ページの先頭です

ページ内移動用のリンクです
  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.30
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review(IIR)Vol.30
2016年2月29日RSS

目次

1.2 インシデントサマリ

ここでは、2015年10月から12月までの期間にIIJが取り扱ったインシデントと、その対応を示します。まず、この期間に取り扱ったインシデントの分布を図-1に示します(※1)

Anonymousなどの活動

図-1 カテゴリ別比率(2015年10月~12月)

この期間においても、Anonymousに代表されるHacktivistによる攻撃活動は継続しています。様々な事件や主張に応じて、多数の国の企業や政府関連サイトに対するDDoS攻撃や情報漏えい事件が発生しました。

この期間でも継続して、ISILもしくはその理念に共感していると考えられる個人や組織による、Webサイトの改ざんやSNSアカウントの乗っ取りなどが世界中で発生しています。パリ同時テロ事件に対する報復として、AnonymousによるISIL関連のSNSアカウントを特定し、凍結させる活動が行われています(OpParis)。12月にはトルコ政府がISILを支援しているとの主張からトルコの.trドメインのDNSサーバに対して大規模なDDoS攻撃が発生しています。この攻撃は数日にわたって行われ、トルコドメインのDNSセカンダリを行っていたRIPEにも影響が出ています(※2)。また、DNSサーバだけでなくトルコの政府機関や大手銀行に対しても、攻撃が行われました。更に、英国の放送局BBCのWebサイトに対するDDoS攻撃が発生しましたが、これについてもアンチISILのグループが犯行声明を出しています。

中東に関連しては、イスラエルのラジオ局のWebサイトが改ざんされる被害が10月に発生したり、11月にはイスラエルの新聞社のTwitterアカウントが乗っ取られメッセージが投稿されるなどしています。更に、イスラエルミサイル防衛協会のWebサイトが不正アクセスを受け、ユーザデータが漏えいする事件も発生しています。このように、イスラエルの政府関連サイトや民間企業のWebサイトに対する攻撃も継続して発生しています。

9月からイルカや小型クジラの追い込み漁への抗議活動から、Anonymousによると考えられるDDoS攻撃によって、和歌山県太地町のWebサイトが一時閲覧できなくなるなどの被害が発生しています(OpKillingBay、OpWhales)。このオペレーションによる攻撃は日本だけではなく、世界動物園水族館協会(WAZA)やワシントン条約(CITES)といった機関に対しても行われていますが、日本においては、10月になっても継続して関係する組織や地方自治体、空港会社や首相の個人サイトといったWebサイトに対し、繰り返し攻撃が行われていました。攻撃手法についてもDDoS攻撃だけでなくSQLインジェクション攻撃などによるとみられる情報漏えいが行われるようになるなど変化が見られ、攻撃を受けた組織には報道機関やISP、出版社など、直接抗議活動とは関係がない組織も含まれるようになるなどの状況が見られます。本稿執筆時点の1月になっても日本の政府機関を含む複数の組織に対するこれらの攻撃は継続しており、引き続き注意が必要な状況です。

米国では、現在行われている大統領予備選挙に関連して、過激な言動を行っている候補者に関連するWebサイトへの攻撃が行われています。更に米国の秘密結社に関連して、この団体の支持者と考えられる人たちのSNSページのリストが公開されるなどしました。これ以外にも、世界中の各国政府とその関連サイトに対して、AnonymousなどのHacktivist達による攻撃が継続して行われています。

脆弱性とその対応

この期間中では、Windows(※3)(※4)(※5)(※6)(※7)、Internet Explorer(※8)(※9)(※10)、Office(※11)(※12)(※13)、Edge(※14)などで修正が行われました。Adobe社のAdobe Flash Player、Adobe Acrobat及びReaderでも修正が行われています。Oracle社のJava SEでも四半期ごとの更新が行われ、多くの脆弱性が修正されました。これらの脆弱性のいくつかは修正が行われる前に悪用が確認されています。

サーバアプリケーションでは、データベースサーバとして利用されているOracleを含むOracle社の複数の製品で四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。ntpdでも、認証を回避してシステムの時刻設定が操作可能な脆弱性や、細工したパケットによるDoS攻撃可能な脆弱性など複数の脆弱性が見つかり、修正されています。DNSサーバのBIND9でも、不正なクラス属性を持つレコードに対する問い合わせで、DoS攻撃可能な脆弱性などが見つかり、修正されています。CMSとして利用されるDrupalについても、オープンリダイレクトの脆弱性などが見つかり、修正されています(※15)。同じくCMSとして利用されるJoomla!でも、第三者からリモートでコード実行可能な脆弱性を含む複数の脆弱性が見つかり、修正されました。仮想マシン環境構築ソフトウェアであるVMwareでは、任意のコード実行の可能性がある複数の脆弱性が見つかり、修正されています(※16)。Linuxで広く採用されているブートローダであるGRUB2では、バックスペースキーを連続で押すだけでパスワード保護を無効化できる脆弱性が発見され、修正されています(※17)

Androidに関連しては、細工されたファイルを介して、任意のコードを実行される可能性がある脆弱性(Stagefright 2.0)が見つかり、修正が行われています。Androidアプリ向けソフトウェア開発キット(SDK)の1つであるMoplus SDKでWormholeと呼ばれる脆弱性(※18)があることや、攻撃者が遠隔で端末の情報を読み取ったり、制御が可能な不具合が指摘され、修正が行われました。また、これに関連して、別のSDK(Push SDK)でも、悪意ある第三者が端末の情報を取得できる可能性のある脆弱性が見つかり、修正が行われています(※19)

産業用制御システムに関連しては、オムロン社製のPLCとそのプログラムを行うソフトウェアであるCX-Programmerで、パスワードを平文で送信していたことから通信経路上で盗聴された場合にパスワードが取得される可能性やシステム内のファイルからパスワードが取得される可能性があるなど、パスワード処理に関する複数の脆弱性が見つかり、修正されました(※20)。国内メーカの製品では、9月にも三菱電機社製の制御システム用シーケンサーであるMELSEC FXシリーズでサービス拒否攻撃を許してしまう脆弱性が見つかり、修正が行われています(※21)。産業用制御システムについては、閉鎖的な環境で利用されることも多いことから、これまで対策が遅れがちでしたが、近年ではこれらを標的とした攻撃が増えてきており、従来のソフトウェアと同様に、脆弱性情報や攻撃情報を定期的にチェックするなどの対応が必要になりつつあります(※22)。

DDoS攻撃

この期間では、大規模なDDoS攻撃がいくつか発生しています。2015年5月頃より、金融機関などに対し、DD4BCを名乗る何者かによる脅迫を伴ったDDoS攻撃が発生していますが、11月に入ってからは、別のグループによるDDoS攻撃もいくつか発生しています。このうち、Armada Collectiveを名乗る何者か(※23) による攻撃では、スイスのProton Technologies社が脅迫を受け、支払いをしたにも関わらず攻撃が継続した事件も発生しています。このグループは、これ以外にも各国の金融機関やホスティングサービスなどに対して攻撃を行っており、英国のホスティングサービス事業者がサービス停止に追い込まれた事件でも関与していたと考えられます(※24)。ホスティング事業者への攻撃では、米国Linode社に対しても12日間にも及ぶ大規模なDDoS攻撃が発生しています。これ以外にも12月にはPhantom Squadを名乗る何者かによるXbox LIVEやPSN、EAなど複数のゲーム関係サーバに対する攻撃により、一時的にサービスにアクセスしにくくなるなどの被害が発生しています。

不正アクセスなどによる情報漏えい

この期間、企業のシステムへの不正アクセスによる大規模な顧客情報などの漏えい事件が引き続き発生しています。

米国の携帯電話事業者T-Mobileの信用調査業務を請け負っているExperian社の内部サーバが不正アクセスを受け、氏名や社会保障番号など1,500万人分の個人情報が漏えいした可能性のある事件が発生しています。英国の通信会社TalkTalkでもWebサイトがSQLインジェクション攻撃による不正アクセスを受け、契約者400万人の情報が流出した可能性のある事件が発生しています。この事件に関連して、何者かにより漏えいした顧客データを公開するとしてビットコインによる脅迫が行われるなどしていましたが(※25)、その後15歳の少年がコンピュータ不正使用の容疑で逮捕されています。この事件では、原因としてWebサイトのXSSの脆弱性が指摘されています(※26)。米国のオンライン証券会社Scottrade社でも不正アクセスを受け、約460万人分の情報が流出したことを公表しています(※27)。オンラインフォーラムとして利用されているvBulletinの未修正の脆弱性を悪用し、vBulletin.comの利用者48万人分のパスワードデータを含む個人情報が漏えいする事件も発生しています。この脆弱性についてはすぐに修正されましたが、PoCコードが公開されるなどしたことから、攻撃が多く発生する可能性が指摘されています(※28)。また、日本のキャラクターのファン向けコミュニティサイトで、ユーザ情報330万件が誤って公開されていたことが判明し、対応が行われたり(※29)、米国の有権者情報1億9千万人分の個人情報が公開されているのが発見されています(※30)。この2つの事件では、サーバの設定不備により、第三者がアクセス可能な状態となっていたことが、セキュリティ研究者から指摘されています。

その他

10月には、Trump Hotel Collectionで、社内システムへのマルウェア感染による不正アクセスによって、顧客のクレジットカード情報が漏えいした可能性のあることが公表されています。ホテルでの情報漏えい事件としては、11月にもStarwood系列の50軒以上の北米のホテルでPOSマルウェア感染による、カード情報など顧客データが流出する事件が発生しています。更に、12月にはHyatt Hotelsでも支払処理システムへのマルウェア感染により、クレジットカードなどの支払い情報が漏えいした可能性のある事件が発生するなど、米国の大手ホテルチェーンを中心に、POSマルウェアの感染による顧客情報の漏えい事件が立て続けに発生しています。被害を受けたホテルの中には日本で営業を行っているホテルも含まれていました。

国内では、複数の地方公共団体で相次いで職員による住民情報や有権者データなどの持ち出しや情報漏えい事件が発生しています。これらの事件では、理由は様々ですが内部の規約に違反し、資料やデータをコピーするなどして持ち帰っていました。このうち、神奈川県三浦市では、職員が市民の個人情報を含んだ行政文書などのファイル計約200万件をUSBメモリーで持ち出して自宅で保管していたことが発覚しています(※31)。熊本県阿蘇郡西原村では、職員が全村民の住民基本台帳のデータなど、18万件を超える個人情報をPCやHDDにコピーし持ち出していたことが発覚しました(※32)。これらの事件では、第三者への譲渡など外部への情報漏えいは確認されていないと発表されています。大阪府堺市では、約68万人分の有権者情報を含むファイルを職員が自宅に持ち帰り、自身が契約していた外部サーバに公開状態で掲載していたことから、第三者に漏えいしたとの発表が行われました(※33)。この事件では、当該行為を行った職員に対し、懲戒免職処分が行われています。

11月には、ZeusやSpyEyeなどのマルウェアを販売目的で所持していたとして、不正指令電磁的記録保管・提供など複数の容疑で中学生が逮捕されています。逮捕された中学生は、海外のインターネットサイトなどから、これらのマルウェア作成ツールキットを入手していたことが報道されています。また、この中学生からマルウェアを購入・譲渡していたとして不正指令電磁的記録取得容疑で複数の中高生が書類送検されています。

同じく11月には、総務省の「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」より、第二次とりまとめが9月に策定されたことを受け、その対処を適法に実施するためのガイドライン「電気通信事業者におけるサイバー攻撃等への対処通信の秘密に関するガイドライン」が改定され、電気通信事業関連5団体より公表されています。今回の改定では、利用者に対する注意喚起の実施や、C&Cサーバなどとの通信遮断などについて、新たに整理されました。詳細については「1.4.3 電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドラインについて」も併せてご参照ください。

10月のインシデント

10月のインシデント

HTMLblank

11月のインシデント

11月のインシデント

HTMLblank

12月のインシデント

12月のインシデント

HTMLblank

  1. (※1)このレポートでは取り扱ったインシデントを、脆弱性、動静情報、歴史、セキュリティ事件、その他の5種類に分類している。
    脆弱性:インターネットや利用者の環境でよく利用されているネットワーク機器やサーバ機器、ソフトウェアなどの脆弱性への対応を示す。
    動静情報:要人による国際会議や、国際紛争に起因する攻撃など、国内外の情勢や国際的なイベントに関連するインシデントへの対応を示す。
    歴史:歴史上の記念日などで、過去に史実に関連して攻撃が発生した日における注意・警戒、インシデントの検知、対策などの作業を示す。
    セキュリティ事件:ワームなどのマルウェアの活性化や、特定サイトへのDDoS攻撃など、突発的に発生したインシデントとその対応を示す。
    その他:イベントによるトラフィック集中など、直接セキュリティに関わるものではないインシデントや、セキュリティ関係情報を示す。
  2. (※2)攻撃の詳細については、次のRIPEのDNS-WGのメールアーカイブからも確認できる。"[dns-wg] RIPE NCC Authoritative and Secondary DNS services on Monday 14 December"(https://www.ripe.net/ripe/mail/archives/dns-wg/2015-December/003184.htmlblank)。
  3. (※3)「マイクロソフト セキュリティ情報 MS15-109 - 緊急 リモートでのコード実行に対処するWindows Shell用のセキュリティ更新プログラム(3096443)」(https://technet.microsoft.com/ja-jp/library/security/ms15-109.aspxblank)。
  4. (※4)「マイクロソフト セキュリティ情報 MS15-111 - 重要 特権の昇格に対処するWindowsカーネル用のセキュリティ更新プログラム(3096447)」(https://technet.microsoft.com/ja-jp/library/security/ms15-111.aspxblank)。
  5. (※5)「マイクロソフト セキュリティ情報 MS15-126 - 緊急 リモートでのコード実行に対処するJScriptおよびVBScript用の累積的なセキュリティ更新プログラム(3116178)」(https://technet.microsoft.com/ja-jp/library/security/ms15-126.aspxblank)。
  6. (※6)「マイクロソフト セキュリティ情報 MS15-128 - 緊急 リモートでのコード実行に対処するMicrosoft Graphicsコンポーネント用のセキュリティ更新プログラム(3104503)」(https://technet.microsoft.com/ja-jp/library/security/ms15-128.aspxblank)。
  7. (※7)「マイクロソフト セキュリティ情報 MS15-135 - 重要 特権の昇格に対処するWindowsカーネルモードドライバー用のセキュリティ更新プログラム(3119075)」(https://technet.microsoft.com/ja-jp/library/security/ms15-135.aspxblank)。
  8. (※8)「マイクロソフト セキュリティ情報 MS15-106 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム(3096441)」(https://technet.microsoft.com/ja-jp/library/security/ms15-106.aspxblank)。
  9. (※9)「マイクロソフト セキュリティ情報 MS15-112 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム(3104517)」(https://technet.microsoft.com/ja-jp/library/security/ms15-112.aspxblank)。
  10. (※10)「マイクロソフト セキュリティ情報 MS15-124 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム(3116180)」(https://technet.microsoft.com/ja-jp/library/security/ms15-124.aspxblank)。
  11. (※11)「マイクロソフト セキュリティ情報 MS15-110 - 重要 リモートでのコード実行に対処するMicrosoft Office用のセキュリティ更新プログラム(3096440)」(https://technet.microsoft.com/ja-jp/library/security/ms15-110.aspxblank)。
  12. (※12)「マイクロソフト セキュリティ情報 MS15-116 - 重要 リモートでのコード実行に対処するMicrosoft Office用のセキュリティ更新プログラム(3104540)」(https://technet.microsoft.com/ja-jp/library/security/ms15-116.aspxblank)。
  13. (※13)「マイクロソフト セキュリティ情報 MS15-131 - 緊急 リモートでのコード実行に対処するMicrosoft Office用のセキュリティ更新プログラム(3116111)」(https://technet.microsoft.com/ja-jp/library/security/ms15-131.aspxblank)。
  14. (※14)「マイクロソフト セキュリティ情報 MS15-125 - 緊急 Microsoft Edge 用の累積的なセキュリティ更新プログラム(3116184)」(https://technet.microsoft.com/ja-jp/library/security/ms15-125.aspxblank)。
  15. (※15)"Drupal Core - Overlay - Less Critical - Open Redirect - SA-COR E-2015-004"(https://www.drupal.org/SA-CORE-2015-004blank)。
  16. (※16)"VMSA-2015-0007.2 VMware vCenter and ESXi updates address criti cal security issues."(https://www.vmware.com/security/advisories/VMSA-2015-0007blank)。
  17. (※17)詳細については、次の発見者による発表を参照のこと。"Back to 28:Grub2 Authentication 0-Day"(http://hmarco.org/bugs/CVE-2015-8370-Grub2-authentication-bypass.htmlblank)。
  18. (※18)脆弱性については、次のWooYun.orgで確認できる。"WooYun-2015-148406 WormHole虫洞漏洞总结报告(附检测结果与测试脚本)(http://www.wooyun.org/bugs/wooyun-2015-0148406blank)(中国語)。
  19. (※19)バイドゥ株式会社では、自社のアプリが該当のSDKを利用していたとして修正を行っている。「『Simejiプライバシーロック』について」(http://www.baidu.jp/info/press/report/151113.htmlblank)。
  20. (※20)「JVNVU#99817917 オムロン製PLCおよびCX-Programmerに複数の脆弱性」(https://jvn.jp/vu/JVNVU99817917/blank)。
  21. (※21)"Advisory(ICSA-15-146-01)Mitsubishi Electric MELSEC FX-Series Controllers Denial of Service" (https://ics-cert.us-cert.gov/advisories/ICSA-15-146-01blank)。
  22. (※22)産業用制御システムの脆弱性については、米国ICS-CERT(https://ics-cert.us-cert.gov/)などが情報提供などを行っており、参考になる。日本でもIPAが制御システム利用者向けのレポートやICS-CERTやENISAのレポートの日本語訳などの情報を提供している。IPA、「制御システムのセキュリティ」(https://www.ipa.go.jp/security/controlsystem/blank)。
  23. (※23)Armada Collectiveについては、例えばスイス政府のCERTチームのBlogなどで確認できる。"Armada Collective blackmails Swiss Hosting Providers"(http://www.govcert.admin.ch/blog/14/armada-collective-blackmails-swiss-hosting-providersblank)。
  24. (※24)この攻撃の詳細については、次の攻撃を受けたMoonfruitの発表を参照のこと。"DDoS attack update:14/12/2015"(https://support.moonfruit.com/hc/en-us/articles/207109805-DDoS-attack-update-14-12-2015blank)。
  25. (※25)KrebsOnSecurity、"TalkTalk Hackers Demanded £80K in Bitcoin"(http://krebsonsecurity.com/2015/10/talktalk-hackers-demanded-80k-in-bitcoin/blank)。
  26. (※26)"video.talktalk.co.uk Security Vulnerability"(https://www.xssposed.org/incidents/93183/blank)。
  27. (※27)Scottrade, Inc.、"Cyber Security Update"(https://about.scottrade.com/updates/cybersecurity.htmlblank)。
  28. (※28)例えば、次のシマンテック公式ブログでは悪用の試みが増加しているとして注意喚起を行っている。「脆弱なvBulletinが稼働しているサーバーをさかんに探っているサイバー犯罪者に備え、今すぐパッチの適用を!」(http://www.symantec.com/connect/ja/blogs/vbulletinblank)。
  29. (※29)「香港企業運営のサンリオキャラクターサイトの脆弱性報道について」(http://www.sanrio.co.jp/wp-content/uploads/2015/05/20151224.pdfPDF)。
  30. (※30)詳細については、例えば次のDataBreaches.netなどを参照のこと。"191 million voters’ personal info exposed by misconfigured dat abase (UPDATE2)" (http://www.databreaches.net/191-million-voters-personal-info-exposed-by-misconfigured-database/blank)。
  31. (※31)神奈川県三浦市、「本市職員による不正な行政情報の持ち出しに対するお詫びと報告について」 (http://www.city.miura.kanagawa.jp/hisho/press/2015/documents/151002info.pdfPDF)。
  32. (※32)熊本県阿蘇郡西原村、「行政情報の不適切な取扱い事案について(ご報告と再謝罪)」(http://www.vill.nishihara.kumamoto.jp/oshirase/_2012.htmlblank)。
  33. (※33)大阪府堺市、「職員の不祥事案について」(http://www.city.sakai.lg.jp/shisei/koho/hodo/hodoteikyoshiryo/kakohodo/teikyoshiryo_h27/teikyoshiryo_h2712/1214_02.files/1214_02.pdfPDF)。
1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る