ページの先頭です
ここでは、2014年4月から6月までの期間にIIJが取り扱ったインシデントと、その対応を示します。まず、この期間に取り扱ったインシデントの分布を図-1に示します(※1)。
この期間においても、Anonymousに代表されるHacktivistによる攻撃活動は継続しています。様々な事件や主張に応じて、多数の国の企業や政府関連サイトに対するDDoS攻撃や情報漏えい事件が発生しました。4月にはイスラエルの複数の政府関連サイトに対し、Web改ざんや情報漏えいの被害が発生しています(OpIsrael)。同じく4月にはインドとパキスタンの間でも相互に攻撃が行われています。5月にはフィリピンと中国の間で発生している領土問題に関連して、Web改ざんやDDoS攻撃などが発生しており、特に中国政府やその関連機関に対する攻撃は現在も継続しています(OpChina)。同様に、中国とベトナムとの間でもWeb改ざんや情報漏えい、DDoS攻撃などが相互で発生しています。6月にはブラジルで開催されたサッカーのFIFAワールドカップに関連してブラジルの政府機関やTV局など複数のWebサイトに対する攻撃が発生しています。ワールドカップ関連では、そのスポンサー企業などに対する攻撃なども計画されましたが、あまり大規模な攻撃とはなりませんでした。これ以外にも世界中の各国政府とその関連サイトに対して、AnonymousなどのHacktivistによる攻撃が継続して行われました。また、Syrian Electronic Armyを名乗る何者かによるSNSアカウントの乗っ取りやWebサイト改ざんも継続して発生しており、被害を受けた企業にはThe Wall Street JournalやReutersなどの報道機関のアカウントも含まれていました。
この期間中では、Microsoft社のWindows(※2)、Internet Explorer(※3) (※4) (※5) (※6)、Office(※7) (※8) (※9)などで修正が行われました。また、Adobe社のAdobe Flash Player、Adobe Reader及びAcrobatでも修正が行われました。Oracle社のJava SEでも四半期ごとに行われている更新が行われ、多くの脆弱性が修正されました。これらの脆弱性のいくつかは修正が行われる前に悪用が確認されています。
サーバアプリケーションでは、データベースサーバとして利用されているOracleを含むOracle社の複数の製品で四半期ごとに行われてる更新が提供され、多くの脆弱性が修正されました。また、DNSサーバのBINDでは、特別に作成されたDNSリクエストにより、namedが異常終了する脆弱性が見つかり、修正されました。
暗号処理ライブラリのOpenSSLについても、秘密鍵などの機微なデータが漏えいする可能性がある脆弱性や、MITM攻撃が可能な脆弱性が見つかり(※10)、修正されました。特に、前者の脆弱性についてはHeartbleedと呼ばれ、IPAなど複数の機関から注意喚起が行われています。また、実際にこの不具合を悪用した攻撃が複数発生しました。詳細については「1.4.1 OpenSSLの脆弱性」も併せてご参照ください。OpenSSLについては以前から深刻な脆弱性がいくつか発見されていますが、このような広く利用されているライブラリでは、脆弱性が見つかったときの影響が広範囲に及びます。そのため、OpenSSLのような重要度の高いオープンソースプロジェクトを支援するCore Infrastructure Initiative(※11)が設立されたり、OpenSSLを元に、よりセキュアな実装を目指したLibreSSLプロジェクト(※12)が立ち上がるなど、複数の問題解決に向けた活動が行われています。
WebアプリケーションフレームワークのApache Strutsでも、3月に修正されたClassLoaderが操作可能な脆弱性について、修正が不十分だったことから再度修正が行われました。この脆弱性については、既に2013年にサポートが終了しているApache Struts1についても影響があることが判明したことから、複数のWebサイトで一時的にサービスを停止して修正を行うなどの対応が行われました。更に、実際に脆弱性を悪用した攻撃が複数確認されています(※13)。
この期間でも、昨年から多数発生しているユーザのIDとパスワードを狙った試みと、取得したIDとパスワードのリストを使用したと考えられる、不正ログインによるなりすましの試みが継続しています。携帯電話のユーザサポートサイト、インターネット通販サイト、ゲームサイト、SNSなど様々なサイトでIDとパスワードの組み合わせリストを利用したと考えられる、不正なログインの試みが行われる事件が多く発生しています。このうちのいくつかの事件では、サイト上のポイントを他サービスのギフトポイントに不正に交換されるなどの被害も発生しています。また、メッセージングアプリのアカウントが不正利用された事件では、乗っ取ったアカウントから友人になりすまして、メッセージを送信し、電子マネーの購入を持ちかけるなどの手法が取られるケースが確認されています。このように、IDとパスワードの組み合わせリストを利用したと考えられる不正アクセスは継続しており、自分が利用しているIDとパスワードの管理について見直すことや、最新の手口を知っておくなどの注意が、引き続き必要な状況です。
この期間では、Webサイトの改ざんにより、不正なソフトウェアへ誘導される事件が多く発生しました。5月には、CDNサービスのサーバに不正侵入されたことによって、複数の企業サイトが改ざんされました。この事件では、別のサイトに誘導されて不正なソフトウェアのインストールが行われただけでなく、サービスを利用していた企業が置いていたアップデートファイルなどの正規のコンテンツが改ざんされ、マルウェアを含んだファイルを利用者にインストールさせようとしていたことも判明しています。同様の事例としては、産業用制御システムの正規ソフトウェアの配布元を改ざんしてマルウェアに感染させる事例(※14)が報告されています。また、6月には広告配信サービスからAdobe Flash Playerダウンロードサイトを騙る悪意あるWebサイトへ誘導し、不正なプログラムのダウンロードを促す事件も発生しています(※15)。これは、問題となった広告配信サービスが米国の別の広告配信サービスから日本国内向けの配信を受けた際に、特定の悪意ある広告が混入したことによるものでした。このような、正規ソフトウェアの信頼性を悪用したマルウェアの感染活動は今後も継続すると考えられます。
仮想通貨であるBitcoinについても、その取引が拡がるにつれて、様々な事件が発生しています。この期間では、2月に破綻したBitcoin取引所の1つであるMt.Goxが民事再生手続きを断念したため、東京地方裁判所から保全管理命令を受けています。また、この事件などを受け、消費者庁からBitcoinなどインターネット上の仮想通貨の取引や利用について、注意喚起が行われています(※16)。米国でも米証券取引委員会から、Bitcoinを含む仮想通貨について、盗難や投資詐欺についての注意喚起が行われました(※17)。一方で、米連邦選挙委員会からは選挙の際にBitcoinによる寄付について、認める見解を出すなど、Bitcoinの取り扱いに関する議論などが各国で活発に行われています。また、引き続き仮想通貨の交換所や口座管理サービスに対する攻撃も相次いでおり、これらのWebサイトへのDDoS攻撃や、不正侵入により仮想通貨そのものが盗まれる事件など、多く発生しています。
この期間では大規模なDDoS攻撃がいくつか発生しています。5月にはUltraDNSに対し、DDoS攻撃が発生しました(※18)。攻撃の規模は100Gbpsとされており、これによってsalesforceなど複数企業のサービスが影響を受けました。また、6月にはEvernoteやFeedlyといったサービスがDDoS攻撃を受け、一部では金銭を要求される事件も発生しています(※19)。香港でも、民主化活動をする団体の投票システムサイトに対し、最大で300Gbpsとなる大規模なDDoS攻撃が確認されています。日本でも、5月に複数のISPでDNSクエリが急増したことにより、いくつかのISPで障害が発生しています。6月にはオンラインゲームのWebサーバやゲームサーバに対する大規模なDDoS攻撃が発生し、サービスが数日にわたり停止するなどの被害が発生しています(※20)。
政府機関のセキュリティ対策の動きとしては、4月に総務省より、「クラウドサービス提供における情報セキュリティ対策ガイドライン」が公表されました。これまでは、2008年にまとめられた「ASP・SaaSにおける情報セキュリティ対策ガイドライン」(※21)にて、クラウド事業者が行うべき情報セキュリティ対策が示されていましたが、PaaSやIaaSなど、インフラ領域のクラウドサービスとASP・SaaSなどのアプリケーションを提供するクラウドサービスが連携するなど、複数のクラウドサービスや事業者にまたがった利用の広がりを受け、クラウド事業者に向けた、利用者との取り決めや、事業者間連携における実務のポイントについてまとめられています。
6月には、改正児童買春・ポルノ禁止法が可決、成立しています。この改正では、個人が児童ポルノの写真や映像を持つ単純所持の禁止やインターネットの利用に係る事業者の努力規定が新設されるなどしています。
同じく6月には、政府のサイバー攻撃対応の向上を目的とした、サイバーセキュリティ基本法案が衆議院で可決されました。この中では、国や自治体が主体となってサイバー攻撃への対応ができるように、官房長官を本部長とする「サイバーセキュリティ戦略本部」を設置することや、政府機関に対策実施を勧告することができるなど、政府の対応能力の向上や機能強化だけでなく、民間の重要インフラ事業者が対策に協力することなど、官民が連携してサイバー攻撃への対応能力の強化に向けた取り組みを進めることなどが示されています。この法案についてはその後、参議院で審議となりましたが、今国会中に成立することができなかったことから、継続審議となっています。
また、パーソナルデータの利活用促進への課題の解決に向けた法的措置についての議論が、政府の「パーソナルデータに関する検討会」で進められていましたが、一定の規律の下で、原則として本人の同意が求められる第三者提供などを本人の同意がなくても行うことを可能とする枠組みの導入、基本的な制度の枠組みとこれを補完する民間の自主的な取り組みの活用、第三者機関の体制整備などによる実効性ある制度執行の確保などを示した、「パーソナルデータの利活用に関する制度改正大綱」が公表されています。
経済産業省からは、「ソフトウエア等脆弱性関連情報取扱基準」の改正が公表されています。長期間にわたって製品開発者と連絡がとれないなど、製品開発者との間で公表の合意が得られない場合には、有識者による第三者委員会を設置して脆弱性情報の公表の可否を審議し、その意見を踏まえて判定することが定められています。
この期間ではオンラインバンキングの情報を狙ったフィッシングやマルウェアによる攻撃が話題となりました。4月には地方銀行に対し、リストを利用したと考えられる不正ログインが発生しています。フィッシングについても、複数の金融機関を対象とした、フィッシングサイトやフィッシングメールが確認されています(※22)。また、日本の金融機関をターゲットとしたマルウェアが確認される(※23)など、その手口も巧妙化しています。マルウェアによる攻撃の詳細については「1.4.2 国内金融機関の認証情報などを窃取するマルウェア『vawtrak』」も併せてご参照ください。更に、4月には、約1万3千件のネットバンキングのIDやパスワードを含む口座情報が国内のサーバに不正に保管されていたとの報道がありました。この事件で確認された情報については、ネットバンキングの利用時に偽のサイトを表示させるウイルスに感染したことで盗まれたとされています。このように、日本のユーザを対象として、金銭目的でクレジットカードやオンラインバンキングなどの認証情報を狙った攻撃は継続しており、その手口も巧妙化していることから、引き続き注意が必要です。
4月にはJPRSより、カミンスキー型攻撃手法(※24)によるものと考えられるキャッシュDNSサーバへのアクセスが増加しているとして、注意喚起が行われました(※25)。また、現在新たなgTLDが次々と承認されています。これに伴い、これまで企業などの内部ネットワークで利用していたドメイン名が、新しく追加されたドメイン名と衝突することで発生する可能性のある、情報漏えいやサービスが利用できないなどの事象について、JPNICより注意喚起が行われています(※26)。
4月には韓国の金融監督院が、複数のクレジットカード事業者の約20万人のクレジットカード情報が流出したことを公表しました。これは、2013年12月に発生したPOS端末管理業者のサーバが侵害された事件の捜査に関連して明らかになったとしています。POS端末などの業務システムに対する事件としては、昨年11月に米国の大手小売業者で発生した情報漏えい事件があります。米国の事件ではPOS端末を対象としたマルウェアが利用されたことから、1月にUS-CERTから注意喚起が行われています(※27)。更に、この事件を受け、5月には複数の小売業者が中心となって、セキュリティ情報の共有・分析を行う組織としてRetail Cyber Intelligence Sharing Center(R-CISC)が発足しています(※28)。POSマルウェアについては、日本でも感染した事例があるとの報道もあることから、今後もこのような業務システムに対する攻撃については注意が必要です。一昨年話題となった、遠隔操作ウイルスに関連する一連の事件で逮捕され、威力業務妨害罪などに問われた容疑者については、5月になって、公判中に真犯人と名乗る何者かからのメールが送信された事件に関連していたとして保釈が取り消される事態となり、その後、本人が犯人であることを自白しています。
5月には、オーストラリアなどを中心にiPhone、iPadなどApple社製の端末がロックされ、身代金が要求される事件が複数発生しました。これは紛失時などに使う管理サービスのアカウントが何者かに不正に利用されたとされています。
同じく5月には、欧州司法裁判所にて、Google Spain及びGoogle Inc.に対し、ユーザからの申告があった場合、検索結果から個人情報を含むサイトへのリンクを削除する責任が生じるとの裁定が行われました(※29)。欧州では、個人情報を含むデータの取り扱いについて、個人情報の管理者はその情報の主体である個人の請求があった場合には当該データの削除を義務づけること(いわゆる忘れられる権利)などが、EUデータ保護規則案として議論が進められていることから(※30)、今後も、個人情報保護の強化に向けた様々な動きがあると考えられます。
ページの終わりです