ページの先頭です

ページ内移動用のリンクです
  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.28
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review(IIR)Vol.28
2015年8月31日RSS

目次

1.2 インシデントサマリ

ここでは、2015年4月から6月までの期間にIIJが取り扱ったインシデントと、その対応を示します。まず、この期間に取り扱ったインシデントの分布を図-1に示します。(※1)

Anonymousなどの活動

図-1 カテゴリ別比率(2015年4月~6月)

この期間においても、Anonymousに代表されるHacktivistによる攻撃活動は継続しています。様々な事件や主張に応じて、多数の国の企業や政府関連サイトに対するDDoS攻撃や情報漏えい事件が発生しました。

ISILもしくはその理念に共感していると考えられる個人や組織による、Webサイトの改ざんやSNSアカウントの乗っ取りなどが世界中で発生しています。4月にはフランスのTV局が大規模な攻撃を受け、番組放送が中断する事件が発生しました。 この攻撃では不正アクセスによる局内のシステムへの攻撃(※2)と同時にFacebookやTwitterなどのSNSアカウントの乗っ取りと不正な投稿も行われました。対抗してAnonymousによるISILに関連していると考えられるWebサイトやSNSアカウントなどのリストを公開し、停止や削除を促すなどの活動も継続して行われています(OpISIS)。更に、パレスチナ系のAnonymousとして以前から活動していたグループがISILを支持していたとして他のAnonymousから攻撃対象とされるなど、混乱した状況が続いています。

サウジアラビア政府が行ったイエメンへの空爆への抗議などから、サウジアラビア系の新聞社に対するDDoS攻撃や、複数の政府機関に対する不正侵入とそれによる機密情報の漏えいが発生しています(OpSaudi)。更に、イスラエル軍によるガザ空爆に反対し、イスラエルの複数の企業で不正アクセスによる個人情報やカード情報の漏えいが発生するなどの攻撃も継続しています(OpIsrael)。このように中東各国では、紛争や外交などの情勢に応じて、インターネット上でも攻撃が続いています。

カナダでは、情報当局の権限を大幅に拡大・強化し、プライバシーの問題が指摘されている対テロ法案が6月に可決成立したことから、複数の政府機関に対するDDoS攻撃や不正侵入によるWebサイトの改ざんや内部情報の漏えいなどの攻撃が発生しています(OpC51)。インドでもインターネットに対する規制を強化しようとする政府に対する抗議として、電気通信規制庁を含む複数の政府機関へのDDoS攻撃や不正アクセスによるアカウント情報の漏えいなどの被害が発生しています。日本では5月に、クジラやイルカなどの海洋動物の商業利用への抗議からAnonymousによると考えられる不正アクセスにより、日本動物園水族館協会(JAZA)から登録者の電子メールアドレスなどの登録情報の漏えいが発生していたことが報道されています(OpSeaWorld)。

またSyrian Electronic Armyを名乗る何者かによるアカウントの乗っ取りやWebサイトの改ざんも継続して発生しており、被害を受けた企業としては米国の新聞社であるWashingtonPost社や米国陸軍なども含まれていました。これ以外にも、イタリア、ブラジル、中国など世界各国の政府とその関連サイトに対して、AnonymousなどのHacktivist達による攻撃が継続して行われました。また、政府機関など著名なSNSアカウントの乗っ取り事件も継続して発生しています。

脆弱性とその対応

この期間中では、Microsoft社のWindows(※3)(※4)(※5)(※6)(※7)、Internet Explorer(※8)(※9)(※10)、Office(※11)などで修正が行われました。Adobe社のAdobe Flash Playerでも修正が行われました。Oracle社のJava SEでも四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。なお、Java 7については、今回の修正を持ってサポート終了の予定となっていることから、Java8への移行が推奨されています。これらの脆弱性のいくつかは修正が行われる前に悪用が確認されています。

サーバアプリケーションでは、データベースサーバとして利用されているOracleを含むOracle社の複数の製品で四半期ごとに行われてる更新が提供され、多くの脆弱性が修正されました。CMSとして利用されるWordPressについても、複数のバージョンで任意のコード実行が可能なXSSの脆弱性が見つかり、修正されています。また、WordPressについてはプラグインでもXSSの脆弱性が見つかり、修正されています(※12)。同じくCMSとして利用されるMovable Typeでも入力値のチェックが不十分なことからリモートでコード実行が可能な脆弱性が見つかり、修正されています(※13)

5月には米国のセキュリティ企業であるCrowdStrike社から、QEMUの仮想フロッピードライブコントローラにバッファオーバーフローの脆弱性(CVE-2015-3456)が発表され、修正されています。この脆弱性は、発見者によりVIRTUALIZED ENVIRONMENT NEGLECTED OPERATIONS MANIPULATION(VENOM)と名づけられましたが、クラウドサービスなどで利用されているXenやKVMなどの仮想化ソフトウェアにおいて、ゲスト側からホストへのDoS攻撃や任意のコード実行が可能だったことから影響範囲が広く話題となりました。

同じく5月には、TLSプロトコルのDH鍵交換に、中間者攻撃により暗号強度の低い暗号に格下げされることで、通信内容の盗聴や改ざんが可能となる脆弱性(CVE-2015-4000)が見つかり、修正されました。この脆弱性はLogjamと呼ばれ、多くのサーバやブラウザが影響を受ける可能性があることから、3月に公表されたSSL/TLSの実装における脆弱性であるFREAKと同様に話題となりました。

標的型攻撃によるマルウェア感染と情報漏えい

この期間では、組織内部の端末へのマルウェア感染とそれによる情報漏えいなどの事件が相次ぎました。6月には、日本年金機構でメールに添付されていたマルウェアに感染したことで、101万人分の個人情報が漏えいしました(※14)。この事件がきっかけとなって、その後、複数の企業や団体、病院や大学などで昨年9月より継続して同様の事件が起きていたことが分かり、公表されています。これらの事件では共通して、フリーメールなどを利用して発信元を詐称し、マルウェアが添付されたいわゆる標的型メールによって感染したとされており、感染した後に端末自身のファイルや共有サーバなどのファイルを外部に送信していたことなどが分かっています。

同じようにメールによるマルウェア感染としては複合機からのメールを装った事例も報告されています(※15)。また、これ以外 にも複数の地方公共団体で、組織内部の端末へのマルウェア感染とそれによる情報漏えいが発生しています。これらの事件では、改ざんされたWebサイトへのアクセスによるいわゆる水飲み場型攻撃により感染した可能性が指摘されています。

IPAから、5月にサイバー情報共有イニシアティブ(J-CSIP)(※16)の活動をまとめた、「サイバー情報共有イニシアティブ(J-CSIP)2014年度 活動レポート」が公表されましたが、この中では、31ヵ月にもわたり、同一の攻撃者によると考えられる攻撃が継続して観測されていることが報告されています。このように、新たな手口・手法の出現や、使われるマルウェアの高機能化などにより攻撃は多様化しており、アンチウイルスソフトの導入などといった単体の対策だけでは対応が困難な状況となっています。このような既存のセキュリティ対策で対処しきれない攻撃への対策については、例えば、IPAから2014年9月に公開された、「『高度標的型攻撃』対策に向けたシステム設計ガイド」(※17)などをにおいて検討されています。

不正アクセスなどによる情報漏えい

不正アクセスによる情報漏えいも引き続き発生しています。5月には米国の美容関連企業のWebサイトが不正アクセスを受け、クレジットカード情報などが漏えいする事件が発生しています。また、同じく米国の保険会社では、内部のデータベースへの不正アクセスを受け、110万人分の個人情報が漏えいする事件が発生しました。6月には、米国の内国歳入庁(IRS)から約10万人分の納税者に関する情報が漏えいする事件が発生しています。更に米国人事管理局が不正アクセスを受け、約400万人分の連邦政府職員の情報が漏えいする事件が発生しています。また、同じく6月には米国のパスワード管理サービスが不正アクセスを受け、認証情報の一部が漏えいした可能性があるとしてマスターパスワードの更新を呼びかける事件も発生しました。

日本でも、5月に、大手ISPが不正アクセスを受け、FTPアカウントなどが漏えいする事件が発生しています。4月には大学から内部資料がインターネット上に公開される事件も発生していますが、これはサーバ設定の不備により、公開されてしまったことが原因でした。6月には国立情報学研究所で利用していた動作検証用サーバへの不正アクセスが発生し、DDoS攻撃の踏み台として悪用される事件が発生していますが、こちらはパスワードを安易なものに設定したことによるものでした。株主向けサービスサイトから登録情報が漏えいした事件では、4月の公表時には、外部からの不正アクセスの可能性が疑われていましたが、5月に発表された最終報告では内部犯行だったことが公表されています。

政府機関の取り組み

政府機関のセキュリティ対策の動きとしては、5月にはサイバーセキュリティ戦略本部の第2回会合が行われ、サイバーセキュリティ施策の基本的な方針について定める、新たなサイバーセキュリティ戦略(案)について決定しています。この中では、2020年のオリンピック・パラリンピック東京大会の開催も踏まえ、今後3ヵ年程度のサイバーセキュリティ政策について、目的達成に向けた研究開発の推進や人材育成も含めた各施策の方向性が示されています。今後、パブリックコメントによる修正などを経て、閣議決定が行われる予定です。

4月には総務省のICTサービス安心・安全研究会の下で開催されている「個人情報・利用者情報等の取扱いに関するWG」で検討が進められていた、電気通信事業における個人情報保護に関するガイドライン及び解説の改正について、改正案がまとめられました。この改正案はパブリックコメントによる修正を経て6月に改正が行われました。主な改正内容としては、個人情報の適正な取得における具体例が追記されたり、通信履歴について、接続認証ログの保存期間などの目安が示されたり、犯罪捜査時の位置情報の取得について、要件の削除が行われるなどしています。

その他

4月には、国際刑事警察機構(ICPO)がシンガポールに設置したサイバー犯罪対策専門組織IGC(I INTERPOL Global Complex for Innovation)が本格稼働しています(※18)。これに先立ち、IGCIが統括し、各国の法執行機関や民間企業などが連携し、Simdaボットネットのテイクダウン作戦を実施しています。日本でも警視庁や総務省、Telecom-ISAC Japan、民間企業などが連携してVAWTRAKのテイクダウン作戦が実施されました。

5月には、オープンソースソフトウェアのライブラリサイトであるSourceForgeで、公開されていたソフトウェアインストーラに許可なくサードパーティー製のソフトをバンドルして配布したことが分かり、開発プロジェクトから抗議される(※19)と共に他の開発者やコミュニティから大規模な反発を受ける事態となりました。 SourceForgeでは否定的な反応が多かったとしてこの方針を撤回しています(※20)

また、5月から6月にかけて複数の金融機関やオンラインショップなどに対し、脅迫を伴ったDDoS攻撃が発生しています。これらの攻撃では、脅迫の際にビットコインによる支払いを要求しており、拒否した場合には数百GbpsのDDoS攻撃を行う用意があることをほのめかしていたとされています。DDoS攻撃とビットコインによる支払いという点で、昨年から同様の攻撃を行っているDD4BCを名乗るグループが関与していると見られ(※21)、ヨーロッパや香港などの金融機関への攻撃事例もあることから今後も注意が必要です。

6月には、2014年12月に発生した出版社のWebサイトが不正アクセスを受け、別のWebサイトに誘導される事件に関連しているとして、未成年の少年が逮捕されています。この少年については7月に他人のクレジットカードを不正利用したとして再逮捕されています。

IP電話などの電話サービスが第三者に不正に利用され、高額な国際電話料金を請求される事例が多くなっているとして、総務省から注意喚起が行われました。その後、セキュリティ企業から特定のベンダー製品で、パスワードが初期設定のまま運用されていたり、インターネットからのアクセスを許可していたことにより被害が多く発生しているとの指摘が行われましたが、ベンダーは否定しています。この問題については7月になって、総務省より、電気通信事業におけるサイバー攻撃への適正な対処のあり方に関する研究会での議論を踏まえ、不正利用による被害を未然に防止し、被害の拡大を防ぐために、電気通信事業者関係団体に対し、利用者との間で国際電話サービスを提供する契約を締結している電気通信事業者等が適切な対応を講じるよう周知することへの協力要請が行われています(※22)

SSL/TLSサーバでは、相次いで複数の脆弱性が明らかとなるなどしています。一方で最新の対策を行うことで古い機器からの接続ができなくなるなどの問題もあり、安全性と必要となる相互接続性とのトレードオフを考慮した設計や運用が求められています。これに答える形で、5月にIPAより、SSL/TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインである、「SSL/TLS暗号設定ガイドライン」が公表されています。

4月のインシデント

10月のインシデント

HTMLblank

5月のインシデント

11月のインシデント

HTMLblank

6月のインシデント

12月のインシデント

HTMLblank

  1. (※1)このレポートでは取り扱ったインシデントを、脆弱性、動静情報、歴史、セキュリティ事件、その他の5種類に分類している。
    脆弱性:インターネットや利用者の環境でよく利用されているネットワーク機器やサーバ機器、ソフトウェアなどの脆弱性への対応を示す。
    動静情報:要人による国際会議や、国際紛争に起因する攻撃など、国内外の情勢や国際的なイベントに関連するインシデントへの対応を示す。
    歴史:歴史上の記念日などで、過去に史実に関連して攻撃が発生した日における注意・警戒、インシデントの検知、対策などの作業を示す。
    セキュリティ事件:ワームなどのマルウェアの活性化や、特定サイトへのDDoS攻撃など、突発的に発生したインシデントとその対応を示す。
    その他:イベントによるトラフィック集中など、直接セキュリティに関わるものではないインシデントや、セキュリティ関係情報を示す。
  2. (※2)この攻撃についてはRATが使われた可能性が指摘されている。トレンドマイクロ社、「仏テレビ局へのサイバー攻撃、『Njw0rm』の改訂版「Kjw0rm」が関与か」(http://blog.trendmicro.co.jp/archives/11271blank)。
  3. (※3)「マイクロソフト セキュリティ情報 MS15-034 - 緊急 HTTP.sysの脆弱性により、リモートでコードが実行される(3042553)」(https://technet.microsoft.com/ja-jp/library/security/ms15-034.aspxblank)。
  4. (※4)「マイクロソフト セキュリティ情報 MS15-035 - 緊急 Microsoft Graphicsコンポーネントの脆弱性により、リモートでコードが実行される(3046306)」(https://technet.microsoft.com/ja-jp/library/security/ms15-035.aspxblank)。
  5. (※5)「マイクロソフト セキュリティ情報 MS15-044 - 緊急 Microsoft フォントドライバーの脆弱性により、リモートでコードが実行される(3057110)」(https://technet.microsoft.com/ja-jp/library/security/ms15-044.aspxblank)。
  6. (※6)「マイクロソフト セキュリティ情報 MS15-045 - 緊急 Windows Journalの脆弱性により、リモートでコードが実行される(3046002)」(https://technet.microsoft.com/ja-jp/library/security/ms15-045.aspxblank)。
  7. (※7)「マイクロソフト セキュリティ情報 MS15-057 - 緊急 Windows Media Playerの脆弱性により、リモートでコードが実行される(3033890)(https://technet.microsoft.com/ja-jp/library/security/ms15-057.aspxblank)。
  8. (※8)「マイクロソフト セキュリティ情報 MS15-009 - 緊急 Windows Telnet Internet Explorer 用のセキュリティ更新プログラム(3034682)」(https://technet.microsoft.com/ja-jp/library/security/ms15-032.aspxblank)。
  9. (※9)「マイクロソフト セキュリティ情報 MS15-043 - 緊急 Internet Explorer用の累積的なセキュリティ更新プログラム(3049563)(https://technet.microsoft.com/ja-jp/library/security/ms15-043.aspxblank)。
  10. (※10)「マイクロソフト セキュリティ情報 MS15-056 - 緊急 Internet Explorer用の累積的なセキュリティ更新プログラム(3058515)(https://technet.microsoft.com/ja-jp/library/security/ms15-056.aspxblank)。
  11. (※11)「マイクロソフト セキュリティ情報 MS15-033 - 緊急 Microsoft Officeの脆弱性により、リモートでコードが実行される(3048019)(https://technet.microsoft.com/ja-jp/library/security/ms15-033.aspxblank)。
  12. (※12)詳細については、次の米国のセキュリティ企業であるSucuri社のBlogに詳しい。"Security Advisory:Persistent XSS in WP-Super-Cache"(https://blog.sucuri.net/2015/04/security-advisory-persistent-xss-in-wp-super-cache.htmlblank)などを参照のこと。
  13. (※13)シックス・アパート株式会社、「[重要] 6.0.8、5.2.13 セキュリティアップデートの提供を開始」(http://www.sixapart.jp/movabletype/news/2015/04/15-1045.htmlblank)。
  14. (※14)日本年金機構、「日本年金機構の個人情報が流出したお客様へのお詫びについて(http://www.nenkin.go.jp/n/data/service/0000028648uArRENS1eQ.pdfPDF)。
  15. (※15)複合機からのメールを装ったメールについては昔から確認されているが、トレンドマイクロ社のセキュリティブログなどで6月に大幅に増加していることが報告されている。
    「複合機の通知を偽装したメールがマクロ型不正プログラムを頒布、日本でも被害」(http://blog.trendmicro.co.jp/archives/11776blank)。
  16. (※16)2011年に発足した重要インフラ企業などを中心とした参加組織間での情報共有と早期対応を行うための取り組み。「サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ))(https://www.ipa.go.jp/security/J-CSIP/blank)。
  17. (※17)IPA、「「『高度標的型攻撃』対策に向けたシステム設計ガイド」の公開」(https://www.ipa.go.jp/security/vuln/newattack.htmlblank)。
  18. (※18)"International gathering marks inauguration of INTERPOL Global Complex for Innovation"(http://www.interpol.int/News-and-media/News/2015/N2015-039blank)。
  19. (※19)GIMP PROJECT、"GIMP PROJECT'S OFFICIAL STATEMENT ON SOURCEFORGE'S ACTIONS"(http://www.gimp.org/blank)。
  20. (※20)SourceForge Community Blog、"Third party offers will be presented with Opt-In projects only"(http://sourceforge.net/blog/third-party-offers-will-be-presented-with-opt-in-projects-only/blank)。
  21. (※21)DD4BCについては、例えば次のArbor Networks社のレポートを参照のこと。"DD4BC DDoS Extortion Threat Activity"(https://asert.arbornetworks.com/dd4bc-ddos-extortion-threat-activity/blank)。
  22. (※22)総務省、「第三者によるIP電話等の不正利用への対策について(要請)」(http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000096.htmlblank)。
1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る