Internet Infrastructure Review（IIR）Vol.23
2014年5月28日発行

Anonymousなどの活動

この期間においても、Anonymousに代表されるHacktivistによる攻撃活動は継続しています。様々な事件や主張に応じて、多数の国の企業や政府関連サイトに対するDDoS攻撃や情報漏えい事件が発生しました。1月には、ブラジルの複数の政府関連サイトに対してWeb改ざんの被害が発生しています。同じく1月には、昨年自殺した活動家にちなみ、マサチューセッツ工科大学（MIT）のWebサイトが改ざんされています（OpLastresort）。

ウクライナ情勢では、EUやウクライナとロシアやその周辺国のAnonymousなどによって、政府機関へのDDoS攻撃や野党議員のメールの漏えい、クレジットカード情報の漏えいやマスコミのWebサイトへの攻撃などが複数発生しています。更に、3月には、これに関連していると考えられる、北大西洋条約機構（NATO）へのDDoS攻撃が発生しました（※2）。

他にも、南米や欧州を中心に、世界各国の政府とその関連サイトに対して、Anonymousなどによる攻撃が継続して行われました。また、Syrian Electronic Armyを名乗る何者かによるSNSアカウントの乗っ取りや、Webサイト改ざんも継続して発生しており、被害を受けた企業にはMicrosoftやSkypeなどの著名な企業も含まれていました。

脆弱性とその対応

この期間中では、Microsoft社のWindows （※3） （※4） （※5） （※6）、 Internet Explorer（※7） （※8）、などで修正が行われました。Adobe社のAdobe FlashPlayer、Adobe Reader及びAcrobat、ShockwavePlayerなどでも修正が行われました。Oracle社のJava SEでも四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。なお、この更新ではセキュリティ機能の変更が行われ、署名の付いていないJavaアプレットについては実行が制限されるなど、初期設定でのセキュリティの強化が行われています（※9）。これらの脆弱性のいくつかは修正が行われる前に悪用が確認されています。

サーバアプリケーションでは、データベースサーバとして利用されているOracleを含むOracle社の複数の製品で、四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。また、DNSサーバのBIND9では、NSEC3を用いてDNSSEC署名されたゾーンを保持している権威DNSサーバとして運用していた場合に、DNS問い合わせ受信時の処理の不具合によるnamedが異常終了する脆弱性が見つかり修正されました（※10）。時刻同期に利用されているNTPについても、サーバの管理機能を悪用して、他者へのDDoS攻撃に繋がる不具合が見つかり、修正が行われました。また、この不具合を悪用した攻撃が複数発生しており、注意喚起が行われています。詳細については「1.4.2DrDoS攻撃とその対策」も併せてご参照ください。

3月には半年に1度行われるCisco Systems社のIOSで定例アップデートが行われ、システム停止の可能性のある脆弱性などが修正されています（※11）。CMSとして利用されるWordPressについてもPingback機能を悪用した他者へのDDoS攻撃に繋がる不具合が見つかっています。また、実際にこの不具合を悪用した攻撃が発生しています（※12）。

Webサービスに対する攻撃

この期間でも、昨年から多数発生しているユーザのIDとパスワードを狙った試みと、取得したIDとパスワードのリストを使用したと考えられる、なりすましによる不正ログインなどのWebサービスへの不正ログインや、Web改ざんによるマルウェア感染が継続しています。

ISPやゲームサイト、交通機関のサイトやクレジットカード会社、SNSなど様々なサイトでリスト型攻撃による不正なログインの試みが行われる事件が多く発生しています。この内、航空会社のマイレージサービスで発生した不正ログイン事件では、サイト上のポイントを他のギフトポイントに不正に交換されるなどの被害が発生しました。被害が発生した一部のサイトについては、ユーザが設定できるパスワードの文字列の長さが少ないことなど、仕様に問題があることが以前から指摘されていました。このように不正アクセス事件は継続して数多く発生しており引き続き注意が必要です。

また、この期間ではWebサイトの改ざんと、改ざんされたWebサイトからマルウェアへ誘導される事件が多く発生しました。SNS関連サイトや出版・放送関連の複数の企業のWebサイト、交通機関や金融機関のWebサイトでも発生しています。誘導されたサイトでは、未修正の脆弱性を含むいくつかの脆弱性を悪用して、ドライブバイダウンロードによるマルウェアの感染活動が行われていました。これらのWeb改ざんは著名な企業のWebサイトでも発生しており今後も注意が必要です。

ccTLDへの攻撃

ccTLDを含むドメインレジストリに対しての攻撃と、それによるドメインハイジャックや情報の漏えいも継続して複数発生しています。1月には、モンテネグロのドメインである.meが何者かによる不正アクセスを受け、約3,500ドメインがハイジャックされる事件が発生しました。GoogleやYahoo、AmazonやFacebookなどのドメインの管理を行っているドメイン管理サービスのMarkMonitor社では、Syrian Electronic Armyを名乗る何者かによる管理ツールへの不正なアクセスによって、これらのドメイン情報の一部が書き換えられる事件が発生しています。

3月には、ベネズエラのISPが、Google Public DNS（8.8.8.8）の経路情報を広報したことから、ベネズエラとブラジルのネットワークでGoogle Public DNS宛の通信に影響が出ています。Google Public DNSについては、トルコで本来のサーバとは異なるサーバと通信している可能性があることが分かり、政府による検閲の可能性が指摘されています（※13）。また、トルコでは、これ以外にもTwitterやYouTubeへのアクセスが禁止されていて、政府によるインターネットへの制限が強化されていることが伺えます。

Bitcoin

仮想通貨であるBitcoin（※14）についても、その取引が拡がるにつれて、様々な事件が発生しています。この期間では、2月にBitcoin取引所の1つであるMt.Goxが、技術的な問題が発生したとして一時的に取引を中止する措置を発表しました。この数日後には、同じくBitcoin取引所の1つであるBitstampでも問題が発生したとして取引を一時的に停止しました。これらの取引所では、BitcoinのTransactionMalleabilityの問題を悪用したDoS攻撃を受けていたことを公表しています（※15）。この問題は、Bitcoinの取引に使われる固有の番号であるトランザクションIDを書き換えて広報することで、取引の妨害や多重取引を行える可能性があるものでした。Bitstampは、その後、対応を行ったとして取引を再開しましたが、Mt.Goxについては、この問題により、預かっていたBitcoinが盗まれたとして、約65億円の負債により経営破たんし、日本の民事再生法の適用を申請しました。しかし、破たん前から不透明な取引が指摘されていたことから、事業内容が明らかでないとして申し立ては棄却され、破産手続きが開始されています（※16）。

Mt.Goxについては、この問題が2011年から指摘されていたにも関わらず、システム改修を行わず放置していたことが明らかとなっています。さらに、盗まれたとされた資産の一部が古いBitcoinウォレットから見つかったことを公表したり（※17）、第三者による調査結果が公表され、問題によって盗まれた可能性のある約74万XBTのBitcoinのうち、この問題によって盗まれたのは、約386XBTだけである可能性が指摘されています。

これ以外にも、仮想通貨交換所や口座管理サービスに対する攻撃も相次いでおり、WebサイトへのDDoS攻撃や、不正侵入によりBitcoinそのものが盗まれたり、サイトのアカウント情報が盗まれるなどの事件が多く発生しています。また、米国の複数の報道機関でBitcoinの作者とされるSatoshi Nakamoto氏が見つかったとの報道がされましたが、Nakamoto氏とされた本人は否定しています。更に、現在Bitcoinの取り扱いに関する議論が各国で活発に行われています。日本でも3月に通貨に該当しないとの見解について閣議決定が行われています。

業務システムへの攻撃

昨年11月に発生した、米国の大手小売業者による顧客のカード情報の漏えい事件では、その後の調査で4000万人分のカード情報と、それ以外に7000万人分の顧客データが盗まれた可能性があることが判明しています。また、その手口についてはカードリーダーとレジを狙う特殊なマルウェアであるPOSマルウェアが利用されたことが分かりました。更に、この企業以外にも高級百貨店など複数の企業が同様の攻撃を受けていたことを発表しています（※18）。

これらの攻撃で使われたマルウェアは、暗号化してやりとりされているクレジットカードなどのデータを、支払処理の際に、レジで復号したタイミングを狙って情報を盗み出すようになっており、盗んだデータは外部のサーバに送信されていました（※19）。

今回の事件では、被害にあった事業者の取引業者に貸与したIDが不正に盗まれて悪用されたため、この事業者のネットワークに侵入した上で、攻撃が行われていたとされています。この事業者では、設備の管理システムと顧客情報の管理システムがネットワークで繋がっていたことなどが伝えられており、情報セキュリティ対策に不備があったことも、大規模な情報漏えいに繋がった原因とされています。

産業用システムやPOSシステムなどの業務用端末は、インターネットに直接つながっていなかったりすることから、企業で利用しているPCでは行われているセキュリティ上の対策やソフトウェア更新などが行われていないなど、適切な管理が行われていない場合が多く見受けられます。そのような状況から、POS端末などの業務システムに対する攻撃は今後も継続することが考えられ、注意が必要です。

正規のソフトウェアを介した攻撃

1月には、独立行政法人日本原子力研究開発機構の高速増殖原型炉もんじゅで、従業員が共同で使用しているPCからウイルスが見つかったとの発表が行われました（※20）。また、2月 には国立がん研究センター東病院で同じくPC2台がウイルスに感染していたことが公表されています（※21）。これらのウイルス感染は、動画再生ソフトの正規のアップデート機能を悪用したものでした。この事件ではユーザがインストールしていた正規のソフトウェアが利用しているアップデートサーバが不正アクセスを受けて、改ざんされていました。このため、ソフトウェアのアップデートの際に、本来のアップデートサーバから意図しない外部の第三者のサイトに誘導され、該当ソフトウェアのアップデートプログラムを装ったマルウェアがダウンロード、実行される可能性がありました（※22）。

このように正規のソフトウェア管理の仕組みを悪用された事例としては、2013年3月に韓国の複数の放送局や金融機関で多数のPCでシステム停止が発生した事件があります。この事件では被害企業内の更新管理サーバ（PatchManagement System）が不正アクセスを受け、これを介してシステム破壊を行うマルウェアが企業内の端末に配布されていました（※23）。また、最近では正規のアプリやブラウザの拡張機能などを入手し、正規のソフトウェアに不正な機能を組み込んでアップデートとして配布する事件も発生しています（※24）。

これらの問題に対処するためには、インストール済みのソフトウェアのアップデートが正当なものであるかどうかを検証する仕組みの導入や、企業内のソフトウェアアップデートサーバのセキュリティの強化などを行う必要があります。

政府機関の取り組み

政府機関のセキュリティ対策の動きとしては、1月に「第38回情報セキュリティ政策会議」が開催され、昨年6月に決定した「サイバーセキュリティ戦略」（※25）とそれを受けて、2013年度の各府省庁の取り組みを定めた「サイバーセキュリティ 2013」（※26）について、評価指標に基づくデータの把握と評価に関する基本方針が取りまとめられました。また、政府機関の情報セキュリティ対策のための統一規範などについても検討されています。更には深刻化・高度化するサイバー空間の脅威やその対応策等について理解を深めるため、2月の最初のワーキングデーを「サイバーセキュリティの日」と定め、サイバー空間の安全に資する取り組みを重点的に行うことを決定しています。また、2月には「IT利活用セキ ュリティ総合戦略推進部会」が開催され、今後のIT利活用を見据えた情報セキュリティ政策の総合的・戦略的推進について、検討が行われています。3月18日には、複数の政府機関を同時に狙うサイバー攻撃が発生したことを想定し、内閣官房情報セキュリティセンターと各府省庁及び重要インフラ事業者等との間の情報収集・共有訓練とCYMAT要員による緊急対処訓練が実施されました。

その他

1月にはICANNより新しいgTLDとして「TOKYO」と「NAGOYA」が承認されました。また3月には「OKINAWA」も承認されています（※27）。これは2012年1月からICANNが進めているgTLDの新規承認プロセス（※28）によるものです。現在、世界中から二千近い新gTLDの申請が行われており、今後も次々と新たなgTLDが承認されていくことになります。

警察庁から、「平成25年中のインターネットバンキングに係る不正送金事犯の発生状況等について」（※29）が発表され、平成25年中の発生状況は、1,315件となり、被害金額も約14億600万円と過去最大の被害であったことが報告されました。また、特に6月以降に発生件数が急増しており、IDやパスワードの入手手段として、ウイルスにより表示された不正画面に入力を促して盗むものが多くみられたことや、11月以降には、メールによるフィッシングサイトへの誘導が多発していることが報告されています。

2月には不正に入手したIDとパスワードを用いてISPへのアクセスを行ったとして、プロキシサーバを運営していた会社の社長他2名が、不正アクセス禁止法違反容疑で逮捕されています。この会社で運営していたプロキシサーバは、記録を取っておらず、利用者の追跡ができない状態で運用されていたことから、ネットバンキングの不正送金や標的型攻撃のメール送信に利用されていたとされています。

同じく2月には、一昨年話題となった、遠隔操作ウイルスに関連する一連の事件で逮捕され、威力業務妨害罪などに問われた容疑者の初公判が行われました。容疑者は無罪を主張しています。

3月には総務省から、ISPやインターネットエクスチェンジ及び研究者の協力を得て実施している、インターネットにおけるトラヒックの定期的な集計・試算の2013年11月の集計結果が公表されました（※30）。これによると2013年11月時点のブロードバンドサービス契約者の推定総ダウンロードトラヒックは、約2.6Tbpsとなり、前年同月に比べ35.6％増加となっています。また、総アップロードトラヒックは、推定で約834Gbpsとなっており、こちらも前年同月に比べて25.2％増加しています。