ページの先頭です


ページ内移動用のリンクです

  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.25
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review(IIR)Vol.25
2014年11月25日
RSS

目次

1.2 インシデントサマリ

ここでは、2014年7月から9月までの期間にIIJが取り扱ったインシデントと、その対応を示します。まず、この期間に取り扱ったインシデントの分布を図-1に示します(※1)

Anonymousなどの活動

この期間においても、Anonymousに代表されるHacktivistによる攻撃活動は継続しています。様々な事件や主張に応じて、多数の国の企業や政府関連サイトに対するDDoS攻撃や情報漏えい事件が発生しました。7月から8月にかけて、パレスチナ自治区ガザでの紛争に関連し、イスラエルの複数の政府関連サイトや民間企業のWebサイトに対し、Web改ざんやDDoS攻撃、情報漏えいの被害が発生しています(OpSaveGaza)。紛争に関連するところでは、ロシアとウクライナ、インドとインドネシア、インドとパキスタンなどで、相互に攻撃が行われています。8月から9月にかけては、パキスタン政府への抗議から、複数の政府関連サイトに対するWeb改ざんやDDoS攻撃、SQLインジェクションによる情報漏えいの被害が発生しました(OpPakistan)。9月には、香港での選挙制度の問題に対するデモ活動と関連して中国政府や香港行政府のWebサイトに対するDDoS攻撃やメールアカウント情報の漏えいなどが発生しています(OpHongKong)。

他にも、世界中の各国政府とその関連サイトに対して、AnonymousなどのHacktivist達による攻撃が継続して行われました。また、Syrian Electronic Armyを名乗る何者かによるSNSアカウントの乗っ取りやWebサイト改ざんも継続して発生しており、被害を受けたアカウントにはイスラエル国防軍なども含まれていました。

脆弱性とその対応

この期間中では、Microsoft社のWindows(※2)(※3)、Internet Explorer(※4)(※5)(※6)などで修正が行われました。Adobe社のAdobe Flash Player、Adobe Reader及びAcrobatでも修正が行われました。Oracle社のJava SEでも四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。これらの脆弱性のいくつかは、修正が行われる前に悪用が確認されています。サーバアプリケーションでは、データベースサーバとして利用されているOracleを含むOracle社の複数の製品で四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。

Cisco Unified Communications Domain Managerには、権限昇格を含む複数の脆弱性が見つかり、修正されています。修正された脆弱性には初期設定のSSH秘密鍵の利用による脆弱性が含まれていました。機器の初期設定のSSH秘密鍵を更新せず利用することは、同じ秘密鍵を持つ第三者から悪用される可能性が高いことから行うべきではありません(※7)

LinuxなどUNIX系のOSで利用されているシェルのBashでは、任意のOSコマンドが実行できる脆弱性(CVE-2014-6271)が見つかり、修正されました。この脆弱性はShellshockと呼ばれ、CGIプログラムが動くWebサーバ、ルータやゲートウェイ製品など、多くのアプリケーションや機器に影響があったことから問題となりました。この問題の詳細については「1.4.1 Bashの脆弱性Shellshockについて」を併せてご参照ください。

なりすましによる不正ログイン

この期間でも、昨年から多数発生しているユーザのIDとパスワードを狙った試みと、取得したIDとパスワードのリストを使用したと考えられる不正ログインの試みが継続して発生しています。アンケートサイト、インターネット通販サイト、物流事業者のサポートサイト、携帯電話会社のサイト、SNSなど様々なサイトが攻撃対象となっています。このうちのいくつかの事件では、サイト上のポイントを他サービスのギフトポイントに不正に交換されるなどの被害も発生しています。このように、リスト型攻撃の脅威が依然として続いていることから、様々な企業のWebサービスやアプリケーションで、2段階認証の導入やパスワードの文字数や使用できる文字の制限緩和などの認証機能の強化といった対策が進められています。また、ユーザが安易な使い回しを行ったり、推測されやすい簡易なパスワードを設定するなどの問題も指摘されていることから(※8)、利用者側も安全な利用をする上で注意が必要です。詳細については「1.4.3 リスト型攻撃の発生状況と対策」も併せてご参照ください。

Web改ざんと不正なソフトウェアへの誘導

この期間では、前回の期間に続いてWebサイトの改ざんによる不正なソフトウェアへ誘導される事件が多く発生しました。ツアー会社、自動車販売会社、セキュリティ企業のWebサイトでの改ざんとそれによる不正なソフトウェアへの誘導が発生しています。また、不正なソフトウェアへの誘導だけでなく、独立行政法人のWebサイトが改ざんされた事件では、Web改ざんによってフィッシングサイトとして悪用しようとする試みも発生しています(※9)。また、テキスト編集ソフトのサポートサイトで発生したWeb改ざん事件では、アクセスしたユーザが別サイトに誘導されて不正なソフトウェアのインストールが行われただけでなく、事件発覚後に正規のアップデートファイルのコンテンツが改ざんされ、ウイルスを含んだファイルを利用者にアップデートファイルとしてインストールさせようとしていたことも判明しています。このような、正規ソフトウェアのアップデートの仕組みを悪用したマルウェアの感染活動は今後も継続すると考えられます。

動静や歴史的背景による攻撃

この期間では毎年、太平洋戦争の歴史的日付や、竹島や尖閣諸島などに関連したインシデントが発生しています。本年もこれらに関連した日本国内の複数の政府機関や民間企業のWebサイトに対し、SQLインジェクションや、ブルートフォースなどによる侵入による改ざんやDDoS攻撃が発生すると予測されたため、警戒を行いました。しかし、一部でSQLインジェクション攻撃などの不正なアクセスが増加していたり(※10)、Webサイトの改ざんが確認されていますが(※11)、大規模な攻撃の発生は確認されませんでした。IIJの観測では、DDoS攻撃が平常時よりも若干多く見られましたが、攻撃の規模や回数は過去の同期間に比べるとかなり減少しています。

DDoS攻撃

この期間では、大規模なDDoS攻撃がいくつか発生しています。8月にはLizard Squadを名乗る何者かによるPSNやXbox LIVE、League of Legendsなど複数のゲームサーバに対する攻撃が発生しています。PSNの事件では263.35GbpsのNTPリフレクション攻撃を受けたとされています。更に、この事件ではDDoS攻撃だけでなく、役員が搭乗していた航空機に爆発物を仕掛けたなどの発言を犯人がオンライン上で行ったことから、実際に搭乗していた航空機の運航に支障が出るなどの影響がありました。この攻撃者によると思われるゲーム関連サーバに対する攻撃は、9月に入っても断続的に発生しています。日本では、5月末に複数のISPにおいて、DNSサーバに対する断続的なDDoS攻撃が発生していますが、一部のISPに対しては7月に入っても継続しています。また、3月に海外のDDoS攻撃の代行サービスを利用して、ゲームサーバに対する攻撃を行ったとして、9月に電子計算機損壊等業務妨害容疑で高校生が書類送検されました。

企業におけるマルウェア感染と情報漏えい

この期間、企業のシステムがマルウェア感染したことによる大規模な顧客情報などの漏えい事件が引き続き発生しています。特に米国では、8月に物流大手企業で、国内の51ヵ所の代理店でマルウェア感染が確認され、顧客のクレジットカード情報などが流出した可能性があることが発表されています。日本でも航空会社で社内の端末へのマルウェア感染によって、顧客情報が外部に送信され漏えいした可能性のある事件などが発生しています。9月には、ホームセンター大手企業で、約5600万枚分の決済カード情報や電子メールアドレスが流出した可能性のある事件が発生しました。この事件では昨年から発生しているPOSシステムを狙ったマルウェアの亜種が使われたとされており、クレジットカードなどの情報が漏えいした可能性がありました。これ以外にも病院や小売り業者など複数の企業でマルウェアによる情報漏えい事件が発生しています。特に、POSマルウェアについては、昨年終わりごろより大規模な情報漏えい事件を複数回引き起こしており、US-CERTからも複数回注意喚起が行われています(※12)。新種のPOSマルウェアが継続して確認されていることから(※13)、今後も引き続き注意が必要です。

政府機関の取り組み

政府機関のセキュリティ対策の動きとしては、政府の情報セキュリティ政策会議第40回会合が開催され、2013年度の我が国におけるサイバーセキュリティ全般の状況について、政府機関、重要インフラ事業者、各府省庁の関連施策の実施状況、関係資料などを1つに取りまとめた初めての年次報告書である「サイバーセキュリティ政策に係る年次報告(2013 年度)」や、各府省庁のサイバーセキュリティに関する今年度の施策などを取りまとめた、「サイバーセキュリティ 2014」などが決定しています(※14)

本年6月に公表された「パーソナルデータの利活用に関する制度改正大綱」を受け、行政機関及び独立行政法人などが保有するパーソナルデータについて、その特質を踏まえた調査・検討を行うため、「行政機関等が保有するパーソナルデータに関する研究会」が総務省にて開催されています。同じく総務省より、電気通信事業者が取り扱う位置情報について、通信の秘密や個人情報・プライバシーを適切に保護しながら、ビジネス利用も含めたその社会的利活用を促進するため、位置情報の取得、利用及び第三者提供時における適切な取り扱いについて取りまとめた「位置情報プライバシーレポート~位置情報に関するプライバシーの適切な保護と社会的利活用の両立に向けて~」も公表されています(※15)

警察庁からは、平成26年度の警察白書が発表され、サイバー犯罪の検挙件数が過去最多を記録したことや、インターネットバンキングに係る不正送金事犯が急増していることなどが記載されています。また、サイバー空間の脅威に対する官民の連携の推進を進めているなどの取り組みについても解説されています。

その他

6月より対策活動が実施されている、オンラインバンキングなどの情報窃取を行うマルウェアであるGameOver Zeusについて(※16)、7月には本作戦で得られた該当マルウェアの感染端末に関する情報を元に、ISP事業者に対し、感染者に関する情報提供とそれを用いた注意喚起が実施されることが発表されています(※17)。また、このような国際的なサイバー犯罪に対処するため、9月には欧州刑事警察機構(Europol)が、欧州や米国、カナダなどを含む複数国によるJoint Cybercrime Action Taskforce(J-CAT)を発足させるなど(※18)、国際的な連携の枠組みの構築も進められています。

7月には、様々な団体や企業から模倣したWebサイトについての注意喚起が行われました(※19)。8月に入ってから、政府機関でも同様の事例について注意喚起が行われています。これらの事例は特定の企業や団体などを狙ったものではなく、Webプロキシサービスによるものと考えられます。同様の事例としては、昨年中国の携帯電話事業者が提供していたWebページの変換サービス用プロキシによる事例があります(※20)。他にも同様のサービスを提供している場合が多くありますが、提供者がはっきりとしていないことも多いため、利用には注意が必要です(※21)

同じく7月には、通信教育企業の顧客情報が漏えいした事件が明るみに出ました。これは別の企業が入手した名簿を元にダイレクトメールを送っていたことで判明したものです。情報漏えいした企業の業務委託企業の元派遣社員が不正に持ち出して名簿業者などに販売していたとして、不正競争防止法違反(営業秘密の複製)罪で逮捕されています。

電気通信事業者がDoS攻撃などの大量通信を識別し、その対処を適法に実施するためのガイドライン「電気通信事業者における大量通信等への対処と通信の秘密に関するガイドライン」が改定され、電気通信事業関連5団体より公表されています(※22)。これは、総務省で行われていた、電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会の「第一次とりまとめ」が4月に公表されたこと(※23)を踏まえて追加修正を行ったもので、DNSアンプ攻撃などの新たな脅威への対応が図られています。

また、9月初旬から10月にかけて、国内の複数の組織で利用していた.comドメインがDNSハイジャックを受け、不正なソフトウェアのインストールを試みる事件が発生しました(※24)。この事件では、レジストリに登録されたネームサーバ情報をなんらかの方法で書き換え、攻撃者が用意した偽のWebサイトに誘導していたことから、JPCERT/CCやJPRSより注意喚起が行われています(※25)

7月のインシデント

7月のインシデント

HTMLblank

8月のインシデント

8月のインシデント

HTMLblank

9月のインシデント

9月のインシデント

HTMLblank

  1. (※1)このレポートでは、取り扱ったインシデントを、脆弱性、動静情報、歴史、セキュリティ事件、その他の5種類に分類している。
    脆弱性:インターネットや利用者の環境でよく利用されているネットワーク機器やサーバ機器、ソフトウェアなどの脆弱性への対応を示す。
    動静情報:要人による国際会議や、国際紛争に起因する攻撃など、国内外の情勢や国際的なイベントに関連するインシデントへの対応を示す。
    歴史:歴史上の記念日などで、過去に史実に関連して攻撃が発生した日における注意・警戒、インシデントの検知、対策などの作業を示す。
    セキュリティ事件:ワームなどのマルウェアの活性化や、特定サイトへのDDoS攻撃など、突発的に発生したインシデントとその対応を示す。
    その他:イベントによるトラフィック集中など、直接セキュリティに関わるものではないインシデントや、セキュリティ関係情報を示す。
  2. (※2)「マイクロソフト セキュリティ情報 MS14-038 - 緊急 Windows Journalの脆弱性により、リモートでコードが実行される(2975689)」(https://technet.microsoft.com/ja-JP/library/security/ms14-038.aspxblank)。
  3. (※3)「マイクロソフト セキュリティ情報 MS14-043 - 緊急 Windows Media Centerの脆弱性により、リモートでコードが実行される(2978742)」(https://technet.microsoft.com/ja-JP/library/security/ms14-043.aspxblank)。
  4. (※4)「マイクロソフト セキュリティ情報 MS14-037 - 緊急 Internet Explorer用の累積的なセキュリティ更新プログラム(2975687)」(https://technet.microsoft.com/ja-jp/library/security/ms14-037.aspxblank)。
  5. (※5)「マイクロソフト セキュリティ情報 MS14-051 - 緊急 Internet Explorer用の累積的なセキュリティ更新プログラム(2976627)」(https://technet.microsoft.com/ja-JP/library/security/ms14-051.aspxblank)。
  6. (※6)「マイクロソフト セキュリティ情報 MS14-052 - 緊急 Internet Explorer用の累積的なセキュリティ更新プログラム(2977629)」(https://technet.microsoft.com/ja-JP/library/security/ms14-052.aspxblank)。
  7. (※7)同じ秘密鍵を利用するリスクについては、IIJ Security Diary、「SSL/TLS, SSHで利用されている公開鍵の多くが意図せず他のサイトと秘密鍵を共有している問題」(https://sect.iij.ad.jp/d/2012/08/109998.htmlblank)も参照のこと。
  8. (※8)例えば、IPAが実施した「『オンライン本人認証方式の実態調査』報告書について」(http://www.ipa.go.jp/security/fy26/reports/ninsho/index.htmlblank)などを参照のこと。
  9. (※9)例えば、次の独立行政法人 防災科学技術研究所の発表を参照のこと。「防災科研公開 webに対する改ざんについて」(http://www.bosai.go.jp/press/2014/pdf/20140811_01.pdfPDF)。
  10. (※10)例えば、IBM社のTokyo SOC Reportでは特定の国からのSQLインジェクションなどの攻撃が増加傾向であることが報告されている。「柳条湖事件が起こった9月18日前後の攻撃動向について」(https://www-304.ibm.com/connections/blogs/tokyo-soc/?lang=jablank)。
  11. (※11)Web改ざんについては次のエフセキュアブログなどを参照のこと。「9.18のサイバー攻撃に関して(追記)」(http://blog.f-secure.jp/archives/50734688.htmlblank)。
  12. (※12)US-CERTでは、1月に"TA14-002A: Malware Targeting Point of Sale Systems"(www.us-cert.gov/ncas/alerts/TA14-002Ablank)、8月に"Alert(TA14-212A)Backoff Point-of-Sale Malware"(https://www.us-cert.gov/ncas/alerts/TA14-212Ablank)と、継続的に注意喚起を行っている。
  13. (※13)例えば、トレンドマイクロ社のブログ「急増するPOSシステムへの攻撃とPOSマルウェアファミリ」(http://blog.trendmicro.co.jp/archives/9902blank)などを参照のこと。
  14. (※14)内閣官房情報セキュリティセンター、「情報セキュリティ政策会議 第40回会合(平成26年7月10日)」(http://www.nisc.go.jp/conference/seisaku/index.html#seisaku40blank)。
  15. (※15)総務省、「緊急時等における位置情報の取扱いに関する検討会 報告書『位置情報プライバシーレポート~位置情報に関するプライバシーの適切な保護と社会的利活用の両立に向けて~』の公表」(http://www.soumu.go.jp/menu_news/s-news/01kiban08_02000144.htmlblank)。
  16. (※16)Department of Justice、"U.S. Leads Multi-National Action Against "Gameover Zeus" Botnet and "Cryptolocker" Ransomware, Charges Botnet Administrator"(http://www.justice.gov/opa/pr/2014/June/14-crm-584.htmlblank)。
  17. (※17)一般財団法人日本データ通信協会テレコム・アイザック推進会議、「インターネットバンキングに係るマルウェア感染者に対する注意喚起について」(https://www.telecom-isac.jp/news/news20140718.htmlblank)。
  18. (※18)詳細については次のEuropolの発表を参照のこと。"EXPERT INTERNATIONAL CYBERCRIME TASKFORCE IS LAUNCHED TO TACKLE ONLINE CRIME"(https://www.europol.europa.eu/content/expert-international-cybercrime-taskforce-launched-tackle-online-crimeblank)。
  19. (※19)例えば、次の大阪府警察などの発表を参照のこと「緊急:大阪府警察ホームページを模倣したウェブサイトにご注意!」(http://www.police.pref.osaka.jp/15topics/caution_domain.htmlblank)。
  20. (※20)例えば、次のJPCERTコーディネーションセンターのつぶやき(https://twitter.com/jpcert/status/322282948554530816blank)を参照のこと。
  21. (※21)この事例については次のトレンドマイクロ社のブログ『プロキシ回避システム』がもたらした『模倣サイト』の混乱、その事例から学ぶ教訓とは?」(http://blog.trendmicro.co.jp/archives/9713blank)なども参照のこと。
  22. (※22)インターネットの安定的な運用に関する協議会は電気通信事業関連の5つの業界団体により構成されている。このガイドラインの策定については次を参照のこと。社団法人日本インターネットプロバイダー協会(JAIPA)「電気通信事業者における大量通信等への対処と通信の秘密に関するガイドラインの改定について」(http://www.jaipa.or.jp/topics/?p=695blank)。
  23. (※23)総務省、「『電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第一次とりまとめ』及び意見募集の結果の公表」(http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000074.htmlblank)。
  24. (※24)Volexity Blog、"Democracy in Hong Kong Under Attack"(http://www.volexity.com/blog/?p=33blank)。
  25. (※25)株式会社日本レジストリサービス(JPRS)、「(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について(2014年11月5日公開)」(http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.htmlblank)。
1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る