ページの先頭です

ページ内移動用のリンクです
  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.29
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review(IIR)Vol.29
2015年11月25日RSS

目次

1.2 インシデントサマリ

ここでは、2015年7月から9月までの期間にIIJが取り扱ったインシデントと、その対応を示します。まず、この期間に取り扱ったインシデントの分布を図-1に示します(※1)

Anonymousなどの活動

図-1 カテゴリ別比率(2015年7月~9月)

この期間においても、Anonymousに代表されるHacktivistによる攻撃活動は継続しています。様々な事件や主張に応じて、多数の国の企業や政府関連サイトに対するDDoS攻撃や情報漏えい事件が発生しました。

この期間でも継続して、ISILもしくはその理念に共感していると考えられる個人や組織による、Webサイトの改ざんやSNSアカウントの乗っ取りなどが世界中で発生しています。7月にはシリアの人権監視団体のWebサイトやヨルダンを支援しているとしてジョージアのNATO関連サイトが改ざんされたり、マレーシア警察のFacebookやTwitterなどのSNSアカウントの乗っ取りなどが発生しました。これ以外にも紛争や外交などの情勢や混乱に応じて、インターネット上でも攻撃が発生しています。

政府によるインターネットや通信などの規制に対する抗議としてもいくつか攻撃が発生しています。カナダでは、6月に成立した対テロ法案への抗議から、地方機関を含むいくつかの政府機関に対するDDoS攻撃や不正侵入による内部情報の漏えいなどの攻撃が発生しています(OpC51)。インドではインターネットの規制強化を進めている政府に対する抗議として、インド政府が出資している通信事業者への不正アクセスが行われ、3000万人以上のアカウント情報が漏えいするなどの被害が発生しています(OpIndia)。ベトナムでは、国が実施しているオンライン検閲に対する抗議として、政府機関のWebサイトの改ざんが行われています。フィリピンでも同様に電子通信委員会のWebサイトが改ざんされています。タイでも、国による通信の検閲強化への抗議から複数の政府関連Webサイトに対してDDoS攻撃が発生しています。

日本では9月に、イルカや小型クジラの追い込み漁への抗議活動から、Anonymousによると考えられるDDoS攻撃によって、和歌山県太地町のWebサイトが一時閲覧できなくなるなどの被害が発生しています(OpKillingBay)。このオペレーションでの攻撃は10月になっても継続しており、関係する組織や政府機関、空港や報道機関といったWebサイトに対し攻撃が行われました。更に本稿執筆時点では抗議活動との関連が不明な組織にも攻撃が拡がっていることから注意が必要です。

カナダで水力発電のためのダム建設に伴う抗議活動を行っていたAnonymousのメンバーが現地で射殺された報復として、カナダ連邦警察(RCMP)へのDDoS攻撃や、カナダ安全情報局(CSIS)に侵入して内部の極秘文書を報道機関に送付するなどの活動が行われています。米国では、TPP(環太平洋戦略的経済連携協定)交渉への抗議から、米国勢調査局(United States Census Bureau)が不正アクセスを受け、約4,200名分の雇用者の個人情報が漏えいする事件が発生しています。

これ以外にも、世界中の各国政府とその関連サイトに対して、AnonymousなどのHacktivist達による攻撃が継続して行われました。

脆弱性とその対応

この期間中では、7月に、Microsoft社のWindows 10が公開されたことから、Windows 10で新たに採用されたブラウザのEdge(※2)(※3)で修正が行われたのをはじめとして、Windows(※4)(※5)(※6)(※7)(※8)(※9)(※10)、Internet Explorer(※11)(※12)(※13)、Office(※14)(※15)(※16)などで修正が行われました。Adobe社のAdobe Flash Player、Shockwave Player、Adobe Acrobat及びReaderでも修正が行われています。Oracle社のJava SEでも四半期ごとの更新が行われ、多くの脆弱性が修正されました。Apple社のOS Xについても多数の脆弱性の修正が行われてます。これらの脆弱性のいくつかは修正が行われる前に悪用が確認されています。

サーバアプリケーションでは、データベースサーバとして利用されているOracleを含むOracle社の複数の製品で四半期ごとに行われてる更新が提供され、多くの脆弱性が修正されました。DNSサーバのBINDでも、細工されたクエリを受信することで外部からのDoS攻撃可能な脆弱性が見つかり、修正されています。WebアプリケーションフレームワークのApache Struts2では、特定の条件を満たした場合に任意のコード実行やXSS可能な脆弱性が複数見つかり、修正されています(※17)。CMSとして利用されるWordPressについても、複数のバージョンでXSSの脆弱性などサイトへの不正侵入の可能性のある複数の脆弱性が見つかり、修正されています。

7月にはFiat Chrysler Automobiles(FCA)の車内システム「Uconnect」に、リモートで自動車の制御を奪われ、ブレーキやステアリング操作など任意の操作が第三者によって行われる可能性のある脆弱性(※18)が公表されています。また、Android端末に、遠隔の攻撃者によって、任意のファイルアクセスや、デバイス上でコードを実行可能な複数の脆弱性が見つかり修正されています。これらの脆弱性については概要のみ公開されていましたが、8月にラスベガスで開催された世界最大のセキュリティカンファレンスであるBlack Hat USA 2015で、発見者からそれぞれ詳細が発表されています。

不正アクセスなどによる情報漏えい

不正アクセスとそれによる情報漏えいも引き続き発生しています。7月には米国の医療機関UCLA Healthが、氏名や病歴などを含む個人情報が記録されているコンピューターネットワークに不正アクセスを受け、およそ450万人の個人情報が流出した可能性があることを発表しています(※19)。9月には米国の医療保険会社が不正アクセスを受け、同じく氏名や社会保障番号などを含む個人データ約1,050万件が漏えいした可能性のある事件が発生しています。6月に発生した、米国人事管理局(OPM)が不正アクセスを受け、約400万人分の連邦政府職員の情報が漏えいした事件では、その後の調査により、連邦職員や請負業者などの情報、2,150万人分が漏えいしていたことや、最大で560万人分の登録されていた指紋データが漏えいした可能性があることなどが公表されています(※20)

日本でも、7月に教育関連会社のWebサイトが不正アクセスを受け、最大22,108人分の情報が流出した可能性のある事件が発生しています。同じく7月には旅行関連会社のWebサイトが不正アクセスを受け、会員登録されたメールアドレスとパスワード、約8,400件が流出した可能性のある事件が発生しました。これ以外にも、玩具会社のWebサイトからオンラインショップに登録されていた個人情報など約10万件が漏えいする事件が発生したり、食品会社やギフト会社など、事業分野や規模を問わず、SQLインジェクションなどのアプリケーションの脆弱性を悪用したWebサイトへの不正アクセスとそれによる個人情報の流出事件が多く発生しました。

国内の企業・組織のWebサイトに対しては、このような不正アクセスによる情報漏えいだけでなく、不正アクセスによるWebサイト改ざんによるマルウェアのへの誘導や、標的型攻撃のC&Cサーバとして悪用されたりする事例が6月以降確認されているとして、IPAとJPCERT/CCから、Webサイトの管理者向けに確認すべき項目や点検の頻度など、運用上留意すべき点について具体的に示した注意喚起が行われています(※21)

標的型攻撃によるマルウェア感染と情報漏えい

この期間でも、組織内部の端末へのマルウェア感染とそれによる情報漏えいなどの事件が相次ぎました。7月には、大学で業務用PCがメールに添付されていたマルウェアに感染したことで、学生の個人情報など36,300件の情報が漏えいした可能性のあることが公表されました。8月には、鉄道会社で、顧客を装った標的型メールによるマルウェア感染が発生し、内部の複数の業務PCがマルウェアに感染していたことが公表されています。6月に発生した日本年金機構の個人情報流出事件については、8月に複数の組織から検証報告書が公表され、事件対応についての検証と今後の再発防止に向けた情報セキュリティ対策の強化について、それぞれの立場から総括が行われました。

動静や歴史的背景による攻撃

この期間では毎年、太平洋戦争の歴史的日付や、竹島や尖閣諸島などに関連したインシデントが発生しています。本年もこれらに関連した日本国内の複数の政府機関や民間企業のWebサイトに対し、SQLインジェクションや不正アクセスによるWebサイトの改ざんやDDoS攻撃が発生することが予測されたため、警戒を行いました。DDoS攻撃については、平常時よりも若干多く見られましたが、大規模な攻撃については確認されておらず、攻撃の規模や回数は過去の同期間に比べると減少しています。

政府機関の取り組み

政府機関のセキュリティ対策の動きとしては、サイバーセキュリティ施策の基本的な方針について定める、新たなサイバーセキュリティ戦略が閣議決定しています。この中では、2020年東京オリンピック・パラリンピックを踏まえた今後3年程度の基本的な施策の方向性を示しており、6月に発生した日本年金機構の個人情報流出事件を踏まえ、政府機関全体としてサイバーセキュリティを強化するため、内閣サイバーセキュリティセンター(NISC)の機能強化と共に、監視対象に独立行政法人や府省庁と一体となり公的業務を行う特殊法人などを含むことで、対策の総合的な強化を図ることが新たに掲げられました。また、サイバーセキュリティ戦略の決定を受け、これにに基づく最初の年次計画となるサイバーセキュリティ2015がサイバーセキュリティ戦略本部で決定しています(※22)

6月に日本年金機構で発生した個人情報流出事件については、8月にNISCと厚生労働省から検証報告書がそれぞれ公表されています。これを受け、サイバーセキュリティ戦略本部から厚生労働大臣に対して、サイバーセキュリティ基本法第27条第3項に基づき、年金機構への監督強化や厚生労働省の担当部署の役割や責任の明確化、インシデント発生時の緊急体制の整備などの勧告が行われました。

9月には、「行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)」と「個人情報保護法」の改正がそれぞれ衆議院で可決成立しています。マイナンバー法では、マイナンバーの金融・医療などの分野における利用範囲の拡充が行われました。マイナンバー法については10月に施行されましたが、平成28年1月から開始される個人番号カードの交付など本格運用に向け、特定個人情報の漏えい事案などが発生した場合の対応について(※23)などのガイドラインが特定個人情報保護委員会から公表されています(※23)。個人情報保護法では、個人情報の定義の明確化や個人情報の復元ができないように加工した匿名加工情報の取り扱いについての規律を定めることや、個人情報の取り扱いの監視監督権限を有する第三者機関として個人情報保護委員会を新設することなどが定められました(※23)

同じく9月には、総務省の「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」より、第二次取りまとめが策定されています。今回の取りまとめでは、マルウェア感染端末の利用者に対する注意喚起の実施や、C&Cサーバなどとの通信遮断などについて整理が行われました。これを受け、研究会の検討結果を通信事業の実務上の状況に適用させるためのガイドライン(※24)の改訂が、インターネットの安定的運用に関する協議会などの場で進められることになります。

その他

7月には、イタリアのセキュリティ企業Hacking Teamが攻撃を受け、400GBもの内部資料が漏えいする事件が発生しています。また、この企業の公式Twitterアカウントも乗っ取りを受け、盗みだされた資料が発信されるなどしています。この企業は各国政府や法執行機関向けに、PCやスマートフォンなどを対象とした監視ツールを販売していました。盗まれた情報はBitTorrentでも公開され、同社の顧客リストや電子メールの内容なども含まれていたことから、アジア、欧州、北米、南米、アフリカなど世界各国の多数の国家や情報機関が顧客だったことが明らかになっています。更に、漏えいした内部資料から、Adobe社のAdobe Flash PlayerやMicrosoft社のWindows(※25)などの複数の未修正の脆弱性が見つかったことから、これらの脆弱性の修正が実施されるなど、対応が行われています。

内閣府の関連サイトでは、サポートの問い合わせ対応用メールアドレスが何者かに乗っとられ、外部に約2万件のSPAMメールを不正送信する事件が発生しています。この事件では、短く推測されやすいパスワードを委託事業者が使用していた可能性が指摘されています。

9月には、Mandiant社とFireEye社が、改ざんされたファームウェアをインストールされたCisco社製のルータ製品を発見したことを発表しています(※26)。これは脆弱性によるものではなく、認証設定がデフォルトのままのルータなど、不適切な管理が行われている機器にマルウェアがインストールされていたものと考えられます。この攻撃については8月にCisco社から注意喚起が行われていましたが、その後に発表されたミシガン大学など学術機関の研究グループによる調査では、19ヵ国で79件発見されるなど(※27)、感染が拡がっています。

同じく9月には、GoogleドメインのEV-SSL証明書が不正に発行される事件が発生しましたが、これは、発行者が誤って内部テスト用に発行した証明書だったとされています。Google社はこの証明書を失効情報に登録し無効化を行っています(※28)

7月のインシデント

7月のインシデント

HTMLblank

8月のインシデント

8月のインシデント

HTMLblank

9月のインシデント

9月のインシデント

HTMLblank

  1. (※1)このレポートでは取り扱ったインシデントを、脆弱性、動静情報、歴史、セキュリティ事件、その他の5種類に分類している。
    脆弱性:インターネットや利用者の環境でよく利用されているネットワーク機器やサーバ機器、ソフトウェアなどの脆弱性への対応を示す。
    動静情報:要人による国際会議や、国際紛争に起因する攻撃など、国内外の情勢や国際的なイベントに関連するインシデントへの対応を示す。
    歴史:歴史上の記念日などで、過去に史実に関連して攻撃が発生した日における注意・警戒、インシデントの検知、対策などの作業を示す。
    セキュリティ事件:ワームなどのマルウェアの活性化や、特定サイトへのDDoS攻撃など、突発的に発生したインシデントとその対応を示す。
    その他:イベントによるトラフィック集中など、直接セキュリティに関わるものではないインシデントや、セキュリティ関係情報を示す。
  2. (※2)「マイクロソフト セキュリティ情報 MS15-091 - 緊急 Microsoft Edge用の累積的なセキュリティ更新プログラム(3084525)」(https://technet.microsoft.com/ja-jp/library/security/ms15-091.aspxblank)。
  3. (※3)「マイクロソフト セキュリティ情報 MS15-095 - 緊急 Microsoft Edge 用の累積的なセキュリティ更新プログラム(3089665)」(https://technet.microsoft.com/ja-jp/library/security/ms15-095.aspxblank)。
  4. (※4)「マイクロソフト セキュリティ情報 MS15-066 - 緊急 VBScript スクリプト エンジンの脆弱性により、リモートでコードが実行される(3072604)」(https://technet.microsoft.com/ja-jp/library/security/ms15-066.aspxblank)。
  5. (※5)「マイクロソフト セキュリティ情報 MS15-067 - 緊急 RDPの脆弱性により、リモートでコードが実行される(3073094)」(https://technet.microsoft.com/ja-jp/library/security/ms15-067.aspxblank)。
  6. (※6)「マイクロソフト セキュリティ情報 MS15-068 - 緊急 Windows Hyper-Vの脆弱性により、リモートでコードが実行される(3072000)(https://technet.microsoft.com/ja-jp/library/security/ms15-068.aspxblank)。
  7. (※7)「マイクロソフト セキュリティ情報 MS15-077 - 重要 ATM フォント ドライバーの脆弱性により、特権が昇格される(3077657)」(https://technet.microsoft.com/ja-jp/library/security/ms15-077.aspxblank)。
  8. (※8)「マイクロソフト セキュリティ情報 MS15-080 - 緊急 Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される(3078662)」(https://technet.microsoft.com/ja-jp/library/security/ms15-080.aspxblank)。
  9. (※9)「マイクロソフト セキュリティ情報 MS15-097 - 緊急 Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される(3089656)」(https://technet.microsoft.com/ja-jp/library/security/ms15-097.aspxblank)。
  10. (※10)「マイクロソフト セキュリティ情報 MS15-098 - 緊急 Windows Journal の脆弱性により、リモートでコードが実行される(3089669)(https://technet.microsoft.com/ja-jp/library/security/ms15-098.aspxblank)。
  11. (※11)「マイクロソフト セキュリティ情報 MS15-065 – 緊急 Internet Explorer用のセキュリティ更新プログラム(3076321)(https://technet.microsoft.com/ja-jp/library/security/ms15-065.aspxblank)。
  12. (※12)「マイクロソフト セキュリティ情報 MS15-079 - 緊急 Internet Explorer用の累積的なセキュリティ更新プログラム(3082442)(https://technet.microsoft.com/ja-jp/library/security/ms15-079.aspxblank)。
  13. (※13)「マイクロソフト セキュリティ情報 MS15-094 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム(3089548)」(https://technet.microsoft.com/ja-jp/library/security/ms15-094.aspxblank)。
  14. (※14)「マイクロソフト セキュリティ情報 MS15-070 – 重要 Microsoft Office の脆弱性により、リモートでコードが実行される(3072620)」(https://technet.microsoft.com/ja-jp/library/security/ms15-070.aspxblank)。
  15. (※15)「マイクロソフト セキュリティ情報 MS15-081 - 緊急 Microsoft Office の脆弱性により、リモートでコードが実行される(3080790)」(https://technet.microsoft.com/ja-jp/library/security/ms15-081.aspxblank)。
  16. (※16)「マイクロソフト セキュリティ情報 MS15-099 - 緊急 Microsoft Office の脆弱性により、リモートでコードが実行される(3089664)」(https://technet.microsoft.com/ja-jp/library/security/ms15-099.aspxblank)。
  17. (※17)The Apache Software Foundation、"Apache Struts 2 Documentation S2-025 Cross-Site Scripting Vulnerability in Debug Mode and in exposed JSP files"(https://struts.apache.org/docs/s2-025.htmlblank)。
  18. (※18)詳細については、次の脆弱性の発表者が公開したホワイトペーパーを参照のこと。"Remote Exploitation of an Unaltered Passenger V ehicle"(http://illmatics.com/Remote%20Car%20Hacking.pdfPDF)。
  19. (※19)UCLA Health、"UCLA Health Victim of a Criminal Cyber Attack"(https://www.uclahealth.org/news/ucla-health-victim-of-a-criminal-cyber-attackblank)。
  20. (※20)"Statement by OPM Press Secretary Sam Schumach on Background In vestigations Incident"(https://www.opm.gov/news/releases/2015/09/cyber-statement-923/blank)。
  21. (※21)IPA・JPCERT/CC、「注意喚起『ウェブサイトへのサイバー攻撃に備えた定期的な点検を』」(http://www.jpcert.or.jp/pr/2015/pr150003.htmlblank)。
  22. (※22)内閣サイバーセキュリティセンター(NISC)、「サイバーセキュリティ戦略本部 5回会合(持ち回り開催)(平成27年9月25日)」(http://www.nisc.go.jp/conference/cs/index.html#cs05blank)。
  23. (※23)マイナンバー制度に対する法令やガイドラインについては、次の特定個人情報保護委員会のWebサイト(http://www.ppc.go.jp/blank)なども参照のこと。
  24. (※24)「電気通信事業者における大量通信等への対処と通信の秘密に関するガイドライン(第3版)」(http://www.soumu.go.jp/main_content/000362139.pdfPDF)。
  25. (※25)「マイクロソフト セキュリティ情報 MS15-078 - 緊急 Microsoft フォント ドライバーの脆弱性により、リモートでコードが実行される(3079904)」(https://technet.microsoft.com/ja-jp/library/security/ms15-078.aspxblank)。
  26. (※26)この攻撃についての詳細は、次のFireEye社のBlogなどを参照のこと。"SYNful Knock - A Cisco router implant - Part I"(https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.htmlblank)、"SYNful Knock - A Cisco router implant - Part II"(https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis0.htmlblank)。
  27. (※27)ZMap、"In Search of S YNful Routers"(https://zmap.io/synful/blank)。
  28. (※28)Google Online Security Blog、"Improved Digital Certificate Security"(https://googleonlinesecurity.blogspot.jp/2015/09/improved-digital-certificate-security.htmlblank)。
1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る