ページの先頭です

ページ内移動用のリンクです
  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.27
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review(IIR)Vol.27
2015年5月27日発行RSS

目次

1.2 インシデントサマリ

ここでは、2015年1月から3月までの期間にIIJが取り扱ったインシデントと、その対応を示します。まず、この期間に取り扱ったインシデントの分布を図-1に示します(※1)

Anonymousなどの活動

図-1 カテゴリ別比率(2015年1月~3月)

この期間においても、Anonymousに代表されるHacktivistによる攻撃活動は継続しています。様々な状況や主張に応じて、多数の国の企業や政府関連サイトに対するDDoS攻撃や情報漏えい事件が発生しました。1月には、一昨年自殺した活動家にちなみ、マサチューセッツ工科大学(MIT)の複数のWebサイトが改ざんされています。同じく、フィリピンではミンダナオ島で1月に発生した警察と武装組織との間の戦闘への抗議から政府の複数のWebサイトが改ざんされています。2月にはサウジアラビア王室への抗議からサウジアラビアの複数の銀行に対してDDoS攻撃が発生しています(OpSaudi)。またSyrian Electronic Armyを名乗る何者かによるSNSアカウントの乗っ取りも継続して発生しており、被害を受けた企業にはフランスの新聞社の1つであるLe Monde社なども含まれていました。これ以外にも、世界中の各国政府とその関連サイトに対して、AnonymousなどのHacktivist達による攻撃が継続して行われました。政府機関や著名人のSNSアカウントの乗っ取り事件も継続して発生しています。

また、ISILもしくはその関連組織を名乗る何者かによる、SNSアカウントの乗っ取りなどの攻撃が世界中で頻発しています。この期間でも、1月に米国中央軍のTwitterとYouTubeの公式アカウントが乗っ取られる事件や、マレーシア航空のWebサイトがDNSハイジャックによって別のWebサイトに誘導される事件が発生しました(※2)。日本でも3月に複数の企業を含むWebサイトが改ざんされる事件が発生して話題となりました。これらのWebサイト改ざん事件では、WordPressプラグインの脆弱性を悪用した攻撃が行われたと考えられます(※3)。この改ざん事件では、日本だけでなく世界中で同様の攻撃が発生していることから、米国でも4月にFBIから注意喚起が行われています(※4)。これらの攻撃に対し、フランスで発生した週刊誌襲撃事件に対するAnonymousによると考えられるイスラム過激派サイトへの攻撃が行われたり(OpCharlieHebdo)、ISIL関連のTwitterやFacebookなどのSNSアカウントについてアカウントリストを公開すると共にアカウントの停止や過去の投稿を削除するなどの攻撃が発生しています(OpISIS)。更にISILに関連していると考えられるVPNやWebサイト、そのホスティング企業のリストを公開して、停止や削除を促すなどの活動が継続して行われています。

脆弱性とその対応

この期間中では、Microsoft社のWindows(※5)(※6)(※7)、Internet Explorer(※8)(※9)などで修正が行われました。Adobe社のAdobe Flash Playerでも修正が行われました。Oracle社のJavaSEでも四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。これらの脆弱性のいくつかは修正が行われる前に悪用が確認されています。

サーバアプリケーションでは、データベースサーバとして利用されているOracleを含むOracle社の複数の製品で四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。DNSソフトウェアのBIND9ではDNSSECのトラストアンカーの管理において不具合があり、特定の条件下でサーバの異常動作やサービスの停止が可能となる脆弱性が修正されています。時刻同期に利用されているntpdについても、細工を施したパケットにより、ACLによる制限の回避や異常終了などの可能性のある脆弱性が複数修正されました。Linuxディストリビューションなどに含まれるThe GNU C Library(glibc)ではバッファオーバーフローによりアプリケーションの異常終了などの可能性がある脆弱性が修正されています。SSL/TLSの実装にも、1990年代に行われていた米国の暗号輸出規制で使われていた512ビット以下の弱いRSA鍵を受け入れる実装があり、これを悪用した中間者攻撃により暗号化された情報を復号される可能性のある脆弱性などが公表され、OpenSSLで修正が行われています(※10)

Google社のProject Zeroからは、DRAMの高密度化によるメモリアクセス時のメモリセル間の干渉によって発生するエラーの問題(Row Hammer問題)を利用し、権限昇格が可能なことが発表され、話題となりました。シスコ社のIOSについても、半年ごとの定例アップデートが提供され、DoS攻撃を誘発したりメモリリークを引き起こしたりする恐れのある複数の脆弱性が修正されています。

ホームルータへの攻撃

この期間では、複数のホームルータに脆弱性が見つかり、修正されています。このうちいくつかの脆弱性については、第三者がルータの管理権限を不正に取得することが可能であったり、設定を任意に変更できる可能性のある脆弱性でした。また、DrDoS攻撃(※11)の踏み台として悪用される可能性のある脆弱性も見つかり修正されています。脆弱性を悪用したホームルータに対する攻撃については、2011年にブラジルなどで発生した、ルータのDNS設定を書き換えて攻撃者が用意したDNSサーバを参照させることで偽サイトへの誘導が行われた事件などがあります(※12)。また、同様の攻撃は継続して発生しており、例えば、3月にもWebアクセス解析サービスのURLを悪用した広告配信を行っていた事件が報告されています(※13)。国内でも、2014年に不正アクセスに利用されていたプロキシサーバを運用していたとして逮捕された事業者の事件では、2012年に修正が行われていたホームルータの脆弱性を悪用して、設定されていたPPPoEの認証IDやパスワードを不正に取得していたとされています。

ホームルータについては、更新が定期的に行われるPCなどとは異なり、一度設定を行ってしまえば、ユーザがその後設定の確認やファームウェアの更新などを怠りがちです。このため、脆弱性の修正が行われていても長期間にわたりその脆弱性が放置されてしまうことがあります。このような、管理が不十分なホームルータなどのネットワーク機器を狙った攻撃については今後も継続して発生すると考えられることから、定期的に設定の確認やファームウェアの更新が提供されていないかチェックするなどの適切な管理を行うことが必要です。

なりすましによる不正ログイン

この期間でも、昨年から多数発生しているユーザのIDとパスワードを狙った試みと、取得したIDとパスワードのリストを使用したと考えられる不正ログインの試みが継続して発生しています。ポイントサービスのサイトや、新聞社の関連サイト、ISPのサポートサイトなど様々なWebサイトが攻撃対象となっています。このうち、いくつかの事件ではWebサイト上のポイントを不正に交換されるなどの金銭的な被害も発生しています。

不正アクセスによる情報漏えい

不正アクセスによる情報漏えいも引き続き発生しています。1月には日本のプロスポーツ協会のWebサイトが不正アクセスを受け、内部の写真データ約2万点が流出する事件が発生しました。2月には米国の医療保険会社が、内部のデータベースに不正アクセスを受け、既存及び過去の顧客と従業員合わせて最大約8,000万人分の情報が漏えいする事件が発生しています。3月にはICANN(Internet Corporation for Assigned Names and Numbers)が、再び不正アクセスを受け、新gTLDのシステムが停止する事件が発生しました。更に、2月には国内のドメインレジストラへの不正アクセス事件が発生し、ドメイン登録の際に登録した管理者情報が漏えいするなどの被害が発生しました。この事件では、被害を受けた企業では早期のサービス再開が難しいとしてサービス再開を行わず、他業者への移管を実施することを発表しています(※14)。また、この期間では、国内の商社や新聞社など複数の企業で、マルウェア感染とそれによる情報漏えい事件が発生しました。これらの事件では、発信元を詐称してマルウェアが添付された、なりすましメールによって感染したPCなどの端末から、取引先の情報やメールの内容などが外部に送信されていた痕跡があったことなどが発表されています。

政府機関の取り組み

政府機関のセキュリティ対策の動きとしては、昨年成立したサイバーセキュリティ基本法が1月に施行され、サイバーセキュリティ戦略本部が設置されました。併せて、内閣官房情報セキュリティセンターが改組し、内閣サイバーセキュリティセンターとして発足しました。更に、2月にはサイバーセキュリティ戦略本部の第1回会合が行われ、今後の活動内容についての確認とサイバーセキュリティ施策の基本的な方針について定める新たなサイバーセキュリティ戦略についての議論が行われています。3月には個人情報の保護を図りつつ、パーソナルデータの利活用の促進による新産業・サービスの創出と国民の安全・安心の向上の実現を図る、改正個人情報保護法案が閣議決定されています。この中では、個人情報の保護及び有用性の確保に資するため、個人情報の定義の明確化や個人情報の復元ができないように加工した匿名加工情報の取り扱いについての規律を定めることや個人情報の取り扱いの監視監督権限を有する第三者機関として個人情報保護委員会を新設することなどが定められています。また、情報漏えい事件を受け、個人情報が記録されているデータベースから情報を不正に提供・盗用する行為について、個人情報データベース提供罪が創設されるなどの罰則の強化も図られています。なお、この閣議決定では特定個人情報(マイナンバーを含む情報)の利用の推進に係る制度も改正されており、マイナンバーの金融・医療などの分野における利用範囲の拡充が図られることになっています。

PCにプリインストールされたソフトウェアの問題

この期間では、Lenovo社のPCにプリインストールされていたソフトウェアの問題が話題となりました。2014年9月から2015年1月に停止されるまでの間に出荷されたPCにインストールされていたこのソフトウェアは、ユーザのブラウザ表示に広告を挿入して表示させる機能を持ったいわゆるアドウェアであり、特に自己署名証明書をローカルの証明書ストアにインストールすることで暗号化されたSSL/TLS通信にも割り込んで広告表示を行っていたことから問題となりました。更に、このインストールされた証明書の強度が十分でない暗号化方式だったことや、インストールされた証明書の秘密鍵がソフトウェア内に含まれており、秘密鍵が明らかとなってしまうなど、複数の問題があったことが指摘されています。この問題については、実際にはこのソフトウェアが利用していたSDKの問題であったことから、同じSDKを利用している複数のソフトウェアでも同じ問題があることが判明し注意喚起が行われています(※15)。Lenovo社では公表すると共にソフトウェアの除去のためツールを提供するなどの対応を行っており、セキュリティベンダーなどとも共同で対処したことから、問題のあるPCは減少していることが報告されています(※16)。しかしながら、このようなユーザの通信を傍受するような取り組みはユーザのプライバシーやセキュリティを危険にするとの指摘が米国の非営利組織などからされています(※17)

その他

1月にはカナダや米国のニュースサイトで利用していた広告配信基盤を経由してマルウェアが配布される事件が複数発生しました。この攻撃については2014年10月に発生したYouTubeを経由した偽広告によるマルウェアへ誘導する攻撃(※18)と類似点が指摘されています。このような広告配信の仕組みを使った攻撃はMalvertisingとも呼ばれ、国内でも2010年に複数の報道機関やニュースサイトで利用されていた広告配信サーバが不正アクセスによって改ざんされる事件がありましたが(※19)、その後も継続して確認されています。更に、改ざんだけでなく正規の広告枠を利用した不正なソフトウェアへの誘導も頻発しており、大量のマルウェア感染を可能にする効率的な手法として認識されています。このような広告配信の仕組みを悪用した攻撃は今後も継続して発生すると考えられることから引き続き注意が必要です。

サイバー攻撃への対応能力の強化に向けた取り組みの1つとして官民や民間企業同士の情報共有の必要性が言われています。しかし、異なる組織や企業の間での攻撃などの脅威情報の共有では、どのような情報が必要でどれを共有すべきかなど、情報の取り扱いが明確に決まっていないことから情報共有しにくいといった問題が指摘されていました。米国の非営利組織であるMITRE Corporation(MITRE)(※20)が中心となって仕様策定を進めている、攻撃などの脅威情報を構造化し、サイバー攻撃の分析、特徴となる事象の特定、サイバー攻撃対応の管理、サイバー攻撃に関する情報の共有などを目的としたXMLを用いた記述仕様であるSTIX(Structured Threat Information eXpression)について、解説を行った「脅威情報構造化記述形式STIX概説」が、IPAより公表されています(※21)

3月に米国のGitHub社に対し、複数日にわたる大規模なDDoS攻撃が発生しました(※22)。この攻撃では中国国外のユーザが中国の検索サービス事業者を利用した際に、何者かによるJavaScriptの改ざんが行われ、攻撃に利用された可能性が指摘されています(※23)

同じく3月には、エジプトの中間認証局から複数のGoogleドメインの証明書が不正に発行される事件が発生しています。これらの証明書については、主要なブラウザで当該証明書を無効にする対応が順次行われました。この事件では、証明書を発行する際の正当性の確認を、証明書を発行するドメイン名のメールアドレスを使って連絡可能であることを確認するだけで行っていたとされています。また、複数の認証局でこのように証明書発行時の正当性の確認が不十分であることが分かり、注意喚起が行われています(※24)

1月のインシデント

10月のインシデント

HTMLblank

2月のインシデント

11月のインシデント

HTMLblank

3月のインシデント

12月のインシデント

HTMLblank

  1. (※1)このレポートでは取り扱ったインシデントを、脆弱性、動静情報、歴史、セキュリティ事件、その他の5種類に分類している。
    脆弱性:インターネットや利用者の環境でよく利用されているネットワーク機器やサーバ機器、ソフトウェアなどの脆弱性への対応を示す。
    動静情報:要人による国際会議や、国際紛争に起因する攻撃など、国内外の情勢や国際的なイベントに関連するインシデントへの対応を示す。
    歴史:歴史上の記念日などで、過去に史実に関連して攻撃が発生した日における注意・警戒、インシデントの検知、対策などの作業を示す。
    セキュリティ事件:ワームなどのマルウェアの活性化や、特定サイトへのDDoS攻撃など、突発的に発生したインシデントとその対応を示す。
    その他:イベントによるトラフィック集中など、直接セキュリティに関わるものではないインシデントや、セキュリティ関係情報を示す。
  2. (※2)Malaysia Airlines、"Media Statement on Malaysia Airlines' Website"(http://www.malaysiaairlines.com/my/en/corporate-info/press-room/2015/media-statement-malaysia-airlines-website.htmlblank)。
  3. (※3)警察庁、「『Islamic State(ISIS)』と称する者によるウェブサイト改ざんに係る注意喚起について」(http://www.npa.go.jp/cyberpolice/detect/pdf/20150312.pdfPDF)。
  4. (※4)The Internet Crime Complaint Cente(r IC3)、"ISIL DEFACEMENTS EXPLOITING WORDPRESS VULNERABILITIES"(https://www.ic3.gov/media/2015/150407-1.aspxblank)。
  5. (※5)「マイクロソフト セキュリティ情報 MS15-002 - 緊急 Windows Telnet サービスの脆弱性により、リモートでコードが実行される(3020393)」(https://technet.microsoft.com/ja-jp/library/security/ms15-002.aspxblank)。
  6. (※6)「マイクロソフト セキュリティ情報 MS15-010 - 緊急 Windows カーネルモード ドライバーの脆弱性により、リモートでコードが実行される(3036220)」(https://technet.microsoft.com/ja-jp/library/security/ms15-010.aspxblank)。
  7. (※7)「マイクロソフト セキュリティ情報 MS15-011 - 緊急 グループ ポリシーの脆弱性により、リモートでコードが実行される(3000483)」(https://technet.microsoft.com/jajp/library/security/ms15-011.aspxblank)。
  8. (※8)「マイクロソフト セキュリティ情報 MS15-009 - 緊急 Windows Telnet Internet Explorer 用のセキュリティ更新プログラム(3034682)」(https://technet.microsoft.com/ja-jp/library/security/ms15-009.aspxblank)。
  9. (※9)「マイクロソフト セキュリティ情報 MS15-018 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム(3032359)」(https://technet.microsoft.com/ja-jp/library/security/ms15-018.aspxblank)。
  10. (※10)OpenSSL Security Advisory [08 Jan 2015] DTLS segmentation fault in dtls1_get_record(CVE-2014- 3571)(https://www.openssl.org/news/secadv_20150108.txtblank)。
  11. (※11)詳細については、本レポートのVol.23(http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol23.pdfPDF)の「1.4.2 DrDoS攻撃とその対策」も参照のこと。
  12. (※12)詳細については、次のIIJ-SECT Blog、「ホームルータへの不正な設定変更による偽DNSサーバの参照」(https://sect.iij.ad.jp/d/2012/06/148528.htmlblank)などを参照のこと。
  13. (※13)Ara Labs Technology、"Ad-Fraud Malware Hijacks Router DNS – Injects Ads Via Google Analytics"(http://sentrant.com/2015/03/25/ad-fraud-malware-hijacks-router-dns-injects-ads-via-google-analytics/blank)。
  14. (※14)有限会社テレワークコミュニケーションズ、「お客様情報の漏えいに関するお詫びとご報告」(http://www.ariqui.net/blank)。
  15. (※15)JVN、「JVNVU#92865923 Komodia RedirectorがルートCA証明書と秘密鍵をインストールする問題」(http://jvn.jp/vu/JVNVU92865923/blank)。
  16. (※16)Microsoft Malware Protection Center、"MSRT March:Superfish cleanup"(http://blogs.technet.com/b/mmpc/archive/2015/03/10/msrt-march-superfishcleanup.aspxblank)。
  17. (※17)Electronic Frontier Foundation(EFF)、"Dear Software Vendors:Please Stop Trying to Intercept Your Customers’ Encrypted Traffic"(https://www.eff.org/deeplinks/2015/02/dear-software-vendors-please-stop-trying-intercept-your-customers-encryptedblank)。
  18. (※18)トレンドマイクロセキュリティブログ、「YouTube上の偽広告からランサムウェア感染へ誘導、主に米国で被害」(http://blog.trendmicro.co.jp/archives/10094blank)。
  19. (※19)マイクロアド社、「【障害報告】弊社サービスの改ざんに関するお詫びと報告」(http://www.microad.co.jp/news/information/detail.php?newid=News-0118blank)。
  20. (※20)MITRE Corporation(http://www.mitre.org/blank)。
  21. (※21)IPA、「脅威情報構造化記述形式STIX概説」(http://www.ipa.go.jp/security/vuln/STIX.htmlblank)。
  22. (※22)この攻撃については、例えば次のSophos社のNakedsecurity Blog、"Greatfire.org faces daily $30,000 bill from DDoS attack"(https://nakedsecurity.sophos.com/2015/03/20/greatfire-org-faces-daily-30000-bill-from-ddos-attack/blank)などを参照のこと。
  23. (※23)攻撃手法については、次のレポートに詳しい。"Using Baidu 百度 to steer millions of computers to launch denial of service attacks"(https://drive.google.com/file/d/0ByrxblDXR_yqeUNZYU5WcjFCbXM/viewblank)。
  24. (※24)JVN、「JVNVU#92002857複数の認証局においてメールアドレスのみに基づいて証明書を発行している問題」(https://jvn.jp/vu/JVNVU92002857/index.htmlblank)。
1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る