ロシアのセキュリティ企業Kaspersky Labは、世界各国の企業や政府機関などから盗まれたサーバ情報が闇市場で大量に売りに出されていたことが分かったと伝えた。

同社のブログによると、サーバ情報は「xDedic」と呼ばれる闇市場でさまざまな集団が売りに出していた。内容は政府機関や企業などのWebサーバやデータベースなど多岐にわたり、所在地情報、OSやCPUなどの仕様、管理者特権の有無といった情報が記載されていて、値段は平均7〜8ドル前後だった。

サーバ情報は173カ国でハッキングされたもので、xDedicに掲載されていた件数は2016年3月の時点で約5万5000件、同年5月には7万件を超えていたという。

こうした情報を取得すれば「サーバに関する全情報を入手して、さらなる攻撃を仕掛けることができる」とKasperskyは述べ、サイバー犯罪やAPT攻撃などに使われる可能性があると指摘した。

その後、大手ISPの協力でxDedicのWebサイトは閉鎖された。ところがその翌日、Kaspersky Labのブログのコメント欄に「AngryBirds」を名乗る人物が、「xDedicからのハッキングされたサーバIP」と称してPastebinへのリンクを投稿したという。リンク先には大量のIPアドレスなどの情報が記載されていた。

KasperskyがPastebinの情報を調べた結果、掲載されていたIPアドレスは2014年10月〜2016年2月にかけての約17万6000件に上ることが判明。xDedicで売り出されていたサーバ情報との相関関係もほぼ確認されたという。

ハッキングされたサーバ情報を国別にみると、Pastebinに掲載されていたIPアドレスは米国のものが6万件以上と全体の34％を占め、次いで英国、ブラジル、カナダなどが多かった。

一方、xDedicで売り出されていた情報はブラジルを筆頭に、中国、ロシア、インドなどが多数を占めた。これについてKasperskyは「市場のデータは売れ残った情報のみに関連していたのに対し、Pastebinのデータの方がハッキングされた全サーバに関する現実的な様相を反映している可能性がある」と解説する。

ハッキングされた組織や企業が被害に気付いていない可能性もあり、「情報が掲載されたIPアドレスのシステム管理者は、自社のサーバが過去に不正侵入された可能性について入念にチェックする必要がある」とKasperskyは指摘している。

Copyright © ITmedia, Inc. All Rights Reserved.