サウンドハウス　中国的電脳攻撃被害2008-04-10

先日、サウンドハウスがサイバー攻撃を受けて、個人情報が流出したというニュースが流れました。前後して、僕のところにも「個人情報が流出しまいした」とメールが来ました。

サウンドハウスとは、音楽をやる人なら多分知らない人はいなと思いますが、楽器・レコーディング機材の最大手（最古参？）ネットショップです。

僕も10年くらい前から利用していて、昨年末にも久しぶりに買い物をしたばかりでした。もっとも、僕の個人情報は漏れていないそうですし、偶然にも僕はそのとき使ったクレジットカードを今年に入って退会したのでした。

中国人的SQL注射増多

さて、今回の不正アクセスの発信元は中国のIPアドレスで、仕組んだウイルスの名前が”fuckjap”って・・・出来すぎててギャグみたいですね。

攻撃手法はSQLインジェクションという、まあ定番というか割と古典的な手法なんですが、ここ数年でこの手の攻撃が急増しているらしいのです。⇒ITproNews

手口は巧妙化しており、ウイルス検知システムを掻い潜るために姿を変えたりしているようです。今回のサウンドハウスのケースでは、SQL注射でWebページにfuckjap.jsを送り込む⇒そこにアクセスしたユーザーのPCに（脆弱性があれば）ウイルスを送り込み⇒別のサーバ経由で攻撃するらしいです。

音家的脆弱性？

でもですよ、SQLインジェクションというのは、外部からの送られたSQLクエリに対してエスケープするなり特定形式に変換することで基本的に回避できるものなんじゃないでしょうか？そういう単純な話じゃないのかな？

これだけ中国クラッカーの攻撃が増えていても、 問題ないサイトは問題ない訳ですから、「ログインパスワードを平文で保存していた」ということからも覗えるように、サウンドハウスのセキュリティーが甘かったのではないか？とおもったりもします。

ただ、こういうクラッキングが成功して被害が出たときだけ報道されるので、一般の人にとっては「ほら、ネットって危ないよね」って話になりがちなんですが、そうした攻撃を跳ね返した事例も紹介したらどうなんでしょう？そうすると手の内を明かすことになるのかな？

いずれにしろ、価格.comもそうであったように、過去の教訓を生かして堅牢なシステム構築しているサイトは多いはず。逆に言うと、その道のプロのくせに何度も問題起こしてるトレンドマイクロってどうなのよって気はしますが（＾＾；

個人的防衛方法

ではユーザー個人として出来る対策は何なのか？ クレジットカードは使わない？そりゃちょっと不便ですね。そのほかの手段といったら、銀行振込みか代引きくらいですか。

あとは、自分のPCを常に最新の状態にしていることが大切ですね。 上の記事にもあるように、脆弱性を突かれるのは何もOSに限った事ではなく、RealPlayerやYahoo! Messengerなんかもありうるそうですから。そういう話ならブラウザだってそうだし、iTuneだってWindowsMessengerだって、通知があったらすぐにアップデートしとけよって事ですね。