ページの先頭です


ページ内移動用のリンクです

  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.22
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review(IIR)Vol.22
2014年2月18日
RSS

目次

1.2 インシデントサマリ

ここでは、2013年10月から12月までの期間にIIJが取り扱ったインシデントと、その対応を示します。まず、この期間に取り扱ったインシデントの分布を図-1に示します(※1)

Anonymousなどの活動

この期間においても、Anonymousに代表されるHacktivistによる攻撃活動は継続しています。様々な事件や主張に応じて、多数の国の企業や政府関連サイトに対するDDoS攻撃や情報漏えい事件が発生しました。10月にはギリシャ、ポーランド及びウクライナなどの国々や欧州安全保障協力機構(OSCE)において、Anonymousによる攻撃により大量の内部資料の漏えいが発生しています(OpGoldenDawn)。11月にはオーストラリアの情報機関によるインドネシア政府に対する諜報活動への抗議として、インドネシアのAnonymousによるオーストラリアのWebサイトへのDDoS攻撃が活発に行われました。また日本の複数の政府機関のWebサイトをターゲットにしたAnonymousによる攻撃予告が行われましたが、12月になって日本のWebサイトから一部の設定情報などの情報漏えいが確認されたものの、特に組織だった攻撃活動は見られませんでした(OpKillingBay)。他にも主に南米や欧州など世界中の各国政府とその関連サイトに対して、AnonymousなどのHacktivistによる攻撃が継続して行われました。またSyrian Electronic Armyを名乗る何者かによるドメインハイジャックやWebサイト改ざん、SNSアカウントの乗っ取り攻撃も継続して発生しています。

脆弱性とその対応

この期間中では、Microsoft社のWindows(※2) (※3) (※4) (※5) (※6)、Internet Explorer(※7) (※8) (※9)、Office(※10)などで修正が行われました。Adobe社のAdobe FlashPlayer、Adobe Reader及びAcrobat、Shockwave Playerなどでも修正が行われ ました。Oracle社のJavaでも四半期ごとに行われている定例の更新が行われ、多くの脆弱性が修正されています。ジャストシステム社の一太郎では、任意のプログラムが実行可能な脆弱性が見つかり、修正されました。これらの脆弱性のいくつかは修正が行われる前に悪用が確認されています(※11)

サーバアプリケーションでは、データベースサーバとして利用されているOracleを含むOracle社の複数の製品で四半期ごとに行われてる更新が提供され、多くの脆弱性が修正されました。また、DNSサーバのBIND9 Windows版では、namedのlocalnetsアクセスコントロールリストが誤って設定されてしまう脆弱性が修正されています。

Webアプリケーションフレームワークとして人気の高いRuby on Railsでは、XSS可能な脆弱性を含む複数の脆弱性が見つかり、修正されています(※12)。WebアプリケーションフレームワークのApache Strutsでも、特定のパラメータを介したアクセスによってアクセス制御を回避される脆弱性(※13)など複数の脆弱性が見つかり修正されました。CMSとして利用されるJoomla!についても任意のファイルをアップロードすることができる脆弱性が修正されています(※14)

TLDへの攻撃

ccTLDを含むドメインレジストリに対しての攻撃とそれによるドメインハイジャックや情報の漏えいも継続して複数発生しています。10月には、マレーシアのドメインである.myを管理しているccTLDレジストリであるMYNICが何者かによる不正アクセスを受け、MicrosoftやDellといった有名なドメインを含む複数のドメインがハイジャックされる事件が発生しました。コスタリカのドメインである.crでも複数の有名なドメインがハイジャックされる事件が発生しています。カタールのドメインである.qaを管理しているccTLDレジストリであるdomains.qaでも不正アクセスにより、GoogleやFacebookなど複数の著名なサイトがドメインハイジャックされる事件が発生しています。アフリカのルワンダのドメインである.rwでも何者かによる不正アクセスを受け、TwitterやGoogle、Facebookなどの有名なドメインを含む複数のドメインがハイジャックされる事件が発生しています。また、10月にはホスティング事業者や複数のアンチウイルスベンダ、セキュリティベンダ、SNS事業者など多くの企業のサイトが、何者かにドメインハイジャックされる事件が連続して発生しました。これらの事件では複数のレジストラが集中して狙われていました。

IDとパスワードを狙った攻撃となりすましによる不正ログイン

この期間でも、2013年3月頃から多数発生しているユーザのIDとパスワードを狙った試みと、取得したIDとパスワードのリストを使用したと考えられるなりすましによる不正ログインの試みが継続して発生しています。携帯向けSNSなどの会員向けサービスサイトやポイントサービス、通信販売サイト、カード会員向けのサービスサイトなど多くのWebサイトに対し、IDとパスワードの組み合わせリストを利用したと考えられる、不正なログインの試みが行われる事件が多く発生しています。

また、10月にはAdobe社で不正アクセスが発生し、同社の顧客情報や一部の製品のソースコードが流出する事件が発生しています。この事件では当初290万人分とされた個人情報の流出がその後の調査で少なくとも3800万人分であることが判明するなど大規模な情報流出事件となりました。更に漏えいした会員情報が何者かにインターネットで公開されたことで、Facebookや複数の企業ではリストにあったユーザアカウントを一時的に停止してパスワードの変更を促すなどの対応が行われました(※15)。このように、IDとパスワードの組み合わせリストを利用したと考えられる不正アクセスは継続しており、引き続き注意が必要です。

政府機関の取り組み

ビッグデータを使った取り組みや新しいサービスが話題となっていますが、それと同時に消費者の購買履歴や電子マネーの利用履歴などの個人に関する情報(パーソナルデータ)を含んだビッグデータの利活用とプライバシーの保護については様々な問題が指摘されたり議論されてきました。政府としても、平成25年6月に閣議決定された、「世界最先端IT国家創造宣言(※16)」において、より積極的なIT・データの利活用の推進を宣言しており、2013年9月から、パーソナルデータに関する利活用ルールの明確化等に関する調査及び検討を行うため、高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)のパーソナルデータに関する検討会(※17)及びその技術検討ワーキンググループを開催して検討を行っていました。

12月に、保護されるパーソナルデータの範囲を明確化し、個人が特定される可能性を低減した加工データについては、第三者提供にあたり本人同意を要しない類型とし、取り扱う事業者が負うべき義務等を法的に措置するなどのパーソナルデータの利活用に関する「パーソナルデータの利活用に関する制度見直し方針案」がまとめられました。この中では、独立した第三者機関を設置するなどパーソナルデータの保護に向けた体制の整備も併せて提言されています。これを受けて12月20日に開催された、IT総合戦略本部第63回会合で同方針案が決定しました。今後、課題の検討や整理を行いながら個人情報保護法の改正を含んだ法整備が行われていくことになります。

11月から、総務省の「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」が開催されています。これは、現在行われている電気通信事業者によるガイドライン(※18)による対応について、巧妙化・複雑化するサイバー攻撃に対し、電気通信事業者が通信の秘密等に配慮しつつ、新たな対策や取り組みを講じていくことが可能となるように、必要に応じて適正な対処の在り方について検討を行うことを目的としています。

NSA関連

米国家安全保障局(NSA)及びその協力機関の諜報活動に関して、6月より欧米のメディア各社による報道が継続して行われていますが、この期間においても新たな情報が次々と明るみに出ました。特に欧州各国における電話盗聴、世界各国の首脳の電話盗聴、米国大使館における通信傍受などの報道については、その対象となった関係各国において、米国や英国によるこれらの活動に対する非難が起こっており、外交などへの影響が懸念されています。

これに対し、10月にはインターネット関連10団体が共同で「今後のインターネット協力体制に関するモンテビデオ声明」を発表しており、全世界の利用者の、インターネットに対する信頼と信任が損なわれる結果となっていることに強い懸念を表明しています。12月には国連総会でも個人のプライバシーについてデジタル通信も含めた保護を各国に求める"The right to privacy in the digital age"が全会一致で採択されています。またYahoo!やGoogleなどのデータセンター間の通信を、NSAが盗聴しているとの報道に関して、これらの事業者は対応を迫られました。これまで平文で行われていた通信の暗号化やPerfect Forward Secrecy(PFS)への対応など、通信の盗聴への対策を推進する動きが事業者において活発に行われました。PFSの詳細については「1.4.2 Forward Secrecy」も併せてご参照ください。

12月にはこれらの対象として名前の挙がった大手IT企業の7社が、政府による情報収集活動に対する法律による制限や通信の制限に対する規制を撤廃することなどを求めていく活動を開始しています。さらに、この問題を受けて情報機関による通信情報の収集活動について調査を行っていた米国大統領の諮問委員会では情報収集活動にいき過ぎがあったとして、安全保障上必要な機能を維持しつつ改革を行うよう提言が行われました。

クラウドサービスの利用とリスク

近年、オンラインストレージやオンライングループウェアなどクラウド環境を利用した機能やサービスが増えてきています。これらの機能は、様々な場所やデバイスから必要な時に利用できる利便性の良さからその利用が拡がってきています。一方で、これらの機能を業務で利用する場合には注意が必要な場合もあります。例えば、2013年7月には民間企業が提供していたグループメールサービスの利用に伴い、サービスの設定を、誤って公開状態としたことから、公開を前提としていない情報や機密情報の漏えい事案が複数の省庁で発生しています(※19)

この期間では、日本語IME(Input Method Editor)のクラウド機能について話題となりました。IMEは日本語などのマルチバイト文字を扱う環境において必要な機能です。最近では、このIMEに常時インターネット接続を必要とする、クラウド関連の機能が実装されることが多くなってきています。これらのクラウド機能では、ユーザの入力内容に基づいて、変換候補を提示したり、ユーザ辞書を複数の端末で共有するなどの機能を提供しています。このうち、一部の日本語IMEで設定の状態に関わらず、ユーザの入力内容の一部を送信していた事例が見つかりました。この事例では不具合によって送信されていましたが、問題となった複数のIMEは、パソコンや携帯端末にプリインストールされていたり、他のソフトウェアにバンドルされてインストールされる場合もあり、状況によってはユーザが意図せずに利用している可能性がありました。このため、不具合が修正されると共に初期設定でクラウド機能を使わないような修正が行われています。

これらの機能は非常に便利なものですが、一方でその入力内容や登録内容が外部に送信されていることにもなり、状況によっては情報漏えい事件などに繋がる可能性があります。このため、特に企業など組織での利用については注意する必要があります(※20)

Bitcoin

仮想通貨であるBitcoin(※21)についても、その取引が拡がるにつれて、様々な事件が発生しています。この期間では、Bitcoinによる取引を行っていたアンダーグランドサイトであるSilk Roadに対し、FBIによるテイクダウンが行われ、サイト所有者が麻薬取締法違反容疑で逮捕されています。Silk Roadでは違法薬物だけでなく、他にも違法な取り引きの場となっていたとされており、テイクダウンの際には約3万XBT(Bitcoinの取引単位)が押収されています。また、仮想通貨交換所や口座管理サービスに対する攻撃も相次いでおり、これらのサイトへのDDoS攻撃や、不正侵入によりBitcoinそのものが盗まれたり、サイトのアカウント情報が盗まれる事件が多く発生しています。また、フリーソフトにBitcoinのマイニングを行う機能が見つかったり、マイニングを行うマルウェアが流行するなどしています(※22)。Bitcoinによる取引は拡大しており、その影響が無視できないほどの規模となっています。中国では中国人民銀行が取引について警告を実施しました(※23)。これを受け、BTC Chinaでは一時通貨による取引を停止しています(※24)。インドでも同様に金融当局による警告が行われ(※25)、インドのいくつかの取引所が停止しました。

その他

2011年9月に発覚した、防衛関連企業に対する標的型攻撃によるマルウェア感染事件について、偽計業務妨害容疑で捜査が行われていましたが、送信元の特定には至らず容疑者不詳のまま12月に時効となりました。標的型攻撃では、自らの活動の記録などの痕跡を消すなどして発見をされないように活動することから、攻撃を受けた場合には、その攻撃に気がつかないだけでなく、発覚後の調査でも被害の状況や行為者を特定することが困難な場合が多くあります。このため、境界での通信の制御や情報システムの設計や運用による内部対策、記録の適切な保存などの対策が重要となります(※26)

米国立標準技術研究所(NIST)が策定した暗号アルゴリズム(Dual_EC_DRBG)の一部に、米国家安全保障局(NSA)によるバックドアが含まれるため、解読される可能性があるとの報道があり、NISTでは該当の暗号を利用しないように勧告を行っていました(※27)。12月に、この暗号アルゴリズムを採用する米国EMC社のRSA製品について、この暗号を優先的に取扱うことで報酬を受け取っていたとの報道が行われましたが、EMC社は否定しています(※28)

12月にはシマンテック社がブログで大規模なNTPによるDDoS攻撃を報告しています。この攻撃ではNTPのmonlist機能が悪用されており、2014年1月になってDDoS攻撃などに悪用される可能性があるとして脆弱性への注意喚起が行われています(※29)。2013年12月末から本稿執筆時点にかけても、何者かによるゲーム関連サイトなどに対する、この機能を悪用したと考えられるDDoS攻撃が複数発生し、その攻撃規模が100Gbpsを超えたと報道されています。これらを受けて対象ネットワーク上に応答を返すNTPサーバが存在しないかどうかをチェックできるOpenNTPProject.org(※30)が開始されるなど対策に向けた活動が進められています。

10月のインシデント

10月のインシデント

クリックして拡大:PDFPDF

11月のインシデント

11月のインシデント

クリックして拡大:PDFPDF

12月のインシデント

12のインシデント

クリックして拡大:PDFPDF

1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る