八戸市のIT企業がウェブ改ざん、中国ハッカー同士の報復利用か（Far East Research）

青森県八戸市に所在する有限会社のWebサイトが改ざん攻撃された（2月22日時点で復旧）。筆者が攻撃事実を把握したのは2月18日20時過ぎ。同社はWebホスティングやCMSベースのWeb制作等をおもな業務としているため、データベースサーバーからの情報漏洩などの被害が懸念される。

一風変わっているのは改ざんページの内容だ。同社に対し直接攻撃したのは、改ざん署名にも残されているとおり「FireKylin（QQ:513709055）」と思われる。同人はこれまでも「東哥」と名乗り、おもに中国国内の数々のWebサイトを「友情検査」を理由に改ざんしている。

---
ハンドル名：東哥（または FireKylin）
QQ:513709055
性別：男
生年月日：1993年11月5日
居住地：内モンゴル自治区包頭市青山区
職業：学生（内蒙古工業大学）
---
19日時点で、同Webサイトは同人によって2度改ざんされている。まず2月18日夜には、簡体字中国語で以下のようなメッセージを残している。

---
東哥が来たぜ　ここは鬼子のサイトか？（註：日本に対する蔑称「日本鬼子」の略）
今日はまったく最悪だった！！！！！
ver007の資料（註：リンク）俺の実力は半端じゃねえ。おまえをハッキングするなんてちょろいもんだ。
by：FireKylin QQ:513709055
---

そして上記の「ver007の資料」のリンクをクリックすると「目標：VER007」と題された、広東に在住する中国人青年の個人情報が、写真入りで詳細に掲載されている。改ざんメッセージは「おまえをハッキングするなんてちょろいもんだ」（黒你絶非偶然）と「ハッキングする」の主語は略されているものの述語は2人称。

これが同IT企業を指しているのか、あるいはその直前に書かれた「ver007」に対するメッセージなのかは判然としない。ただ冒頭に「ここは鬼子のサイトか？」と記されているため、FireKylin（東哥）は同社を、あるいは日本のWebサイトを意図して狙ったわけではなさそうだ。

筆者は下記の通り推測する。FireKylinは、ver007になんらかの怨恨があった。そこでFireKylinは何とかver007の個人情報を入手したものの、そのまま百度など中国の大手掲示板に貼り付けるようなことはしなかった。その場合、すぐに管理企業に通報され、自らのアカウントごと削除されるのは目に見えているからだ。

かわりに彼がやったのは、脆弱性スキャナーを起動し、手頃な「侵入可能」なWebサイトを見つけ出し、そこにver007へのメッセージを、当人の個人情報もろとも貼り付けることだった。そうすれば改ざんWebサイトとして Zone-h等にも保存されるかもしれず、また、自分の「実力のほど」をver007に見せつける効果もある。

改ざんされた八戸市の有限会社にしてみれば何ともはた迷惑な話だが、個人情報掲示先や個人への報復メッセージ掲載など、この種のWeb改ざん攻撃は以前から中国で頻発しており、被害は海外を問わず及んでいる現状がある。被害サイトはたまたま選ばれており、要する技術も攻撃ツール操作レベルだ。今回の攻撃は、昨今喧伝される「標的型攻撃か」と、神経質になる必要はない。

しかし一方で、特に自社製CMS等を用いてWeb制作サービスを提供している企業は、くれぐれも基本的なセキュリティ対策を怠らないでいただきたいと思う。

※重要な注意
本記事及びリンク先に含まれるURL、メールアドレス、電話番号その他にアクセスした場合、あなた自身が危険にさらされたり、犯罪に荷担したとみなされたりする可能性があります。十分にご注意ください
（Vladimir）

筆者略歴：infovlad.net 主宰。中国・北朝鮮・ロシアのセキュリティ及びインテリジェンス動向に詳しい