Internet Infrastructure Review（IIR）Vol.26
2015年2月25日発行

Anonymousなどの活動

脆弱性とその対応

この期間中では、Microsoft社のWindows（※2）（※3）（※4）（※5）、Internet Explorer（※6）（※7）（※8）、Microsoft Office（※9）などで修正が行われました。12月には、Windows 8.1 Updateの未修正の脆弱性（※10）について、発見者であるGoogle社が公開したことから話題となりました。これはGoogle社の報告から90日後に自動で脆弱性情報を公開する場合があるとのポリシーによるものでしたが、公開について問題が指摘されています（※11）。Adobe 社のAdobe Flash Player、Adobe Reader及びAcrobatでも修正が行われました。ジャストシステム社の一太郎では、第三者が任意のプログラムを実行できる可能性のある脆弱性が見つかり、修正されています。Oracle社のJava SEでも四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。これらの脆弱性のいくつかは修正が行われる前に悪用が確認されています。

サーバアプリケーションでは、データベースサーバとして利用されているOracleを含むOracle社の複数の製品で四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。CMSとして利用されるDrupalについてもSQLインジェクションの脆弱性が見つかり、修正されました。同じく、WordPressについても、XSSの脆弱性を含め、複数の脆弱性が修正されています。これらの脆弱性については、実際に管理者権限を奪われるなどの被害が確認されています（※12）。BIND、Unboundなどの複数のDNSソフトウェアでは、外部からサーバの異常動作やサービスの停止が可能となる脆弱性が修正されています。時刻同期に利用されているntpdについても、細工を施したパケットにより、ntpdの実行権限で任意のコードが実行される可能性のある脆弱性が見つかり修正されました。

10月にはSSL/TLSサーバなどで利用されているSSLv3に対する新たな攻撃として、POODLE attack（Padding Oracle On Downgraded Legacy Encryption attack）と呼ばれる攻撃手法が公開されました（※13）。この脆弱性はプロトコル仕様自体の問題であったことから、クライアントである主要なWebブラウザやサーバにおいて、SSLv3を無効とする修正が行われたり、設定方法が公開され、対策が行われました。

ドメイン名のレジストリへの攻撃

この期間では、ドメイン名のレジストリやレジストラに対する攻撃による登録情報の不正書き換えと、その結果として不正なサイトへの誘導が複数発生しています。10月には、インドネシアのドメインである.idを管理しているccTLDレジストリであるPANDIが不正アクセスを受け、Googleの現地サイトが別のサイトに誘導される事件が発生しています。大手動画サイトでは、偽広告を利用して、ユーザをランサムウェアに感染させようとする攻撃が確認されました。この事件では、攻撃者が何らかの方法でポーランド政府のドメインのDNS情報を改ざんし、正規のサイトに見せかけていたことが指摘されています。日本の大手新聞社やSNSサービスでも、レジストリ登録情報の不正な書き換えが原因と考えられる、不正なサイトへの誘導と特定のユーザに対するマルウェアへの感染を試みる事件が発生しました。これについては香港で行われていたデモに関連した攻撃との報告が米国のセキュリティ企業から行われています。11月にも国内の複数の大手サイトで、Syrian Electronic Armyと名乗る何者かによるメッセージと画像が表示される事件が発生しました。この事件では、これらのサイトで利用していたSNS連携サービスについて、レジストリへの不正アクセスによりネームサーバに関する登録情報が書き換えられたことで、攻撃者が用意したと考えられる別のサイトに誘導されていました。これにより、当該サービスを利用していた、国内外の大手サイトを含む多くのサイトが影響を受けました。このような事件に国内企業が巻き込まれる事例が複数発生したことから、JPCERTコーディネーションセンターなど複数の団体から注意喚起が行われています。詳細については、「1.4.1 ドメイン名のレジストリ登録情報の改ざん対策」も併せてご参照ください。

政府機関の取り組み

政府機関のセキュリティ対策の動きとしては、前国会から継続審議されていた「サイバーセキュリティ基本法」について、11月の衆議院本会議において可決され、成立しました。これにより、サイバーセキュリティ戦略本部の設置や、セキュリティ戦略案の作成、行政機関のセキュリティ基準の策定、行政機関で発生したセキュリティインシデントの調査など、行政機関などにおけるセキュリティの確保に向けたサイバーセキュリティの推進体制や機能の強化が図られることとなります。更に、重要インフラ事業者におけるセキュリティ確保の促進や官民連携による対策の強化など、国と民間企業の更なる連携についても期待されています。

これを受け、情報セキュリティ政策会議第41回会合が開催され、国のサイバーセキュリティ推進体制の機能強化に関する取り組み方針が決定されています（※14）。また、具体的な取り組みとして国民全体の情報セキュリティへの関心、理解度、対応力の強化増進を図り、我が国の情報セキュリティ水準の向上を目指した、「情報セキュリティ社会推進協議会」が11月に設立されています。同じく11月には、警察庁の総合セキュリティ対策会議で検討されていた、いわゆる日本版NCFTA（※15）について、産業界、学術研究機関、捜査機関などが参加する 「一般財団法人 日本サイバー犯罪対策センター（JC3）」が業務を開始しました。JC3では、参加組織それぞれが持つサイバー空間の脅威に関する情報の共有や分析、対処に向けた研究開発、トレーニングの提供、米国NCFTA（※16）など海外機関との連携といった取り組みを通じ、安全・安心なサイバー空間の実現を推進する活動を行っていくとしています。

Webサイトの改ざん

10月には国内の新聞社の運営するWebサイトが不正アクセスを受け、フィッシングサイトとして悪用される事件が発生しています。この事件では、当該サイトを閉鎖し調査が行われましたが、1ヵ月以上経った12月に、調査の終了と、安全性の検証が完了し、安全が確認されたとしてサービスを再開しています。12月にはドメインやIPアドレスなど、インターネットの各種資源の管理と調整を行っているICANN（Internet Corporation for Assigned Names and Numbers）が、不正アクセスを受け、Centralized Zone Data System（czds.icann.org）を含む複数のシステムへのアクセスが確認されたとして、パスワードを無効化する措置を講じたことを発表しました。この事件では、11月に発生した内部職員を装ったフィッシングメール攻撃によって流出したパスワードなどの情報が使われていました。同様に、DNSサーバとして利用されるBINDの開発元であるInternet Systems Consortium（ISC）のWebサイトが不正アクセスを受け、マルウェア配布サイトに誘導するよう改ざんされる事件が発生しています。この事件ではWordPressの脆弱性が悪用され、改ざんされたとされています。

国内でも出版社のWebサイトが不正アクセスを受け、別のWebサイトに誘導される事件が発生しています。この事件では、フィッシングメールによって会員情報の確認を騙った偽のログインフォームに誘導し、IDやパスワードなどの情報を不正に取得する手口が利用され、クラウドサービスの管理権限を持つIDが窃取されたことが原因とされています。

企業の内部情報を狙った攻撃

この期間では引き続き、企業の業務システムなどへのマルウェア感染による内部情報の漏えい事件が発覚しています。10月には、複数の小売り事業者でマルウェア感染が見つかっていますが、このうちの1社では昨年から複数の情報漏えい事件で使用されているPOSシステムを狙ったマルウェアBackoffであったことが公表されています（※17）。このマルウェアについては、8月にUS-CERTから注意喚起が行われていますが（※18）、その後も継続的に感染事件が発生していることから、活発な活動が行われていることが伺われ、引き続き注意が必要です。

11月には米国の大手映画会社に対して大規模な攻撃が発生しました。この事件では、社内PCのマルウェア感染により、公開前の映画データ、映画関係者のパスポート情報、従業員のメールデータやその他の個人情報を含む社内データが大量に外部へ流出し、特定の映画について上映しないことを要求する脅迫が行われたり、何者かが流出したデータを複数回に分けて公開するなど、その後も混乱が続きました。使われたマルウェアには、対象となった企業で使われていた特定のセキュリティソフトを無効化する機能や、PC上のデータを破壊する機能などが含まれており、今回の攻撃がこの企業を狙って周到に準備した上で実行されたことが窺われます。今回使用されたマルウェアについては、複数のセキュリティ企業から2013年に韓国の複数の放送局、金融機関で発生した同時多発的なマルウェア感染による事件（※19）に使われたものとの類似性が指摘されています（※20）。

12月には、韓国の電力会社がマルウェアが添付されたメールによる攻撃を受け、内部情報が漏えいする事件が発生しています。この事件では犯人から原子力発電所の稼働中止や金銭の要求などが行われ、その後、原子炉の設計図や従業員の個人情報などが複数回に渡ってインターネットに公開されるなどしています。

その他

米国では、FBIが違法薬物売買などの犯罪サイトであるSilk Road 2.0の閉鎖と運営者の逮捕を実施したことを発表しました。これに関連して、欧州刑事警察機構（Europol）は、米国や欧州16ヵ国の捜査当局と連携してTor上で運営されていた犯罪サイトの大規模な摘発を行っています。この作戦では「Tor」を使った「.onion」ドメイン400件以上が差し押さえられ、大量の逮捕者と共にビットコインや現金、様々なドラッグ、金などの貴金属が押収されています。

11月には不正に取得したIDとパスワードを用いて違法にプロキシサーバを運用していたとして、警視庁や都道府県の合同捜査本部が全国で一斉捜索を行い、不正アクセス禁止法違反などの容疑で複数人が逮捕されています。この事件については、運用されていたサーバではソフトウェアの海賊版が使われていたとして、著作権法違反（複製権侵害または海賊版業務使用）の容疑でも複数人が逮捕されています（※21）。盗まれたIDとパスワードについては一部の無線LANルータの既知の脆弱性が悪用されたとされており、不正アクセスや大手銀行へのフィッシングなどに悪用されていました。

11月にはReginと呼ばれるマルウェアが話題となりました。このマルウェアはベルギーの通信事業者が感染していたとされており、侵害したネットワーク内に潜伏して監視を行うように設計されていました。更にパスワードの窃取やネットワークトラフィックの監視などの通常のRAT機能の他に、携帯電話の基地局のモニター機能など特殊な機能も確認されています（※22）。

12月にはドイツ内務省連邦情報技術安全局（BSI）からITセキュリティ白書が公開され、製鉄所への攻撃が発生し、操業停止させられたことから生産設備に被害が発生した事件が起きていたことが明らかとなりました。

この期間では、大規模なDDoS攻撃がいくつか発生しています。12月にはLizard Squadを名乗る何者かによるPSNやXbox Liveなどの複数のオンラインゲームサービスやTorに対する攻撃が発生しています。この攻撃者はその後、一連の攻撃に利用した攻撃基盤を、DDoS攻撃ツールとして提供したことから、実際にいくつかのサイトのDDoS攻撃に悪用されました。1月になってメンバーと思われる複数人が逮捕されていますが、その後も残ったメンバーによって継続して攻撃が行われていることから、引き続き注意が必要です。