ページの先頭です

ページ内移動用のリンクです
  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.32
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review(IIR)Vol.32
2016年8月29日発行RSS

目次

1.2 インシデントサマリ

ここでは、2016年4月から6月までの期間にIIJが取り扱ったインシデントと、その対応を示します。まず、この期間に取り扱ったインシデントの分布を図-1に示します(※1)

Anonymousなどの活動

図-1 カテゴリ別比率(2016年4月~6月)

この期間においても、Anonymousに代表されるHacktivistによる攻撃活動は継続しています。様々な事件や主張に応じて、多数の国の企業や政府関連サイトに対するDDoS攻撃や情報漏えい事件が発生しました。

日本で行われているイルカや小型クジラの追い込み漁への抗議活動として、昨年9月からAnonymousによると考えられるDDoS攻撃が断続的に行われていますが、この期間においても国内のサイトにおいて被害が継続して発生しています(OpKillingBay/OpWhales/OpSeaWorld)。ただし4月以降の国内への攻撃発生回数はかなり減少しており、理由ははっきりしませんが、攻撃者の興味が他の攻撃キャンペーンへと移っていったためではないかと考えられます。しかし、これが攻撃の終了を意味するとは限らず、他の攻撃者によって攻撃キャンペーンが今後も継続する可能性も考えられます。いずれにせよAnonymousなどのHacktivistによる攻撃活動は、一連の攻撃キャンペーンの終了や継続を判断するのは難しく、攻撃キャンペーンを契機として対応するのではなく、日頃からいつ攻撃が発生しても対応できるように備えておくべきです。

Anonymousによる世界中の主要な金融機関をターゲットとした攻撃キャンペーンOpIcarusが2016年1月に開始され、断続的に攻撃活動が継続していましたが、5月になってギリシアの中央銀行やキプロス、フランス、フィリピンなどの多数の金融機関が被害に遭ったことで注目されました。その後6月まで更に多数の金融機関へと攻撃は拡大し、国内の一部の金融機関も攻撃ターゲットのリストに掲載されましたが、観測されるような被害は特に発生しませんでした。

2014年8月にGamma International、2015年7月にHacking Teamと、それぞれFinFisher、RCSという監視用ソフトウェアを開発する企業が相次いで侵入され、その内部情報がインターネット上に公開されたことで大きな話題となりました。その攻撃を行った匿名のハッカーPhineas Fisher (※2)が、2016年4月になってHacking Teamへの侵入手口の詳細を公開しています。また5月にはイタリアの警察組織のWebサイトに侵入する様子をYouTubeで公開しました。また同時期にある銀行から1万ユーロ相当のBitcoinを盗み出し、Rojavaで活動するクルド人グループに送金したことも明らかにしました。彼(または彼女)は企業から盗んだ情報の公開や、銀行からお金を奪うこと、そしてこれらによって一般の人々のコンピュータのセキュリティ向上を手助けすることを"Ethical Hacking"だとして、自らの行為を擁護しています。しかし一方でこれらの行為の理由を"for the lulz"だとインタビューで述べており、2011年に世間を大きく騒がせたLulzSecなどのグループの活動に似た側面があると言えます。現在は個人としての活動に留まっているようですが、過去に起こした事件の影響などから今後も引き続き注目しています。

脆弱性とその対応

この期間中では、Microsoft社のWindows(※3)(※4)(※5)(※6)(※7)(※8)(※9)(※10)、Internet Explorer(※11)(※12)(※13)、Edge(※14)(※15)(※16)、Office(※17)(※18)(※19)などで多数の修正が行われました。Adobe社のAdobe Flash Player、Adobe Acrobat及びReaderでも修正が行われています。Oracle社のJava SEでも四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。これらの脆弱性のいくつかは修正が行われる前に悪用が確認されています。

サーバアプリケーションでは、データベースサーバとして利用されているOracleを含むOracle社の複数の製品で四半期ごとに行われてる更新が提供され、多くの脆弱性が修正されました。

TLSのAES-GCMに対して初期ベクトル(IV)が再利用されると実用的な攻撃が可能であることが研究者によって示され、IBM Domino WebserverやRadwareなど一部の実装においては影響を受けることが確認され、脆弱性が修正されています。

WebアプリケーションフレームワークのApache Struts2にDynamic Method Invocation(DMI)を有効にしている場合に任意のコード実行の可能性がある脆弱性(S2-032)や、REST Pluginを有効にしている場合に任意のコード実行の可能性がある脆弱性(S2-037)が見つかり、修正されています。画像処理を行うソフトウェアImageMagickには細工されたコンテンツを開いた場合に任意のOSコマンドが実行される脆弱性が見つかり、修正されています。また、CMSのMovable Typeのプラグインで、携帯電話向けコンテンツの製作に利用されるケータイキットfor Movable Typeに、OSコマンドインジェクションの脆弱性が見つかり、修正されています。これらの脆弱性では修正版のリリース後すぐに攻撃が観測されており、JPCERT/CCや警察庁などから注意喚起が出されました。特にケータイキットfor Movable Typeの脆弱性については、開発元からの修正版のリリース前に既に攻撃が行われており、複数のWebサイトから多数の個人情報が流出する事件が発生しています。

標的型攻撃による情報漏えい

この期間でも、組織内部の端末へのマルウェア感染とそれによる情報漏えいなどの事件が国内外で相次いで起きました。6月には国内の大手旅行会社において、個人情報約697万件(有効なパスポート番号4,000件余りを含む)が外部に流出した可能性があると発表されました。この事件では、送信元として取引先の大手航空会社を装ったメールを受信し、メールに添付されていたファイルを実行したことによって社内の端末がマルウェアに感染しました。その後、攻撃者は社内の他の端末やサーバへと侵入範囲を徐々に拡大し、大量の個人情報を含むデータファイルを作成して外部に送信しようとしていたことが分かっています。

またこの他にも6月中旬以降、市役所などの地方自治体の組織において端末がマルウェアに感染し、外部に対して不正な通信が発生したことが相次いで発表されました。これらの一連の事件に関連があるのかはっきりしませんが、地方自治体に送られた攻撃メールの内容などから、不特定多数の組織宛てにばらまかれたものである可能性が高いと考えられます。

米国でも6月に民主党全国委員会Democratic National Committee(DNC)のシステムに対して、外部から不正アクセスがあり、大統領予備選挙に関する内部情報などが流出していたことが分かりました。事件を調査したセキュリティベンダーのCrowdStrikeは、ロシアの2つの異なる攻撃グループCOZY BEAR(APT29)とFANCY BEAR(APT28)によるものだと断定し、2015年から既にDNCの内部システムに侵入していたと発表しました。これより前に米国家情報長官(DNI)のJames Clapper氏は大統領選挙に関連する米国内の複数の組織に対するサイバー攻撃が発生していると警告しており、DNCへの侵入事件も米国の政治システムに対するロシアからの諜報活動の一環ではないかと考えられています。

しかしその後、GUCCIFER 2.0を名乗るハッカーがDNCへの侵入は自らの仕業であるとブログで公表し、DNCから取得したとする文書の公開などを行いました(※20)。GUCCIFER 2.0はロシアのハッカーグループとの関連を否定し、単独での犯行であるとブログやメディアなどで主張しましたが、その内容には不可解な点も多く、ロシアによる欺瞞工作の可能性も考えられます。いずれにせよ今回の事件では、近年その重要性が指摘されている、サイバー攻撃における犯人の特定、いわゆるアトリビューション(Attribution)が極めて難しいことを改めて印象付ける結果となりました。

大量のパスワード情報漏えい

この期間では、SNSなどのサービスから過去に大量のパスワード情報が漏えいしていたことが相次いで発覚しました。これはロシア人ハッカーグループが2011~2013年頃に侵入して取得したデータが元になっていると考えられ、今年になってからロシアの掲示板サイトやDark Web上の販売サイトで一般に売り始められたことによって情報流出が分かったものです。MySpaceから約3億6,000万件、LinkedInから約1億6,700万件、Badooから約1億2,700万件、VKから約1億件、Tumblrから約6,500万件など、いずれも漏えい件数がかなり大規模でした。また、MySpaceやLinkedInではソルトなしのSHA1ハッシュによるパスワード情報が含まれていたため、パスワード解析が比較的容易であり、すぐに悪用される危険性が高いものでした。そのためこれらの流出に関連すると思われる事件がその後いくつか発生しました。

6月にはGitHubやGoToMyPCなどの複数のサービスにおいて、第三者のなりすましによる不正ログインが発生しました。これは別のWebサイトから漏えいしたパスワード情報を悪用して、パスワードを複数のサービスで使い回しているユーザを狙ったいわゆるリスト型攻撃であり、上記の大量のパスワード情報漏えいとの関連性が指摘されています。

また、Twitter社の共同創業者Biz Stone氏、Facebook社CEOのMark Zuckerberg氏、Google社CEOのSundar Pichai氏など、テクノロジー業界の著名人のSNSアカウントが5月以降相次いで乗っ取りの被害に遭っており、OurMine Teamを名乗るグループが犯行声明を出しています。これらの一連のアカウント乗っ取りもパスワード情報漏えいの影響の1つと考えられます。

こうしたパスワードを再利用しているユーザへのアカウント乗っ取り被害を見越して、事前に対応を取る企業も出始めています。例えばFacebook、Amazon、Netflixなどでは、他社サービスから漏えいしたユーザのパスワード情報を解析し、自社のサービスで同じパスワードを再利用しているユーザを見つけた場合、該当者のパスワードを強制的にリセットする対応をしています。このような対応は2013年のAdobe社からの約1億5,000万件のパスワード情報漏えいをきっかけに実施され始めた対策です。ユーザが複数のサービスでパスワードを再利用しないことが、このような乗っ取り被害を防ぐ根本的な対策ですが、実際には多数のユーザがパスワードを使い回しているために、こうした被害はなかなかなくならないのが実態です。

なお、このように大量に漏えいしたパスワード情報を収集し、ユーザに注意喚起を促すWebサイトもあります。例えばセキュリティ研究者のTroy Hunt氏は2013年のAdobe社からの漏えい事件を契機に"Have I been pwned?"という無料サービスを立ち上げています(※21)。ユーザはこのWebサイトで自らのメールアドレスを検索してパスワード情報が漏えいしているか確認することができます。また、あらかじめメールアドレスを登録しておくと、今後の情報漏えい事件で対象となったときに知らせてくれるサービスも提供しています。しかし、同様のサービスを謳うものの中には、単にユーザからの情報収集を目的とするものもあるため、利用にあたっては十分注意することが必要です。

政府機関の取り組み

2016年5月末に第42回先進国首脳会議(G7伊勢志摩サミット)が開催され、関係する府省庁を中心に民間企業も協力して、サミット開催に伴って発生する可能性のあるサイバー攻撃を警戒したセキュリティ確保の取り組みを推進しました。結果として、4月以降に行われたG7の関係大臣による各会合も含め、開催期間中に会合の運営に支障をきたすような事象は発生しませんでした(※22)

その他

昨年後半からランサムウェアの感染による被害が国内外で拡大しており、この期間においても継続しています。中でも感染数が多いものとしてTeslaCryptがありますが、5月になって復号に使うマスターキーが開発者から突然公開され、セキュリティベンダーから復号ツールが公開されました。この前から既にTeslaCryptは活動の停滞が観測されており、何らかの理由により活動を中止したようです。

数年前から米国などでは、Business Email Compromise(BEC)と呼ばれるビジネスメールによる詐欺被害の拡大が懸念されています。攻撃者は企業のCEOなどのメールアカウントを乗っ取り、社内の担当者にメールで不正な送金を指示することによって金銭を騙し取る、というのが典型的なBECの手口です。FBIのInternet Crime Complaint Center(IC3)が発表した年次報告書(※23)によると、米国では2015年に7,838件の被害報告があり、2億6,300万ドルの被害が発生しています。また、今年に入って更に被害が拡大していることから、6月にも注意喚起が出されました。それによると、2015年初めと比較してBECによる被害額が1,300%増加しています。国内では被害事例はまだあまり報告されていませんが、今後の被害拡大に十分注意する必要があります。

4月のインシデント

4月のインシデント

HTMLblank

5月のインシデント

5月のインシデント

HTMLblank

6月のインシデント

6月のインシデント

HTMLblank

  1. (※1)このレポートでは取り扱ったインシデントを、脆弱性、動静情報、歴史、セキュリティ事件、その他の5種類に分類している。
    脆弱性:インターネットや利用者の環境でよく利用されているネットワーク機器やサーバ機器、ソフトウェアなどの脆弱性への対応を示す。
    動静情報:要人による国際会議や、国際紛争に起因する攻撃など、国内外の情勢や国際的なイベントに関連するインシデントへの対応を示す。
    歴史:歴史上の記念日などで、過去に史実に関連して攻撃が発生した日における注意・警戒、インシデントの検知、対策などの作業を示す。
    セキュリティ事件:ワームなどのマルウェアの活性化や、特定サイトへのDDoS攻撃など、突発的に発生したインシデントとその対応を示す。
    その他:イベントによるトラフィック集中など、直接セキュリティに関わるものではないインシデントや、セキュリティ関係情報を示す。
  2. (※2)"Hack Back!(@GammaGroupPR)"(https://twitter.com/GammaGroupPRblank)。
  3. (※3)「マイクロソフト セキュリティ情報 MS16-039 - 緊急 Microsoft Graphics コンポーネントのセキュリティ更新プログラム(3148522)」(https://technet.microsoft.com/ja-jp/library/security/MS16-039blank)。
  4. (※4)「マイクロソフト セキュリティ情報 MS16-040 - 緊急 Microsoft XML Core Services 3148541 用のセキュリティ更新プログラム(3148541)」(https://technet.microsoft.com/ja-jp/library/security/MS16-040blank)。
  5. (※5)「マイクロソフト セキュリティ情報 MS16-053 - 緊急 JScript および VBScript 用の累積的なセキュリティ更新プログラム(3156764)」(https://technet.microsoft.com/ja-jp/library/security/MS16-053blank)。
  6. (※6)「マイクロソフト セキュリティ情報 MS16-055 - 緊急 Microsoft Graphics コンポーネント用のセキュリティ更新プログラム(3156754)」(https://technet.microsoft.com/ja-jp/library/security/MS16-055blank)。
  7. (※7)「マイクロソフト セキュリティ情報 MS16-056 - 緊急 Windows Journal 用のセキュリティ更新プログラム(3156761)」(https://technet.microsoft.com/ja-jp/library/security/MS16-056blank)。
  8. (※8)「マイクロソフト セキュリティ情報 MS16-057 - 緊急 Windows Shell 用のセキュリティ更新プログラム(3156987)」(https://technet.microsoft.com/ja-jp/library/security/MS16-057blank)。
  9. (※9)「マイクロソフト セキュリティ情報 MS16-069 - 緊急 JScript および VBScript 用の累積的なセキュリティ更新プログラム(3163640)」(https://technet.microsoft.com/ja-jp/library/security/MS16-069blank)。
  10. (※10)「マイクロソフト セキュリティ情報 MS16-071 - 緊急 Microsoft Windows DNS Server のセキュリティ更新プログラム(3164065)」(https://technet.microsoft.com/ja-jp/library/security/MS16-071blank)。
  11. (※11)「マイクロソフト セキュリティ情報 MS16-037 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム(3148531)」(https://technet.microsoft.com/ja-jp/library/security/MS16-037blank)。
  12. (※12)「マイクロソフト セキュリティ情報 MS16-051 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム(3155533)」(https://technet.microsoft.com/ja-jp/library/security/MS16-051blank)。
  13. (※13)「マイクロソフト セキュリティ情報 MS16-063 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム(3163649)」(https://technet.microsoft.com/ja-jp/library/security/MS16-063blank)。
  14. (※14)「マイクロソフト セキュリティ情報 MS16-038 - 緊急 Microsoft Edge 用の累積的なセキュリティ更新プログラム(3148532)」(https://technet.microsoft.com/ja-jp/library/security/MS16-038blank)。
  15. (※15)「マイクロソフト セキュリティ情報 MS16-052 - 緊急 Microsoft Edge 用の累積的なセキュリティ更新プログラム(3155538)」(https://technet.microsoft.com/ja-jp/library/security/MS16-052blank)。
  16. (※16)「マイクロソフト セキュリティ情報 MS16-068 - 緊急 Microsoft Edge 用の累積的なセキュリティ更新プログラム(3163656)」(https://technet.microsoft.com/ja-jp/library/security/MS16-068blank)。
  17. (※17)「マイクロソフト セキュリティ情報 MS16-042 - 緊急 Microsoft Office 用のセキュリティ更新プログラム(3148775)」(https://technet.microsoft.com/ja-jp/library/security/MS16-042blank)。
  18. (※18)「マイクロソフト セキュリティ情報 MS16-054 - 緊急 Microsoft Office 用のセキュリティ更新プログラム(3155544)」(https://technet.microsoft.com/ja-jp/library/security/MS16-054blank)。
  19. (※19)「マイクロソフト セキュリティ情報 MS16-070 - 緊急 Microsoft Office 用のセキュリティ更新プログラム(3163610)」(https://technet.microsoft.com/ja-jp/library/security/MS16-070blank)。
  20. (※20)"GUCCIFER 2.0"(https://guccifer2.wordpress.com/blank)。
  21. (※21)"Have I been pwned? Check if your email has been compromised in a data breach"(https://haveibeenpwned.com/blank)。
  22. (※22)内閣サイバーセキュリティセンター、「G7伊勢志摩サミットにおける取組等」(http://www.nisc.go.jp/conference/cs/ciip/dai07/pdf/07shiryou0201.pdfPDF)。
  23. (※23)FBI、"2015 Internet Crime Report"(https://pdf.ic3.gov/2015_IC3Report.pdfPDF)。
1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る