Internet Infrastructure Review（IIR）Vol.31
2016年6月13日発行

Anonymousなどの活動

脆弱性とその対応

この期間中では、Microsoft社のWindows（※2）（※3）（※4）（※5）（※6）（※7）（※8）、Internet Explorer（※9）（※10）（※11）、Office（※12）（※13）、Edge（※14）（※15）（※16）などで多数の修正が行われました。Adobe社のAdobe Flash Player、Adobe Acrobat及びReaderでも修正が行われています。Oracle社のJava SEでも四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。これらの脆弱性のいくつかは修正が行われる前に悪用が確認されています。

サーバアプリケーションでは、データベースサーバとして利用されているOracleを含むOracle社の複数の製品で四半期ごとに行われている更新が提供され、多くの脆弱性が修正されました。DNSサーバのBIND9でも、制御チャンネルの入力処理の不具合や、DNSSEC検証に利用される署名レコードの処理の不具合によって、外部からDoS攻撃が可能となる脆弱性などが見つかり修正されています。Linuxディストリビューションなどに含まれるThe GNU C Library（glibc）では、攻撃者が不正なDNS応答を送ることによって名前解決ライブラリの関数においてバッファオーバーフローが発生し、リモートからコード実行が可能となる脆弱性が見つかり修正されています（※17）。SSL/ TLSの実装においても、ハッシュの衝突を利用してTLSの安全性を破る攻撃（SLOTH）、SSLv2の暗号通信を解読可能な攻撃（DROWN）、タイミング攻撃によってRSAの秘密鍵が復元可能となる攻撃（CacheBleed）などが見つかり、NSSやOpenSSL などの実装においてそれぞれ脆弱性が修正されています。

ネットワーク機器に関して、製品にあらかじめ固定パスワードの管理用アカウントが設定されていて、バックドアとなりうる脆弱性がフォーティネット社やシスコ社の製品で見つかり、それぞれ修正されています。また鍵交換プロトコルIKEv1/IKEv2において、転送量の増幅によってDoS攻撃の踏み台となるプロトコル仕様上の問題が見つかり、該当する複数の製品においてファームウェアの更新や回避策の公開などが行われています（※18）。

ランサムウェアによる被害の拡大

昨年後半からランサムウェアの感染による被害が国内外で拡大しており、この期間においても継続しています。ランサムウェアは「身代金要求型ウイルス」などと呼称されることもあるマルウェアの一種であり、感染するとコンピュータ内にある特定の種類のファイルなどを暗号化して人質にとり、復号のための鍵の提供に対してユーザにBitcoinなどで金銭を要求します。TeslaCrypt、Locky、Samas、Petyaなど複数種類のランサムウェアの感染活動が非常に活発になっており、個人ユーザだけでなく企業などの組織内でも被害が広がっています。特にこの期間内においては海外の病院での感染事例が多数報告されました。2月には米国のロサンゼルスにある病院で複数のコンピュータがランサムウェアに感染し、医療活動に支障が出る事態となりました。この病院では復旧を優先させるために総額で40BTC （約1万7千ドル）の身代金を支払ったと報告されています。この他にもドイツやニュージーランドでも病院でのランサムウェア感染被害が確認されています。こうしたことから3月にはUS-CERTがランサムウェアに関する注意喚起を行い、バックアップを取得しておくなどの対策を呼び掛けました。一方で一気に市場が拡大したことから暗号化の仕組みに不備があるような品質の低いものも多く、ランサムウェアの種類によっては身代金の支払いを行わなくてもファイルを復旧できる場合があります。ランサムウェアの詳細については「1.4.1 各種のランサムウェアとその対策」も併せてご参照ください。

政府機関の取り組み

昨年に続いて政府は2月1日から3月18日までを「サイバーセキュリティ月間」と定め、政府機関はもとより、広く他の関係機関や団体などの協力の下、サイバーセキュリティに関する普及啓発活動を集中的に推進しました（※19）。

総務省は2月より「官民連携による国民のマルウェア対策支援プロジェクト（Advanced Cyber Threats response InitiatiVE（略称「ACTIVE」））」を通じたマルウェア感染者の被害未然防止の取り組みを開始したことを公表しました。一般財団法人日本データ通信協会テレコム・アイザック推進会議と連携して国内のインターネット・サービス・プロバイダ（ISP）事業者へ「ACTIVE」において得られたC&Cサーバに関する情報提供を行い、各ISP事業者において、当該情報に基づき、マルウェアとC&Cサーバ間の通信を抑止すると共に、マルウェアに感染した端末の利用者への注意喚起を行うことで被害を軽減するものです。この取り組みは総務省より昨年公表された「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第二次とりまとめ」（※20）の内容に準じています。

また2月には「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案」が閣議決定されて第190回通常国会に提出され、両院での審議を経て4月14日に可決、成立しました。本改正案により、内閣官房内閣サイバーセキュリティセンター（NISC）による国の行政機関の情報システムの監視対象が、中央省庁だけでなく独立行政法人及び指定法人まで拡大し、監視体制の強化が段階的にすすめられます。またサイバーセキュリティに関する助言を行う国家資格「情報処理安全確保支援士」が新設されることになります。

その他

2015年12月に米国で起きたサンバーナーディーノ銃乱射事件の捜査に関連して、犯人の1人が所持していたiPhoneのロックをFBIが解除できるよう、技術的な支援を行うことをApple社に対して連邦裁判所が命令したことが2月に話題となりました。最新のiOSではiPhoneのロック解除やデータの抽出を製造元であるApple社自身も実施することは不可能な仕組みになっています。そのためFBIはロック解除に必要なパスコードを総当たりで試行できるように、このような試行を妨害するためのセキュリティ保護機能を無効にした特殊なソフトウェアを作成することをApple社に要求しました。これに対してApple社は裁判所命令を拒否して法廷で争う姿勢を見せていましたが、3月になってFBIが別の手段によってロック解除に成功したことから、訴訟は取り下げられて決着しました。しかし今回FBIがロック解除に成功した方法は最新機種のiPhoneには有効ではなく、他の捜査に関連して同様の要求がApple社に対して既に行われています。また米国議会ではテクノロジー企業に対して暗号解除を義務づける法案を提出する動きがあり、暗号規制をめぐる今後の動向が注目されています。

この期間でも、別のサイトから取得したIDとパスワードのリストを使用したと考えられる不正ログインの試みが継続して発生しています。ポイントサービスのサイトや、ゲームサイトなどが攻撃対象となっており、Webサイト上のポイントを不正に交換されるなどの金銭的な被害も発生しています。

フィッシング対策協議会に報告されているフィッシングの件数は昨年12月から急増しており、特に2月に入って金融機関の名を騙るフィッシングが複数の銀行で発生したことから、2月の報告件数は2,935件に昇っています（※21）。金融機関によっては、フィッシングメールではなく、SMSで誘導されるフィッシングサイトも見つかっており、引き続き注意が必要な状況です。

2月にはバングラデッシュ中央銀行において1億ドルを越える不正送金が発生し、銀行単一の被害金額としては過去最大の事件となりました。犯人は銀行内のシステムに不正にアクセスし、ニューヨーク連邦準備銀行が管理するバングラデッシュ中央銀行の外為為替口座からフィリピンとスリランカの銀行口座に不正な送金を指示しました。このとき送金先の口座名にスペルミスがあったことから不正が発覚しましたが、それまでに1億ドルを越える金額既に送金され、その大半は回収できていません。

2015年10月に米CIA長官John Brennan氏のAOLのメールアカウントなど、複数の米政府関係者のアカウントがハッカーグループに乗っ取られるという事件が起きました。このグループは1月に米国家情報長官James Clapper氏のアカウントを乗っ取ると、更に2月には米司法省の職員のコンピュータに侵入し、不正に取得した数万人分の連邦政府職員の情報をインターネット上のサイトに公開しました。その後このグループの複数のメンバーがイギリスなどで相次いで逮捕されましたが、いずれもティーンエイジャーでした。彼らはこれらの侵入を行うにあたりソーシャルエンジニアリングのテクニックを巧みに利用しました。例えばCIA長官が利用している電話会社Verizon社の技術者になりすましてVerizon社に電話して長官個人のアカウント情報を聞き出し、この情報を利用してメールアカウントのパスワードをリセットしました。また司法省の職員になりすましてヘルプデスクに電話して、コンピュータに侵入するのに必要なトークン情報を入手したりしていました。こういった攻撃手法は技術的な対策のみで防ぐことは難しく、情報開示ルールの整備と運用、教育など、人が弱点になることを考慮した多面的な対策が求められます。