ページの先頭です


ページ内移動用のリンクです

  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.31
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review(IIR)Vol.31
2016年6月13日
RSS

目次

1.2 インシデントサマリ

ここでは、2016年1月から3月までの期間にIIJが取り扱ったインシデントと、その対応を示します。まず、この期間に取り扱ったインシデントの分布を図-1に示します(※1)

Anonymousなどの活動

図-1 カテゴリ別比率(2016年1月~3月)

この期間においても、Anonymousに代表されるHacktivistによる攻撃活動は継続しています。様々な事件や主張に応じて、多数の国の企業や政府関連サイトに対するDDoS攻撃や情報漏えい事件が発生しました。

日本で行われているイルカや小型クジラの追い込み漁への抗議活動として、昨年9月からAnonymousによると考えられるDDoS攻撃が断続的に行われていますが、この期間においても国内の多数のサイトにおいて被害が発生しています(OpKillingBay/OpWhales)。和歌山県太地町のWebサイトや捕鯨問題に関する映画の公式サイト、水族館のWebサイトなど直接関係するところだけに限らず、官公庁、空港会社、首相の個人サイトなど、過去に攻撃を実施したWebサイトも含めて繰り返し攻撃が行われていました。このオペレーションを実行していると思われる攻撃者らは攻撃対象とするターゲットリストをいくつか公開していますが、これらのリストに掲載されておらず、抗議活動とは直接には何ら関係がないと思われるWebサイトも多数被害を受けています。3月後半から攻撃活動はやや下火になっているものの、引き続き注意が必要な状況です。

フィリピンでは選挙管理委員会(COMELEC)のWebサイトが3月末にAnonymous Philippines及びLulzSec Philippinesという複数のグループによって攻撃されました。これによりWebサイトが改ざんされると共に、フィリピンの有権者およそ5,500万人分の個人情報が含まれるデータベースが盗まれ、インターネット上にすべて公開される事態となりました。データベースにはパスポートに関する情報や指紋情報なども含まれており、今後これらの情報が悪用される危険性が懸念されています。

脆弱性とその対応

この期間中では、Microsoft社のWindows(※2)(※3)(※4)(※5)(※6)(※7)(※8)、Internet Explorer(※9)(※10)(※11)、Office(※12)(※13)、Edge(※14)(※15)(※16)などで多数の修正が行われました。Adobe社のAdobe Flash Player、Adobe Acrobat及びReaderでも修正が行われています。Oracle社のJava SEでも四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。これらの脆弱性のいくつかは修正が行われる前に悪用が確認されています。

サーバアプリケーションでは、データベースサーバとして利用されているOracleを含むOracle社の複数の製品で四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。DNSサーバのBIND9でも、制御チャンネルの入力処理の不具合や、DNSSEC検証に利用される署名レコードの処理の不具合によって、外部からDoS攻撃が可能となる脆弱性などが見つかり修正されています。Linuxディストリビューションなどに含まれるThe GNU C Library(glibc)では、攻撃者が不正なDNS応答を送ることによって名前解決ライブラリの関数においてバッファオーバーフローが発生し、リモートからコード実行が可能となる脆弱性が見つかり修正されています(※17)。SSL/ TLSの実装においても、ハッシュの衝突を利用してTLSの安全性を破る攻撃(SLOTH)、SSLv2の暗号通信を解読可能な攻撃(DROWN)、タイミング攻撃によってRSAの秘密鍵が復元可能となる攻撃(CacheBleed)などが見つかり、NSSやOpenSSL などの実装においてそれぞれ脆弱性が修正されています。

ネットワーク機器に関して、製品にあらかじめ固定パスワードの管理用アカウントが設定されていて、バックドアとなりうる脆弱性がフォーティネット社やシスコ社の製品で見つかり、それぞれ修正されています。また鍵交換プロトコルIKEv1/IKEv2において、転送量の増幅によってDoS攻撃の踏み台となるプロトコル仕様上の問題が見つかり、該当する複数の製品においてファームウェアの更新や回避策の公開などが行われています(※18)

ランサムウェアによる被害の拡大

昨年後半からランサムウェアの感染による被害が国内外で拡大しており、この期間においても継続しています。ランサムウェアは「身代金要求型ウイルス」などと呼称されることもあるマルウェアの一種であり、感染するとコンピュータ内にある特定の種類のファイルなどを暗号化して人質にとり、復号のための鍵の提供に対してユーザにBitcoinなどで金銭を要求します。TeslaCrypt、Locky、Samas、Petyaなど複数種類のランサムウェアの感染活動が非常に活発になっており、個人ユーザだけでなく企業などの組織内でも被害が広がっています。特にこの期間内においては海外の病院での感染事例が多数報告されました。2月には米国のロサンゼルスにある病院で複数のコンピュータがランサムウェアに感染し、医療活動に支障が出る事態となりました。この病院では復旧を優先させるために総額で40BTC (約1万7千ドル)の身代金を支払ったと報告されています。この他にもドイツやニュージーランドでも病院でのランサムウェア感染被害が確認されています。こうしたことから3月にはUS-CERTがランサムウェアに関する注意喚起を行い、バックアップを取得しておくなどの対策を呼び掛けました。一方で一気に市場が拡大したことから暗号化の仕組みに不備があるような品質の低いものも多く、ランサムウェアの種類によっては身代金の支払いを行わなくてもファイルを復旧できる場合があります。ランサムウェアの詳細については「1.4.1 各種のランサムウェアとその対策」も併せてご参照ください。

政府機関の取り組み

昨年に続いて政府は2月1日から3月18日までを「サイバーセキュリティ月間」と定め、政府機関はもとより、広く他の関係機関や団体などの協力の下、サイバーセキュリティに関する普及啓発活動を集中的に推進しました(※19)

総務省は2月より「官民連携による国民のマルウェア対策支援プロジェクト(Advanced Cyber Threats response InitiatiVE(略称「ACTIVE」))」を通じたマルウェア感染者の被害未然防止の取り組みを開始したことを公表しました。一般財団法人日本データ通信協会テレコム・アイザック推進会議と連携して国内のインターネット・サービス・プロバイダ(ISP)事業者へ「ACTIVE」において得られたC&Cサーバに関する情報提供を行い、各ISP事業者において、当該情報に基づき、マルウェアとC&Cサーバ間の通信を抑止すると共に、マルウェアに感染した端末の利用者への注意喚起を行うことで被害を軽減するものです。この取り組みは総務省より昨年公表された「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第二次とりまとめ」(※20)の内容に準じています。

また2月には「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案」が閣議決定されて第190回通常国会に提出され、両院での審議を経て4月14日に可決、成立しました。本改正案により、内閣官房内閣サイバーセキュリティセンター(NISC)による国の行政機関の情報システムの監視対象が、中央省庁だけでなく独立行政法人及び指定法人まで拡大し、監視体制の強化が段階的にすすめられます。またサイバーセキュリティに関する助言を行う国家資格「情報処理安全確保支援士」が新設されることになります。

その他

2015年12月に米国で起きたサンバーナーディーノ銃乱射事件の捜査に関連して、犯人の1人が所持していたiPhoneのロックをFBIが解除できるよう、技術的な支援を行うことをApple社に対して連邦裁判所が命令したことが2月に話題となりました。最新のiOSではiPhoneのロック解除やデータの抽出を製造元であるApple社自身も実施することは不可能な仕組みになっています。そのためFBIはロック解除に必要なパスコードを総当たりで試行できるように、このような試行を妨害するためのセキュリティ保護機能を無効にした特殊なソフトウェアを作成することをApple社に要求しました。これに対してApple社は裁判所命令を拒否して法廷で争う姿勢を見せていましたが、3月になってFBIが別の手段によってロック解除に成功したことから、訴訟は取り下げられて決着しました。しかし今回FBIがロック解除に成功した方法は最新機種のiPhoneには有効ではなく、他の捜査に関連して同様の要求がApple社に対して既に行われています。また米国議会ではテクノロジー企業に対して暗号解除を義務づける法案を提出する動きがあり、暗号規制をめぐる今後の動向が注目されています。

この期間でも、別のサイトから取得したIDとパスワードのリストを使用したと考えられる不正ログインの試みが継続して発生しています。ポイントサービスのサイトや、ゲームサイトなどが攻撃対象となっており、Webサイト上のポイントを不正に交換されるなどの金銭的な被害も発生しています。

フィッシング対策協議会に報告されているフィッシングの件数は昨年12月から急増しており、特に2月に入って金融機関の名を騙るフィッシングが複数の銀行で発生したことから、2月の報告件数は2,935件に昇っています(※21)。金融機関によっては、フィッシングメールではなく、SMSで誘導されるフィッシングサイトも見つかっており、引き続き注意が必要な状況です。

2月にはバングラデッシュ中央銀行において1億ドルを越える不正送金が発生し、銀行単一の被害金額としては過去最大の事件となりました。犯人は銀行内のシステムに不正にアクセスし、ニューヨーク連邦準備銀行が管理するバングラデッシュ中央銀行の外為為替口座からフィリピンとスリランカの銀行口座に不正な送金を指示しました。このとき送金先の口座名にスペルミスがあったことから不正が発覚しましたが、それまでに1億ドルを越える金額既に送金され、その大半は回収できていません。

2015年10月に米CIA長官John Brennan氏のAOLのメールアカウントなど、複数の米政府関係者のアカウントがハッカーグループに乗っ取られるという事件が起きました。このグループは1月に米国家情報長官James Clapper氏のアカウントを乗っ取ると、更に2月には米司法省の職員のコンピュータに侵入し、不正に取得した数万人分の連邦政府職員の情報をインターネット上のサイトに公開しました。その後このグループの複数のメンバーがイギリスなどで相次いで逮捕されましたが、いずれもティーンエイジャーでした。彼らはこれらの侵入を行うにあたりソーシャルエンジニアリングのテクニックを巧みに利用しました。例えばCIA長官が利用している電話会社Verizon社の技術者になりすましてVerizon社に電話して長官個人のアカウント情報を聞き出し、この情報を利用してメールアカウントのパスワードをリセットしました。また司法省の職員になりすましてヘルプデスクに電話して、コンピュータに侵入するのに必要なトークン情報を入手したりしていました。こういった攻撃手法は技術的な対策のみで防ぐことは難しく、情報開示ルールの整備と運用、教育など、人が弱点になることを考慮した多面的な対策が求められます。

1月のインシデント

1月のインシデント

HTMLblank

2月のインシデント

2月のインシデント

HTMLblank

3月のインシデント

3月のインシデント

HTMLblank

  1. (※1)このレポートでは取り扱ったインシデントを、脆弱性、動静情報、歴史、セキュリティ事件、その他の5種類に分類している。
    脆弱性:インターネットや利用者の環境でよく利用されているネットワーク機器やサーバ機器、ソフトウェアなどの脆弱性への対応を示す。
    動静情報:要人による国際会議や、国際紛争に起因する攻撃など、国内外の情勢や国際的なイベントに関連するインシデントへの対応を示す。
    歴史:歴史上の記念日などで、過去に史実に関連して攻撃が発生した日における注意・警戒、インシデントの検知、対策などの作業を示す。
    セキュリティ事件:ワームなどのマルウェアの活性化や、特定サイトへのDDoS攻撃など、突発的に発生したインシデントとその対応を示す。
    その他:イベントによるトラフィック集中など、直接セキュリティに関わるものではないインシデントや、セキュリティ関係情報を示す。
  2. (※2)「マイクロソフト セキュリティ情報 MS16-003 - 緊急 リモートでのコード実行に対処する JScript および VBScript 用の累積的なセキュリティ更新プログラム(3125540)」(https://technet.microsoft.com/ja-jp/library/security/MS16-003blank)。
  3. (※3)「マイクロソフト セキュリティ情報 MS16-005 - 緊急 リモートでのコード実行に対処する Windows カーネルモード ドライバー用のセキュリティ更新プログラム(3124584)」(https://technet.microsoft.com/ja-jp/library/security/MS16-005blank)。
  4. (※4)「マイクロソフト セキュリティ情報 MS16-012 - 緊急 リモートでのコード実行に対処する Microsoft Windows PDF ライブラリ用のセキュリティ更新プログラム( 3138938)」(https://technet.microsoft.com/ja-jp/library/security/MS16-012blank)。
  5. (※5)「マイクロソフト セキュリティ情報 MS16-013 - 緊急 リモートでのコード実行に対処する Windows Journal 用のセキュリティ更新プログラム(3134811)」(https://technet.microsoft.com/ja-jp/library/security/MS16-013blank)。
  6. (※6)「マイクロソフト セキュリティ情報 MS16-026 - 緊急 リモートでのコード実行に対処するグラフィック フォント用のセキュリティ更新プログラム(3143148)」 (https://technet.microsoft.com/ja-jp/library/security/MS16-026blank)。
  7. (※7)「マイクロソフト セキュリティ情報 MS16-027 - 緊急 リモートでのコード実行に対処する Windows Media 用のセキュリティ更新プログラム(3143146)」 (https://technet.microsoft.com/ja-jp/library/security/MS16-027blank)。
  8. (※8)「マイクロソフト セキュリティ情報 MS16-028 - 緊急 リモートでのコード実行に対処する Microsoft Windows PDF ライブラリ用のセキュリティ更新プログラム( 3143081)」(https://technet.microsoft.com/ja-jp/library/security/MS16-028blank)。
  9. (※9)「マイクロソフト セキュリティ情報 MS16-001 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム(3124903)」(https://technet.microsoft.com/ja-jp/library/security/MS16-001blank)。
  10. (※10)「マイクロソフト セキュリティ情報 MS16-009 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム(3134220)」(https://technet.microsoft.com/ja-jp/library/security/MS16-009blank)。
  11. (※11)「マイクロソフト セキュリティ情報 MS16-023 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム(3142015)」(https://technet.microsoft.com/ja-jp/library/security/MS16-023blank)。
  12. (※12)「マイクロソフト セキュリティ情報 MS16-004 - 緊急 リモートでのコード実行に対処する Microsoft Office 用のセキュリティ更新プログラム(3124585)」(https://technet.microsoft.com/ja-jp/library/security/MS16-004blank)。
  13. (※13)「マイクロソフト セキュリティ情報 MS16-015 - 緊急 リモートでのコード実行に対処する Microsoft Office 用のセキュリティ更新プログラム(3134226)」(https://technet.microsoft.com/ja-jp/library/security/MS16-015blank)。
  14. (※14)「マイクロソフト セキュリティ情報 MS16-002 - 緊急 Microsoft Edge 用の累積的なセキュリティ更新プログラム(3124904)」(https://technet.microsoft.com/ja-jp/library/security/MS16-002blank)。
  15. (※15)「マイクロソフト セキュリティ情報 MS16-011 - 緊急 Microsoft Edge 用の累積的なセキュリティ更新プログラム(3134225)」(https://technet.microsoft.com/ja-jp/library/security/MS16-011blank)。
  16. (※16)「マイクロソフト セキュリティ情報 MS16-024 - 緊急 Microsoft Edge 用の累積的なセキュリティ更新プログラム(3142019)」(https://technet.microsoft.com/ja-jp/library/security/MS16-024blank)。
  17. (※17)詳細については以下のIIJ Security Diaryの記事を参照のこと。「IIJ Security Diary:CVE-2015-7547 glibcにおけるgetaddrinfoの脆弱性について」(https://sect.iij.ad.jp/d/2016/02/197129.htmlblank)。
    「IIJ Security Diary:CVE-2015-7547 対策における信頼できるキャッシュサーバとは」(https://sect.iij.ad.jp/d/2016/02/225250.htmlblank)。
  18. (※18)「JVNVU#91475438:Internet Key Exchange(IKEv1, IKEv2)がDoS 攻撃の踏み台として使用される問題」(https://jvn.jp/vu/JVNVU91475438/blank)。
  19. (※19)内閣サイバーセキュリティセンター(NISC)、「2016年『 サイバーセキュリティ月間』の実施について」(http://www.nisc.go.jp/press/pdf/csm2016_press1.pdfPDF)。
  20. (※20)総務省、「『電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第二次とりまとめ』及び意見募集の結果の公表」(http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000100.htmlblank)。
  21. (※21)フィッシング対策協議会、「2016/02 フィッシング報告状況」 (https://www.antiphishing.jp/report/monthly/201602.htmlblank)。
1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る