜査本部が、各地のプロキシサーバーの運営業者8社を捜索。このうち警視庁は「大光」(東京都台東区)、「SUNテクノ」(豊島区)の2社の関係先を捜索し、大光の社長など6人を不正アクセス禁止法違反容疑で逮捕した。いずれも容疑を否認している(参考記事:無線ルーターからID流出…中国向けサーバー:ヨミウリ・オンライン=YOL)

     プロキシサーバーとは、インターネットで使われる中継サーバーのこと。プロキシ自体はインターネットで一般的に使われているもので、安全性のために会社から社外へのアクセスや、スピードアップ、遮断されているネットワークでのアクセスなどに利用されている。

     ところがプロキシサーバーを通すことで「接続元IPアドレスを隠す(=身元を隠す)」「本来はアクセス出来ないエリアからアクセスさせる」といったことも可能になる。そのため、サイバー犯罪では古くからプロキシサーバーが利用されてきた。

     たとえば不正ダウンロードの際にプロキシサーバーを挟むことで身元を隠す、不正アクセスの犯人がプロキシサーバー経由でサイバー攻撃する、といった悪用が行われている。プロキシサーバーを「串」と呼び、不正にコピーされたファイルを「串を入れて落とす」、身元を隠す「匿名串」などの表現もある。

     今回警視庁の捜索を受けた2社は、中国のユーザー向けに、日本国内にアクセスできるとしてプロキシサーバーを有料で提供していたようだ。豊島区の雑居ビルにある事務所にサーバーを置き、中国の代理店経由で「日本のIPアドレスを利用できる」として販売していた。最初から不正利用目的のプロキシサーバーだった可能性が高い。

     報道によれば、このプロキシサーバーはネットバンキングの不正送金に利用されており、摘発された都内の2社だけで、今年上半期で約300件、約4億5000万円の被害があったとのこと。日本国内の上半期の被害額は約18億5200万円だから、おおむね4分の1がこの2社のプロキシサーバーを利用していたことになる。史上最悪の被害となっているネットバンキング不正送金は、この2社を通したものが大きかったことがわかる。

     以前の記事「ネット銀行の不正送金被害、検挙の6割は中国人」で取り上げたように、中国人が関与する犯罪グループによる可能性が高い。

    ロジテック製のルーター脆弱性からID・パスワードを入手

    • 脆弱性のあるロジテック社の無線LANルーター(ロジテック社の注意喚起による)
      脆弱性のあるロジテック社の無線LANルーター(ロジテック社の注意喚起による)

     このプロキシサーバー運営会社2社は、さらに悪質な手口を使っている。一般ユーザーのプロバイダーID・パスワード、約1500件を入手して利用していたのだ。一般ユーザーのアカウントがなぜ漏れてしまったのだろうか。それは家庭で使われているプロバイダ接続のルーターに脆弱(ぜいじゃく)性があったからだ。

     周辺機器大手のロジテックの無線LANルーター(詳しくは後述)に脆弱性があり、このルーターを利用しているユーザーのID・パスワードが、外部からの攻撃で漏れる可能性があった。報道によれば、悪用されたアカウントの多くの人が、ロジテックの該当するルーターを利用していたとのことだ。

     ロジテックの製品を販売しているエレコムの広報によれば「ロジテックのルーター3機種の脆弱性については、2012年5月にお詫びとファームウェアのアップデートを配布している。該当機種をお持ちの方は、アップデートを行ってほしい」として注意を呼びかけている。該当するのは以下の3機種だ(「ロジテック製300Mbps無線LANブロードバンドルータ(LAN-W300N/R、LAN-W300N/RS、LAN-W300N/RU2)に関するお()びとお願い」)。

    ▲LAN-W300N/R

    ▲LAN-W300N/RS

    ▲LAN-W300N/RU2

     ここからは筆者の推測になるが、一般ユーザーのルーターが足場として中継に使われたのではなく、漏れたIDとパスワードを、摘発された業者が勝手に利用していたものだと思われる。摘発された業者が、自社でフレッツ光などの設備を持ち、そこに流出したID・パスワードを入れて使った可能性が高い。

     つまりプロバイダーのアカウントを乗っ取るような形で悪用していたと思われる。

     単純にプロキシサーバーとして有料レンタルするのではなく、中国からのアクセスによって、日本国内のプロバイダーのID・パスワードを利用できるシステムを提供していたのではないか。もしこの推測が合っているなら、最初から流出ID・パスワードを悪用する不正なシステムを作っていたことになる。

     中国からのアクセスやプロキシサーバーであれば銀行側がブロックすればいい。しかし国内のプロバイダーのアカウントを乗っ取っている場合、銀行側ではブロックしにくい。また捜査でIPアドレスをたどっても、国内の一般ユーザーのIPアドレスが見えるだけなので、身元を隠匿できることになる。推測通りなら、かなり巧妙なサイバー攻撃専用のシステムと言えるだろう。

    ルーター脆弱性は手動で直す必要あり

     このようにネットバンキング不正送金事件は、中国から日本にアクセスさせる会社があったこと、及びルーターの脆弱性を突き一般ユーザーのID・パスワードの漏えい・悪用が行われたことから拡大している。摘発によって不正送金が収まることを願いたいが、他にもプロキシサーバー業者がいると思われるほか、海外からのプロキシサーバー利用も考えられるので、今後もいたちごっこが続く可能性が高い。

     私たちユーザーとしては、以下の3点を守ってほしい。

    利用しているルーターに脆弱性がないか確認する

     自分が利用している無線LANルーター、接続用ルーターなどの機種名を検索する。脆弱性がある場合は、メーカーによる注意喚起のページが表示されるはずだ。もし脆弱性がある場合は、急いで内部のソフトウェア(ファームウェア)をバージョンアップすること。自動ではできず、マニュアルに従っての手動操作が必要になる。

    ウイルス対策ソフトを必ず入れて更新すること

     WindowsだけでなくMacでも、必ずウイルス対策ソフトを導入する。現在のネットバンキング不正送金は、ウイルスによる被害が大半を占めている。ウイルスに感染しないことがもっとも重要で、そのためにはウイルス対策ソフトが欠かせない。

    偽サイト=フィッシングサイトにも注意する

     銀行の偽サイト=フィッシングサイトで、不正送金をもくろむスパムメールが出回っている。本物そっくりに銀行サイトに誘導され、ID・パスワードを盗み取るものだ。メールやメッセージのURLから銀行にアクセスするのはNGだと覚えておこう(詳しくは以前の記事「緊急! 三菱東京UFJの偽サイトに要注意」を参照)。

     個人だけでなく、中小企業の被害も増えている。大手都市銀行だけでなく、信用金庫・信用組合も狙われているので警戒が必要だ。

    2014年11月21日 18時03分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP