ページの先頭です


ページ内移動用のリンクです

  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.33
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review(IIR)Vol.33
2016年12月15日
RSS

目次

1.2 インシデントサマリ

ここでは、2016年7月から9月までの期間にIIJが取り扱ったインシデントと、その対応を示します。まず、この期間に取り扱ったインシデントの分布を図-1に示します(※1)

Anonymousなどの活動

図-1 カテゴリ別比率(2016年7月~9月)

この期間においても、Anonymousに代表されるHacktivistによる攻撃活動は継続しています。様々な事件や主張に応じて、多数の国の企業や政府関連サイトに対するDDoS攻撃や情報漏えい事件が発生しました。

日本で行われているイルカや小型クジラの追い込み漁への抗議活動として、2013年からAnonymousによると考えられるDDoS攻撃が断続的に行われていますが、今年も9月1日の漁解禁日に合わせて攻撃キャンペーンの継続が宣言されました(OpKillingBay/OpWhales/OpSeaWorld)。攻撃対象は一部で異なる部分があるものの、概ね昨年までの対象をそのまま踏襲しています。9月に入りこれらのターゲットを狙ったDoS攻撃が活発に行われましたが、これまでと同様に攻撃対象のリストに記載がないWebサイトへの攻撃も数多く発生しました。この結果、9月の1ヵ月間に国内の様々なサイトに対して30件を越えるDoS攻撃が観測されました。10月以降も攻撃活動は衰えておらず、攻撃キャンペーンへの参加者も増加していると思われることから、引き続き警戒が必要な状況です。

8月下旬から9月上旬にかけて、国内の複数のサイトにおいて同時多発的なDoS攻撃が発生し、多くのサイトでサービスへの接続障害などの影響が出ました。これらのサイトが狙われた理由や攻撃者の目的については不明な点が多くはっきりしたことは分かりませんが、恒心教に関連する掲示板サイトなどが複数含まれており、攻撃者の目的と何らかの関連があるのではないかと考えられます。

9月18日は満州事変の発端となった柳条湖事件が起こった日であることから、この前後の期間において日中間でサイバー攻撃が発生しやすい「歴史的特異日」としてよく知られています。特に2010年には尖閣諸島付近で発生した中国漁船衝突事件を契機としたデモ活動、2012年には活動家による尖閣諸島上陸事件及び日本政府による尖閣諸島の国有化をきっかけとしたデモ活動がそれぞれ大規模に発生し、同時期に日本国内の多数のサイトに対しても様々なサイバー攻撃が行われました。2013年以降はこの時期の攻撃活動は年々沈静化する傾向にありましたが、今年も特に目立った攻撃活動は観測されませんでした。このように歴史的背景を伴った現実世界での出来事と連動してサイバー攻撃が発生することは多いため、歴史的特異日や国際情勢などの動静情報にも注意を払う必要があります。

脆弱性とその対応

この期間中では、Microsoft社のWindows(※2)(※3)(※4)(※5)(※6)(※7)、Internet Explorer(※8)(※9)(※10)、Edge(※11)(※12)(※13)、Office(※14)(※15)(※16)などで多数の修正が行われました。Adobe社のAdobe Flash Player、Adobe Acrobat及びReaderでも修正が行われています。Oracle社のJava SEでも四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。これらの脆弱性のいくつかは修正が行われる前に悪用が確認されています。

サーバアプリケーションでは、データベースサーバとして利用されているOracleを含むOracle社の複数の製品で四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。同じくOracle社のデータベースサーバであるMySQLでは、SQLインジェクション攻撃によって設定ファイルを書き換えることにより、リモートから権限昇格や任意のコード実行が可能となる脆弱性が見つかり、Linuxの各ディストリビューションなどで修正の対応が行われました。DNSサーバのBIND9でも、lightweight resolverの問い合わせの処理の不具合や、DNS応答を作成する処理の不具合によって、外部からDoS攻撃が可能となる脆弱性などが見つかり、修正されています。SSL/TLSの実装においても、3DESなどの64ビットブロック暗号において同じ鍵で暗号化されたデータを大量に傍受することで暗号文の衝突を見つけ出し平文回復を行う攻撃手法(SWEET32)が公開されました。このためOpenSSLなどの実装において、デフォルト設定での3DESの使用を制限するなどの対応が行われました。

またLinuxカーネルのTCP実装における脆弱性によって、TCPの通信内容を盗聴できないOff-Pathの攻撃者がTCPのセッションをハイジャックできるサイドチャネル攻撃が可能であることを研究者らが示し、最新のLinuxカーネルにおいてこの脆弱性が修正されました(※17)

過去最大規模のDDoS攻撃

この期間では、過去最大規模のDDoS攻撃が相次いで観測されました。セキュリティ業界では著名な専門家であるBrian Krebs氏が運営するブログ"Krebs on Security"は9月8日(※18)と10日(※19)に相次いでイスラエルのvDOSサービスに関する記事を掲載し、その後に140Gbps程度のDoS攻撃を受けました。vDOSはbooter/stresserなどとも呼ばれるDDoS-for-hireサービス(DDoS攻撃代行サービス)の1つで、Krebs氏がその内情を調査し実態を暴く記事を掲載したこと、またイスラエルでvDOSサービスを運営していた18才の2人の男性が逮捕されたことなどから、その報復としてDoS攻撃を受けたと考えられています。攻撃はその後も激しさを増し、9月20日に別のbooter関連の記事(※20)が掲載された後に約620Gbpsの大規模な攻撃を受けたとされています(※21)。Krebs on Securityに対してはProlexic(Akamai)が過去4年間にわたってDDoS攻撃対策サービスを無償提供していましたが、攻撃規模があまりにも大きく他の有償顧客への影響も避けられないことから、サービス提供が中止されることになり、Krebs on Securityは一時的にアクセスできなくなりました。その後Googleが提供するProject Shield(※22)による保護を受けられることとなり、9月25日に復旧しています。Krebs氏は9月20日に公開した記事の中で、ルータ、IPカメラ、デジタルビデオレコーダーなどのいわゆるIoT機器に感染するマルウェアによって構成されたボットネットが攻撃元と考えられることを明らかにしました。IoT機器によるボットネットからのDDoS攻撃はこれまでにもセキュリティベンダーなどから多数報告されています(※23)。Arborの観測によると、リオ五輪期間中に発生した約540GbpsのDDoS攻撃もIoT機器のボットネットによるものであり、五輪開催の数ヵ月前からtelnet(23/tcp)への通信が急増していて、IoT機器へのマルウェア感染活動が活発化していたと報告しています(※24)

またKrebs on Securityへの攻撃とほぼ同時期に、フランスのホスティングサービスであるOVHも同様のDDoS攻撃を受けており、ピーク時には1Tbpsを越える攻撃トラフィックが観測されています(※25)。なお今回の攻撃元と推測されるマルウェアの1つMiraiのソースコードが10月に入ってインターネット上の掲示板サイトで公開されています。Miraiの詳細については「1.4.1 Mirai Botnetの検知と対策」も併せてご参照ください。

IoT機器については、telnetなどの管理用ポートが開いているだけでなく、初期パスワードが変更されずにそのまま使われていたり、管理用に変更不可能なパスワードが設定されているなど、多くの問題点が指摘されています。そのためこうした脆弱なIoT機器をターゲットとしたマルウェアの感染活動が近年拡大しており、攻撃インフラとして悪用されているのが現状です。

大量のパスワード情報漏えい

この期間においても引き続きインターネット上の様々なサービスから過去に大量のパスワード情報が漏えいしていたことが相次いで発覚しました。Mail.ruから約2,500万件、Dropboxから約6,800万件、Last.fmから約4,300万件、Rambler.ruから約9,800万件、Qip.ruから約3,300万件、Yahoo!から約5億件など、いずれも漏えい件数が非常に大規模でした。特にYahoo!については単一のサービス事業者からの漏えい件数としては過去最大規模です。これらの中には平文のパスワード情報が含まれていたものや、ソルトなしのMD5ハッシュによるパスワード情報が含まれていたものもあり、パスワード解析が比較的容易であるため、すぐに悪用される危険性が高いものでした。これらは一部を除いて、既に漏えいが確認されているMySpaceやLinkedInなどのサービスと同様に、ロシア人ハッカーグループが2011年から2014年頃に侵入して取得したデータが元になっていると考えられ、今年になってからロシアの掲示板サイトやDark Web上の販売サイトで一般に売りはじめられたことによって情報流出が分かったものです。こうして流出したパスワード情報は、パスワードを複数のサービスで使い回しているユーザを狙って、他サイトへのなりすましによる不正ログイン攻撃や、著名人など特定のSNSアカウントの乗っ取りに悪用される危険性が高いことが過去の事例から分かっています。そのため、ユーザは自分のパスワード情報が漏えいする可能性をあらかじめ考慮して、複数のサービスで同じパスワードを使い回さないようにするなどの自衛策が求められます。

政府機関の取り組み

内閣官房内閣サイバーセキュリティセンター(NISC)において、サイバーセキュリティ戦略本部第9回会合が8月31日に開催され、前回会合で出された案にパブリックコメントの結果を踏まえた見直しを行い、「サイバーセキュリティ2016」が決定されました(※26)。これは、サイバーセキュリティ政策の基本的な方向性を示す新たな国家戦略として2015年9月に閣議決定された「サイバーセキュリティ戦略」に基づく2期目の年次計画であり、政府が2016年度に実施する具体的な取り組みを戦略の体系に沿って示したものです。わが国の経済の持続的な発展や安全で安心な国民生活の実現、国際社会における平和の維持などを目的とした様々な施策が盛り込まれています。政府機関だけでなく、重要インフラ事業者や企業、個人などとも連携してこれらの取り組みを推進していくことが求められます。

観光庁では、今年6月に旅行業界において情報流出事案が相次いで発生したことを受け、問題点の検証及び再発防止策を取りまとめるため「旅行業界情報流出事案検討会」を設置しましたが、その第1回目の会合が7月8日に開催されました。その後の7月22日の第2回会合において中間取りまとめを行い、9月16日の第3回会合で進捗状況などを確認しています。また旅行業界内への情報共有や、情報管理の徹底及び情報流出の再発を防止するための情報共有会議も観光庁と旅行業界と共同で6月から不定期に開催しています(※27)。中間取りまとめでは旅行業者や観光庁が再発防止に向けて今後取るべき対策についての提言がなされ、情報共有会議を通じて一般にもその内容が公開されています。

その他

8月13日にThe Shadow Brokersと名乗る何者かが、Equation Groupのものと主張するファイル群の一部を公開し、残りをオークションにかけると発表しました。Equation GroupというのはKaspersky Labs社が2015年に報告した攻撃グループの名称であり(※28)、その攻撃の特徴と過去の別の攻撃との類似性や、Edward Snowden氏によって持ち出されたNSAの機密文書に記載されている内容との一致などから、米国家安全保障局(NSA)において主に攻撃を担当する部局Tailored Access Operations(TAO)だと考えられてきました。

これらの公開されたファイルの中にはCiscoやJuniperなどのファイアウォール製品を対象としたエクスプロイトコードやマルウェアなどが含まれており、セキュリティ研究者やベンダーによる検証の結果、実際に動作するものだと分かりました。これらのコードの中には、それまで未知のゼロデイの脆弱性を悪用するものも含まれていました。対象機器のベンダーはそれぞれ脆弱性を修正する対応に追われましたが、中でもBENIGNCERTAINというコードネームのエクスプロイトコードはVPNの暗号化に利用されるRSA秘密鍵をリモートから取得可能なもので、当初対象と考えられていた古いPIX Firewallだけでなく、Cisco IOSソフトウェアを搭載する多数のネットワーク機器に影響が及ぶことがCisco社の検証により明らかとなりました(※29)

なお、過去に公開済みのSnowden氏によってリークされた文書の中に記載されている複数のコードネームが今回のファイルに含まれていることや、The Interceptから新たに公開されたNSAの機密文書の中に識別子として含まれているMSGIDが、The Shadow Brokersから公開されたバイナリにも使われていることなどから(※30)、The Shadow Brokersによって公開されたファイル群はEquation Groupのものというだけでなく、NSAのTAOによって作成されたものである可能性が非常に高くなっています。The Shadow Brokersの正体やファイルを公開した目的などについても様々な憶測が飛び交いましたが、詳細は不明ではっきりしたことは何も分かっていません。

7月のインシデント

7月のインシデント

HTMLblank

8月のインシデント

8月のインシデント

HTMLblank

9月のインシデント

9月のインシデント

HTMLblank

  1. (※1)このレポートでは取り扱ったインシデントを、脆弱性、動静情報、歴史、セキュリティ事件、その他の5種類に分類している。
    脆弱性:インターネットや利用者の環境でよく利用されているネットワーク機器やサーバ機器、ソフトウェアなどの脆弱性への対応を示す。
    動静情報:要人による国際会議や、国際紛争に起因する攻撃など、国内外の情勢や国際的なイベントに関連するインシデントへの対応を示す。
    歴史:歴史上の記念日などで、過去に史実に関連して攻撃が発生した日における注意・警戒、インシデントの検知、対策などの作業を示す。
    セキュリティ事件:ワームなどのマルウェアの活性化や、特定サイトへのDDoS攻撃など、突発的に発生したインシデントとその対応を示す。
    その他:イベントによるトラフィック集中など、直接セキュリティに関わるものではないインシデントや、セキュリティ関係情報を示す。
  2. (※2)「マイクロソフト セキュリティ情報 MS16-086 - 緊急 JScript および VBScript 用の累積的なセキュリティ更新プログラム(3169996)」(https://technet.microsoft.com/ja-jp/library/security/MS16-086blank)。
  3. (※3)「マイクロソフト セキュリティ情報 MS16-087- 緊急Windows印刷スプーラーコンポーネント用のセキュリティ更新プログラム(3170005)」(https://technet.microsoft.com/ja-jp/library/security/MS16-087blank)。
  4. (※4)「マイクロソフト セキュリティ情報 MS16-097 - 緊急 Microsoft Graphics コンポーネント用のセキュリティ更新プログラム(3177393)」(https://technet.microsoft.com/library/security/MS16-097blank)。
  5. (※5)「マイクロソフト セキュリティ情報 MS16-102 - 緊急 Microsoft Windows PDF ライブラリ用のセキュリティ更新プログラム(3182248)」(https://technet.microsoft.com/library/security/MS16-102blank)。
  6. (※6)「マイクロソフト セキュリティ情報 MS16-106 - 緊急 Microsoft Graphics コンポーネント用のセキュリティ更新プログラム(3185848)」(https://technet.microsoft.com/library/security/MS16-106blank)。
  7. (※7)「マイクロソフト セキュリティ情報 MS16-116 - 緊急 VBScript スクリプトエンジン用のOLE オートメーションのセキュリティ更新プログラム(3188724)」(https://technet.microsoft.com/library/security/MS16-116blank)。
  8. (※8)「マイクロソフト セキュリティ情報 MS16-084 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム(3169991)」(https://technet.microsoft.com/ja-jp/library/security/MS16-084blank)。
  9. (※9)「マイクロソフト セキュリティ情報 MS16-095 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム(3177356)」(https://technet.microsoft.com/ja-jp/library/security/ms16-095blank)。
  10. (※10)「マイクロソフト セキュリティ情報 MS16-104 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム(3183038)」(https://technet.microsoft.com/library/security/MS16-104blank)。
  11. (※11)「マイクロソフト セキュリティ情報 MS16-085 - 緊急 Microsoft Edge 用の累積的なセキュリティ更新プログラム(3169999)」(https://technet.microsoft.com/ja-jp/library/security/MS16-085blank)。
  12. (※12)「マイクロソフト セキュリティ情報 MS16-096 - 緊急 Microsoft Edge 用の累積的なセキュリティ更新プログラム(3177358)」(https://technet.microsoft.com/library/security/MS16-096blank)。
  13. (※13)「マイクロソフト セキュリティ情報 MS16-105 - 緊急 Microsoft Edge 用の累積的なセキュリティ更新プログラム(3183043)」(https://technet.microsoft.com/library/security/MS16-105blank)。
  14. (※14)「マイクロソフト セキュリティ情報 MS16-088 - 緊急 Microsoft Office 用のセキュリティ更新プログラム(3170008)」(https://technet.microsoft.com/ja-jp/library/security/MS16-088blank)。
  15. (※15)「マイクロソフト セキュリティ情報 MS16-099 - 緊急 Microsoft Office 用のセキュリティ更新プログラム(3177451)」(https://technet.microsoft.com/library/security/MS16-099blank)。
  16. (※16)「マイクロソフト セキュリティ情報 MS16-107 - 緊急 Microsoft Office 用のセキュリティ更新プログラム(3185852)」(https://technet.microsoft.com/library/security/MS16-107blank)。
  17. (※17)25th USENIX Security Symposium、"Off-Path TCP Exploits:Global Rate Limit Considered Dangerous"(https://www.usenix.org/conference/usenixsecurity16/technical-sessions/presentation/caoblank)。
  18. (※18)"Israeli Online Attack Service ‘vDOS’ Earned $600,000 in Two Years — Krebs on Security"(http://krebsonsecurity.com/2016/09/israeli-online-attack-service-vdos-earned-600000-in-two-years/blank)。
  19. (※19)"Alleged vDOS Proprietors Arrested in Israel — Krebs on Security"(http://krebsonsecurity.com/2016/09/alleged-vdos-proprietors-arrested-in-israel/blank)。
  20. (※20)"DDoS Mitigation Firm Has History of Hijacks — Krebs on Security"(http://krebsonsecurity.com/2016/09/ddos-mitigation-firm-has-history-of-hijacks/blank)。
  21. (※21)"KrebsOnSecurity Hit With Record DDoS — Krebs on Security"(https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/blank)。
  22. (※22)"Google | Project Shield | Free DDoS protection"(https://projectshield.withgoogle.com/public/blank)。
  23. (※23)例えば、FlashpointとLevel 3はBASHLITEボットネットについて8月末にブログで報告している。"Attack of Things! - Beyond Bandwidth"(http://blog.level3.com/security/attack-of-things/blank)。
  24. (※24)"Rio Olympics Take the Gold for 540gb/sec Sustained DDoS Attacks!"(https://www.arbornetworks.com/blog/asert/rio-olympics-take-gold-540gbsec-sustained-ddos-attacks/blank)。
  25. (※25)"OVH News - The DDoS that didn't break the camel's VAC"(https://www.ovh.com/us/news/articles/a2367.the-ddos-that-didnt-break-the-camels-vacblank)。
  26. (※26)NISC、「サイバーセキュリティ戦略本部第9回会合」(http://www.nisc.go.jp/conference/cs/index.html#cs09blank)。
  27. (※27)「第2回 観光庁・旅行業界情報共有会議」の概要について| 2016年 | トピックス| 報道・会見 | 観光庁」(http://www.mlit.go.jp/kankocho/topics06_000080.htmlblank)。
  28. (※28)"Equation:The Death Star of Malware Galaxy - Securelist"(https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/blank)。
  29. (※29)"IKEv1 Information Disclosure Vulnerability in Multiple Cisco Products"(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1blank)。
  30. (※30)"The NSA Leak Is Real, Snowden Documents Confirm"(https://theintercept.com/2016/08/19/the-nsa-was-hacked-snowden-documents-confirm/blank)。
1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る