ページの先頭です


ページ内移動用のリンクです

  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.34
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review(IIR)Vol.34
2017年3月15日
RSS

目次

1.2 インシデントサマリ

図-1 カテゴリ別比率(2016年10月~12月)

ここでは、2016年10月から12月までの期間にIIJが取り扱ったインシデントと、その対応を示します。まず、この期間に取り扱ったインシデントの分布を図-1に示します(※1)

Anonymousなどの活動

この期間においても、Anonymousに代表されるHacktivistによる攻撃活動は継続しています。様々な事件や主張に応じて、多数の国の企業や政府関連サイトに対するDDoS攻撃や情報漏えい事件が発生しました。

日本で行われているイルカや小型クジラの追い込み漁への抗議活動として、2013年からAnonymousによると考えられるDDoS攻撃が断続的に行われています。今年も9月1日の漁解禁日に合わせて攻撃キャンペーンの継続が宣言され、10月以降も国内のWebサイトに対するDoS攻撃が続いています(OpKillingBay / OpWhales / OpSeaWorld)。一度攻撃されたWebサイトが何度も繰り返し攻撃される事例や、攻撃対象のリストに記載がないWebサイトへの攻撃事例も数多く発生しました。本稿執筆時点の1月において、攻撃頻度はやや減少したものの攻撃キャンペーンは継続しており、引き続き警戒が必要な状況です。

この期間ではほかにも国内のWebサイトがAnonymousによる攻撃を受けたり、攻撃対象リストに掲載される例が相次ぎました。動物の権利を主張する活動の1つ#OpCircusでは国内のサーカス団のWebサイトがDoS攻撃を受けました。また世界中の金融機関を攻撃対象としたOpIcarus Phase 4 OpBlackOctが10月1日から開始され、一部の国内の金融機関も対象リストに含まれていましたが、特に大きな被害は発生しませんでした。またタイでは12月に国内におけるインターネット利用規制を強化する法案が議会で可決されましたが、この法案改正については表現の自由の侵害などが懸念されるとして署名などの反対活動が行われていました。Anonymousもこの法案改正に抗議する活動#OpSingleGatewayを実施し、タイ政府関連サイトへの不正侵入やDoS攻撃などを行いました。タイ警察当局は12月末にこれらの攻撃活動に関わった9人を逮捕しています。OpSingleGatewayの攻撃対象にはタイ国内の金融機関も列挙されており、バンコクに支店をもつ日本の複数の金融機関も含まれていたため、注意喚起する動きがありました。

脆弱性とその対応

この期間中では、Microsoft社のWindows(※2)(※3)(※4)(※5)(※6)(※7)(※8)、Internet Explorer(※9)(※10)(※11)、Edge(※12)(※13)(※14)、Office(※15)(※16)などで多数の修正が行われました。Adobe社のAdobe Flash Player、Adobe Acrobat及びReaderでも修正が行われています。Oracle社のJava SEでも四半期ごとに行われている更新が行われ、多くの脆弱性が修正されました。これらの脆弱性のいくつかは修正が行われる前に悪用が確認されています。

サーバアプリケーションでは、データベースサーバとして利用されているOracleを含むOracle社の複数の製品で四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。DNSサーバのBIND9でも、DNAMEレコードがanswer sectionに含まれている応答を処理する際にnamedが異常終了する脆弱性が見つかり修正されています。またICMPパケットによって特定機種のFirewallのCPU負荷を上げる攻撃手法"BlackNurse"が公開され、該当ベンダーによる修正などが行われました。代表的なCMSの1つであるJoomla!では、外部からの不正なユーザ登録やユーザの権限昇格が可能となる脆弱性が見つかり修正されましたが(※17)、パッチ公開後まもなくこの脆弱性を悪用する攻撃が確認されています(※18)。PHPアプリケーション用のメール送信ライブラリであるPHPMailerやSwiftMailerなどにOSコマンドインジェクションにより任意のコードが実行可能な脆弱性が見つかり修正されました(※19)

IT資産管理ツールのSKYSEA Client Viewのエージェントプログラムに、外部からの不正なTCPパケットによって任意のコード実行が可能な脆弱性が見つかり、攻撃事例も確認されていることから開発者による修正が行われました(※20)

IoTボットネットによる攻撃活動

前号でも紹介したMiraiなどのIoT機器に感染したボットネットによるDDoS攻撃は、この期間においても継続して観測されています。

10月21日には米国の大手DNSサービスプロバイダDyn社のDNSサーバがMiraiボット(※21)からのDNS水責め攻撃(※22)を受け、2度にわたって障害が発生しました(※23)。この障害によりTwitter、Spotify、Redditなどの多数のサービスにおいて数時間接続できないなど広範囲にわたる影響が出ました。Miraiボットは9月20日にBrian Krebs氏のブログ"Krebs on Security"に対して約623Gbpsという大規模なDDoS攻撃を発生させ、その後に作者がソースコードを公開して話題となりました。そのKrebs氏は今回のDyn社への攻撃に関して、NANOGで報告(※24)された、Dyn社の研究者と共同で行ったDDoS攻撃対策サービスの会社によるBGPハイジャックに関する調査結果が引き金となったのではないかと推測しています(※25)。なお一部の記事では攻撃規模が1.2Tbpsと過去最大級だったと伝えていますが、この数字はDyn社自身が確認したものではなく不確実な情報で、攻撃規模がここまで大きかったのかどうかははっきりしません。

11月末にはドイツテレコムの通信サービス利用者およそ90万のルータで障害が発生し、インターネットにつながらなくなるなどの影響が出ました(※26)。これはマルウェアがルータの管理インタフェースを利用して繰り返し感染を試み、これに失敗した結果引き起こされたものです(※27)。この感染活動を行ったマルウェアはMiraiの亜種の1つで、TR-064:LAN-Side DSL CPE Configurationとよばれる管理プロトコルを利用し、特定の機器がもつ実装上の脆弱性(※28)を悪用して感染を試みていました。TR-064は通信回線の利用者宅内に設置されるルータなどのCPE(Customer Premises Equipment)をPCから設定するための管理プロトコルで、本来は宅内LAN側で使われるべきものがインターネット側からも利用可能であったことが脆弱性を悪用される一因となりました。この脆弱性はアイルランドやイギリスなど他の地域の通信会社で利用されているルータにも存在しており、これらの地域でも同じ時期に影響があったことが確認されています。また警察庁による観測では、この管理プロトコルが利用するポート7547/tcpと5555/tcpへのアクセスがこの時期に急増したことが報告されています(※29)。12月には、この他にも37777/tcp、23231/tcp、6789/tcpなどのポートをスキャンして感染を試みるMirai亜種の活動が世界的に観測されています(※30)。各ポートのスキャン状況については、「1.3.2 マルウェアの活動」も参照してください。

10月5日に米国の司法省は、Lizard Squad及びPoodleCorpと名乗るハッカーグループの主要メンバー2人を米国とオランダで9月に逮捕したと発表しました(※31)。Lizard Squadはbooter/stresserなどとも呼ばれるDDoS-for-hireサービス(DDoS攻撃代行サービス)の1つShenronを提供しており、同様にPoodleCorpもPoodle Stresserというサービスを提供していました。これらのサービスはいずれもIoTボットネットであるLizardStresserを利用してDDoS攻撃を実施していたと考えられています。LizardStresserは2015年にソースコードが公開されたため、様々な攻撃者によって多数のボットネットが構築されDDoS攻撃に使用されています。逮捕された2人はいずれも19才の青年で、これらのサービスを利用して大手ゲーム会社などに繰り返しDDoS攻撃を行っていました。

IoTボットネットは、telnetなどの管理用ポートが開いているIoT機器に対して、初期パスワードなどでログインし感染を試みます。IoT機器の中には管理用アカウントの初期パスワードが変更できない、telnetなど管理用ポートの開閉を設定できない、などの問題があるものも存在しています。Miraiボットなどの感染拡大によってこれらの問題を認識し、製品の出荷を停止した上で、問題点を修正するファームウェアを公開する製品ベンダーなども出ています(※32)。こうした現状をふまえて、IPA(※33)やJPCERT/CC(※34)はIoT機器の利用者に対して、利用前の初期パスワードの変更やファームウェアのアップデートなど、適切な対応を行うよう注意を促しています。

米大統領選挙に関連するロシアからのサイバー攻撃

2016年は4年ぶりの米大統領選挙の年でしたが、サイバー攻撃による選挙活動への影響が大きな話題となりました。

6月には民主党全国委員会(DNC)が外部から不正に侵入され、選挙活動に関連する内部情報が漏えいしていたことが明らかとなりました。またその後、DNCから漏えいしたとみられる情報を含め、メールやドキュメントなど主に民主党関連の情報がWikiLeaks、GUCCIFER 2.0、DCLeaksなどから相次いで公開される事態となりました。これらの民主党にとって不利な内容が、選挙結果にどのような影響を与えたのかは定かではありませんが、結果的に11月の大統領選挙では共和党候補のトランプ氏が大統領に選出されることになりました。

5月に国家情報長官室(ODNI)は大統領選挙に関連する米国内の複数の組織に対するサイバー攻撃が発生していると警告していましたが、こうした一連の事件に対する政府内の調査結果を受けて、10月には国家安全保障省(DHS)とODNIは大統領選挙のセキュリティに関して共同声明を発表しました(※35)。この中で、DNCなど関連組織への侵入やメールのリークなどをロシア政府によるものとして名指しで非難しました。更に大統領選挙後の12月、オバマ大統領は過去の大統領令(Executive Order 13694)の内容を改正し(※36)、米大統領選挙へのロシア政府の介入に対して、35人のロシア外交官の国外退去などの制裁を発動すると発表しました。また一連の攻撃活動をGRIZZLY STEPPEと呼称したDHSとFBIによる共同分析レポートも同時に公開されています(※37)。このように米政府はロシアからのサイバー攻撃と断定した上で様々な対応を行っていますが、公開された情報からは明確な証拠と言えるものが不十分なため、その内容に関して批判的なセキュリティ専門家も少なくありません(※38)

政府機関の取り組み

2016年4月に「サイバーセキュリティ基本法」の改正案が国会で可決され成立しましたが、その第13条で規定されたサイバーセキュリティを確保すべき対象として、中央省庁だけでなく独立行政法人や特殊法人にまで拡大されました。2016年10月に開催されたサイバーセキュリティ戦略本部 第10回会合において、この第13条の規定にもとづいて新たに9法人が指定されました(※39)。この中には2015年に情報漏えい事件を起こした日本年金機構も含まれています。この指定により、これらの法人では中央省庁と同様に、国による監査や情報システムに対する不正な活動の監視、インシデントの原因究明調査などの対象組織として扱われることになります。

12月7日に内閣サイバーセキュリティセンター(NISC)は、重要インフラ事業者およそ2,000名の参加を得て、11回目となる分野横断的演習を実施しました。この演習により、IT障害が発生した場合における関係者との情報共有、連携をはじめ、重要インフラ事業者における対応策、体制の実効性が確認されました。

その他

2016年は、MySpaceやLinkedInなど過去に発生した大量のパスワード情報の漏えいが多くのサービスで発覚しました。12月には、2013年時点のユーザ情報少なくとも10億件が漏えいしていたと、米Yahoo!が発表しました(※40)。これは現在までに分かっている情報漏えい事件の中では過去最大の規模です。Yahoo!は9月にも2014年時点のユーザ情報少なくとも5億件が漏えいしていたと発表したばかりですが、これとは別に更に大規模な漏えい事件を起こしていたことが分かりました。

このようなパスワード情報の漏えい事件が国内外で常態化していることから、同じパスワードを複数のサービスで使い回しているユーザを狙ったなりすましによる不正ログイン、いわゆるリスト型攻撃も多く発生しています。この期間では、会員向けのWebサイトでなりすましによる不正ログインが発生し、ポイントが不正に利用されるという被害が国内の複数のサイトで確認されています。ユーザは自分のパスワード情報が漏えいして悪用される可能性をあらかじめ考慮して、複数のサービスで同じパスワードを使い回さないようにするなどの自衛策が求められます。

10月のインシデント

10月のインシデント

HTMLblank

11月のインシデント

11月のインシデント

HTMLblank

12月のインシデント

12月のインシデント

HTMLblank

  1. (※1)このレポートでは取り扱ったインシデントを、脆弱性、動静情報、歴史、セキュリティ事件、その他の5種類に分類している。
    脆弱性:インターネットや利用者の環境でよく利用されているネットワーク機器やサーバ機器、ソフトウェアなどの脆弱性への対応を示す。
    動静情報:要人による国際会議や、国際紛争に起因する攻撃など、国内外の情勢や国際的なイベントに関連するインシデントへの対応を示す。
    歴史:歴史上の記念日などで、過去に史実に関連して攻撃が発生した日における注意・警戒、インシデントの検知、対策などの作業を示す。
    セキュリティ事件:ワームなどのマルウェアの活性化や、特定サイトへのDDoS攻撃など、突発的に発生したインシデントとその対応を示す。
    その他:イベントによるトラフィック集中など、直接セキュリティに関わるものではないインシデントや、セキュリティ関係情報を示す。
  2. (※2)「マイクロソフト セキュリティ情報 MS16-120 - 緊急 Microsoft Graphics コンポーネント用のセキュリティ更新プログラム (3192884)」(https://technet.microsoft.com/ja-jp/library/security/ms16-120blank)。
  3. (※3)「マイクロソフト セキュリティ情報 MS16-122 - 緊急 Microsoft ビデオ コントロール用のセキュリティ更新プログラム (3195360)」(https://technet.microsoft.com/ja-jp/library/security/ms16-122blank)。
  4. (※4)「マイクロソフト セキュリティ情報 MS16-130 - 緊急 Microsoft Windows 用のセキュリティ更新プログラム (3199172)」(https://technet.microsoft.com/ja-jp/library/security/ms16-130blank)。
  5. (※5)「マイクロソフト セキュリティ情報 MS16-131 - 緊急 Microsoft ビデオ コントロール用のセキュリティ更新プログラム (3199151)」(https://technet.microsoft.com/ja-jp/library/security/ms16-131blank)。
  6. (※6)「マイクロソフト セキュリティ情報 MS16-132 - 緊急 Microsoft Graphics コンポーネント用のセキュリティ更新プログラム (3199120)」(https://technet.microsoft.com/ja-jp/library/security/ms16-132blank)。
  7. (※7)「マイクロソフト セキュリティ情報 MS16-146 - 緊急 Microsoft Graphics コンポーネント用のセキュリティ更新プログラム (3204066)」(https://technet.microsoft.com/ja-jp/library/security/ms16-146blank)。
  8. (※8)「マイクロソフト セキュリティ情報 MS16-147 - 緊急 Microsoft Uniscribe 用のセキュリティ更新プログラム (3204063)」(https://technet.microsoft.com/ja-jp/library/security/ms16-147blank)。
  9. (※9)「マイクロソフト セキュリティ情報 MS16-118 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム (3192887)」(https://technet.microsoft.com/ja-jp/library/security/MS16-118blank)。
  10. (※10)「マイクロソフト セキュリティ情報 MS16-142 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム (3198467)」(https://technet.microsoft.com/ja-jp/library/security/ms16-142blank)。
  11. (※11)「マイクロソフト セキュリティ情報 MS16-144 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム (3204059)」(https://technet.microsoft.com/ja-jp/library/security/ms16-144blank)。
  12. (※12)「マイクロソフト セキュリティ情報 MS16-119 - 緊急 Microsoft Edge 用の累積的なセキュリティ更新プログラム (3192890) (https://technet.microsoft.com/ja-jp/library/security/ms16-119blank)。
  13. (※13)「マイクロソフト セキュリティ情報 MS16-129 - 緊急 Microsoft Edge 用の累積的なセキュリティ更新プログラム (3199057)」(https://technet.microsoft.com/ja-jp/library/security/ms16-129blank)。
  14. (※14)「マイクロソフト セキュリティ情報 MS16-145 - 緊急 Microsoft Edge 用の累積的なセキュリティ更新プログラム (3204062)」(https://technet.microsoft.com/ja-jp/library/security/ms16-145blank)。
  15. (※15)「マイクロソフト セキュリティ情報 MS16-121 - 緊急 Microsoft Office 用のセキュリティ更新プログラム (3194063)」(https://technet.microsoft.com/ja-jp/library/security/ms16-121blank)。
  16. (※16)「マイクロソフト セキュリティ情報 MS16-148 - 緊急 Microsoft Office 用のセキュリティ更新プログラム (3204068)」(https://technet.microsoft.com/ja-jp/library/security/ms16-148blank)。
  17. (※17)"Joomla! 3.6.4 Released"(https://www.joomla.org/announcements/release-news/5678-joomla-3-6-4-released.htmlblank)。
  18. (※18)"Joomla Exploits in the Wild Against CVE-2016-8870 and CVE-2016-8869"(https://blog.sucuri.net/2016/10/joomla-mass-exploits-privilege-vulnerability.htmlblank)。
  19. (※19)"Security notices relating to PHPMailer"(https://github.com/PHPMailer/PHPMailer/blob/master/SECURITY.mdblank)。
  20. (※20)「【 重 要 】グローバルIPアドレス環 境で運用されている場 合の注 意 喚 起(CVE-2016-7836)|SKYSEA Client View|Sky株 式 会 社 」(http://www.skyseaclientview.net/news/161221/blank)。
  21. (※21)Miraiボットの詳細については、本レポートVol.33(http://www.iij.ad.jp/dev/report/iir/033.htmlblank)のフォーカスリサーチ「1.4.1 Mirai Botnetの検知と対策」を参照。
  22. (※22)DNS水責め攻撃については、株式会社日本レジストリサービス 森下氏による次の資料が詳しい。「DNS水責め(Water Torture)攻撃について」(http://2014.seccon.jp/dns/dns_water_torture.pdfPDF)。
  23. (※23)"Dyn Analysis Summary Of Friday October 21 Attack | Dyn Blog"(http://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack/blank)。
  24. (※24)"BackConnect’s Suspicious BGP Hijacks"(https://www.nanog.org/sites/default/files/20161016_Madory_Backconnect_S_Suspicious_Bgp_v2.pdfPDF)。
  25. (※25)"DDoS on Dyn Impacts Twitter, Spotify, Reddit — Krebs on Security"(https://krebsonsecurity.com/2016/10/ddos-on-dyn-impacts-twitter-spotify-reddit/blank)。
  26. (※26)"Deutsche Telekom: Information on current problems"(https://www.telekom.com/en/media/media-information/archive/information-on-current-problems-444862blank)。
  27. (※27)"WERE 900K DEUTSCHE TELEKOM ROUTERS COMPROMISED BY MIRAI? - Comsecuris Security Research & Consulting Blog"(https://comsecuris.com/blog/posts/were_900k_deutsche_telekom_routers_compromised_by_mirai/blank)。
  28. (※28)この脆弱性は11月7日にセキュリティ研究者によって最初に報告されPoCも公開されていた。"Eir’s D1000 Modem Is Wide Open To Being Hacked. - Reverse Engineering Blog"(https://devicereversing.wordpress.com/2016/11/07/eirs-d1000-modem-is-wide-open-to-being-hacked/blank)。
  29. (※29)「海外製ルータの脆弱性を標的としたアクセスの急増等について(平成28年11月期)」(警察庁)(https://www.npa.go.jp/cyberpolice/detect/pdf/20161221.pdfPDF)。
  30. (※30)「「Mirai」ボットの亜種等からの感染活動と見られるアクセスの急増について(平成28年12月期)」(警察庁)(https://www.npa.go.jp/cyberpolice/detect/pdf/20170120.pdfPDF)。
  31. (※31)"American and Dutch Teenagers Arrested on Criminal Charges for Allegedly Operating International Cyber-Attack-For-Hire Websites | USAO-NDIL | Department of Justice"(https://www.justice.gov/usao-ndil/pr/american-and-dutch-teenagers-arrested-criminal-charges-allegedly-operatingblank)。
  32. (※32)例えば、アイ・オー・データ機器の「WFS-SR01」やプリンストンの「PTW-WMS1」などがこうした対応を行っている。「Wi-Fiストレージ「WFS-SR01」セキュリティの脆弱性につきまして | IODATA アイ・オー・データ機器」(http://www.iodata.jp/support/information/2016/wfs-sr01/)。「PTW-WMS1をルーター機能の無いモデムに接続してご使用されているお客様へ ファームウェアアップデートのお知らせ | 対応情報 | お知らせ一覧 | 株式会社プリンストン」(http://www.princeton.co.jp/news/2016/12/201612271100.htmlblank)。
  33. (※33)「ネットワークカメラや家庭用ルータ等のIoT機器は利用前に必ずパスワードの変更を 安心相談窓口だより:IPA 独立行政法人 情報処理推進機構」(https://www.ipa.go.jp/security/anshin/mgdayori20161125.htmlblank)。
  34. (※34)「インターネットに接続された機器の管理に関する注意喚起」 (https://www.jpcert.or.jp/at/2016/at160050.htmlblank)。
  35. (※35)"Joint Statement from the Department of Homeland Security and Office of the Director of National Intelligence on Election Security"(https://www.odni.gov/index.php/newsroom/press-releases/215-press-releases-2016/1423-joint-dhs-odni-election-security-statementblank)。
  36. (※36)"Executive Order -- Taking Additional Steps to Address the National Emergency with Respect to Significant Malicious Cyber-Enabled Activities | whitehouse.gov"(https://obamawhitehouse.archives.gov/the-press-office/2016/12/29/executive-order-taking-additional-steps-address-national-emergencyblank)。
  37. (※37)"GRIZZLY STEPPE – Russian Malicious Cyber Activity"(https://www.us-cert.gov/security-publications/GRIZZLY-STEPPE-Russian-Malicious-Cyber-Activityblank)。
  38. (※38)例えば次のような批判記事がある。"Critiques of the DHS/FBI’s GRIZZLY STEPPE Report – Robert M. Lee"(http://www.robertmlee.org/critiques-of-the-dhsfbis-grizzly-steppe-report/blank)。"FBI/DHS Joint Analysis Report: A Fatally Flawed Effort"(https://medium.com/@jeffreycarr/fbi-dhs-joint-analysis-report-a-fatally-flawed-effort-b6a98fafe2fablank)。
  39. (※39)内閣サイバーセキュリティセンター(NISC)、「サイバーセキュリティ基本法第 13 条の規定に基づきサイバーセキュリティ戦略本部が指定する法人」(http://www.nisc.go.jp/conference/cs/pdf/shiteihojin.pdfPDF)。
  40. (※40)"Important Security Information for Yahoo Users | Yahoo"(https://yahoo.tumblr.com/post/154479236569/important-security-information-for-yahoo-usersblank)。
1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る