日本IBMとトレンドマイクロは7月7日、標的型攻撃をはじめとするサイバー攻撃対策として、製品連携を強化すると発表した。両社は、QRadarとDDIを組み合わせたソリューション展開を推進、対応するビジネスパートナーの拡充を図るという。多種多様な機器からの脅威情報をリアルタイム検知して高度な相関分析を行うIBMのソフトウェア「IBMSecurity QRadar(QRadar)」とトレンドマイクロのネットワーク監視製品「Deep Discovery Inspector(DDI)」の連携を強化ビジネスパートナーの第一弾としては、SCSKが7月7日より、同ソリューションのシステム構築サービス「DDI×QRadar連携サービス」の提供を行なっている。この製品連携強化により、脅威の早期発見と早期対処を支援する高度なログ分析が可能となる。具体的には、トレンドマイクロのセキュリティリスク分析基準をQRadarにテンプレートで搭載。これにより、セキュリティ専門家の知見を活用し、QRadarが自動的にリスク分析を実施。より高度なログの相関分析が可能になる。また、企業IT管理者の監視運用の工数を低らすことや、脅威の早期発見や対処につながるメリットもある。今後、日本IBMとトレンドマイクロは、総合サーバセキュリティ対策製品「Trend Micro Deep Security」や、企業向け総合セキュリティソフト「ウイルスバスター コーポレートエディション」などとの連携も進め、組織内ネットワークにおける各層のセキュリティログを集約し管理する多層防御の実現を目指すという。
2015年07月08日ESETは7月6日(現地時間)、「400GB of info leaked from Hacking Team」において、セキュリティ企業であるHacking Teamが攻撃を受け、400GBを超える機密情報が漏洩したと伝えた。こうしたサイバー攻撃による機密情報の漏洩は毎日のように世界中で起こっているが、今回はセキュリティ企業で起こった点で他の事件よりも重大と指摘されている。今回の情報漏洩のきっかけは強度の弱いパスワードを使っていたことにあるという。盗まれた情報の中にはHacking TeamのTwitterのアカウント情報も含まれており、攻撃者はHacking TeamのTwitterアカウントを乗っ取って機密情報のバラマキに使用している。ESETは今回の事件を受けて、セキュリティレベルが高いであろうはずの企業であっても、弱いパスワードを使っていただけで壊滅的な事態を引き起こす可能性を持っており、どんな会社であってもこうした危険性から逃れることはできないと指摘している。
2015年07月07日ファイア・アイは7月1日、Adobe Flash Playerの脆弱性「CVE-2015-3113」を悪用したフィッシング攻撃の詳細を公開した。アドビは、すでにCVE-2015-3113用のパッチを公開し、Adobe Flash Playerのユーザーには、早急に最新版へアップデートするようにと呼び掛けている。同社によると、CVE-2015-3113への脆弱性攻撃に関与しているのは、中国の脅威グループ「APT3(別名「UPS)」であることがわかっている。同社がAPT3を特に危険視する脅威グループとしており、日頃から動向を追っている。近年のAPT3の動向は、大規模で組織的なフィッシング攻撃を展開しており、「航空宇宙・防衛」「建設・土木」「ハイテク」「通信」「運輸」といった業種を標的としている。Adobe Flash Playerの脆弱性攻撃では、標的とされた組織がフィッシングメールに記載されているURLをクリックすると、JavaScriptのプロファイルスクリプトが仕込まれた感染サーバーへといったんリダイレクトされる。その後、標的とするホストのプロファイリングが完了すると、悪意のあるSWFファイルとFlash Video(FLV)ファイルがダウンロードされ、専用のバックドアであるSHOTPUTが被害者のシステムに送り込まれる。ペイロードはXORエンコードを用いて難読化されており、有効なGIFファイルに付与される。APT3が今回の攻撃で使用したフィッシングメールは巧妙に作られており、一見しただけでスパムメールと判断が付かないという。今回の攻撃で悪用されているのは、Adobe Flash PlayerがFLVファイルを解析する際のゼロデイ脆弱性。脆弱性を悪用した攻撃は、一般的なベクトル破壊手法を用いてアドレス空間配置のランダム化(ASLR)機能を迂回し、リターン指向プログラミング(ROP)を用いてデータ実行防止(DEP)機能を迂回するというもの。ROP手法の巧妙なトリックにより、脆弱性の攻撃は容易になっており、一定のROP検知手法も回避できるという。シェルコードは、復号時に使用する鍵と一緒にパックされたAdobe Flash Playerのエクスプロイト内に保存されており、ペイロードはXORで暗号化され、画像内に隠されているという。Adobe Flash Playerのエクスプロイトは、シンプルなRC4パッカーでパックされている。RC4の鍵と暗号データは、BinaryDataブロブに格納されており、パッカーがレイヤー2のAdobe Flash Playerファイルを復号するのに使用する。復号が完了すると「loader.loadBytes」によってレイヤー2が実行される。レイヤー2は、Adobe Flash Playerのベクトル破壊手法を用い、ヒープ破壊の脆弱性を利用し、ActionScript3のメモリ空間を読み書きする。この手法は、攻撃者がAdobe Flash Playerのベクトルにヒープ・スプレー攻撃を行い、ActionScript3に書き込み可能な脆弱性を利用することで、ベクトルの1つについてサイズの変更を行う。次に、破壊したベクトル・オブジェクトに対して当初割り当てられていたメモリの境界外に、ActionScript3経由でその後の読み書きを行う。攻撃者は、メモリへの制限付き読み書きアクセスを得ると、第2ベクトルを破壊しアクセスする範囲を「0x3fffffff」バイトへ拡張させる。この第2ベクトルは、その後のエクスプロイトで使用されている。攻撃者はROPチェーンを用いてkernel32!VirtualAllocを呼び出し、自らのシェルコードを実行可能にした後、シェルコードにジャンプする。その際、シェルコードやペイロードと一緒にROPチェーンをヒープに書き込むのではなく、別の手法が用いられているという。エクスプロイトの開発者は、これまでSoundオブジェクトなどAdobe Flash Playerの組み込みオブジェクトを破壊させるのが一般的であったが、最近ではByteArrayオブジェクトを用いControl Flow Guard (CFG) をバイパスすることもあるという。しかし、今回の攻撃者は、以下のように多数の引数を持つ関数を使用し、ActionScript3内で自らのクラスを定義する方法を選んでいる。スタック・ポインタを加算し、ROPへとリターンするガジェットにより、攻撃者は関数ポインタを簡単に上書きできるようになる。その際、ROPチェーンの絶対アドレスを特定し、一般的なxchg reg32, espピボット用にレジスタに保存する必要はないという。さらに、スタック上にROPチェーンを保存することで、スタック・ポインタがスレッドのスタック領域外を指定する際の検知に関するROPの検知メカニズムを回避できる。VirtualAlloc呼び出し後のROPチェーンにはROPsledが含まれている。同社は、開発時の中間生産物の可能性もあれば、VirtualAllocの呼び出しときに、限られた深さでリターンアドレスの有効性を検証する検知メカニズムを迂回するために作られた可能性もあると指摘している。
2015年07月03日トレンドマイクロはこのほど、複合機からメールが届いたように巧妙に偽装した、メールによる不正プログラム頒布を確認したとセキュリティブログで明かした。攻撃は、不正なマクロが含まれるWord文書が添付されたメールが送られてくるというもの。メール経由で不正なファイルを送り付けるのは攻撃者の常套手段であるが、今回は発信元のメールアドレスが自社のネットワーク対応の複合機を装っていた。届いたメールの発信元は「scanner@受信者が所属する組織のドメイン」となっていた。ドレンドマイクロ独自の統計データによると、Word文書に不正マクロを仕込んだ攻撃メールは2015年の4月以降に増加を確認している。特に多かったのが6月17日前後で、1日に2000件以上を確認したという。攻撃対象の多くは国外であったが、一部の国内にある法人でも確認されたという。偽装メールは平日に集中し土日が減少することから、土日休みの法人組織への攻撃が多いものと推測できるという。今回の攻撃は、ネットワーク対応の複合機の挙動をすべてコピーしている。一般的にスキャナー機能を利用して原稿を取り込んだ場合、指定のメールアドレスなどにスキャン画像を送信できる。今回の攻撃はその機能を悪用したもの考えられている。偽装であることは明確で、国内の法人へ届いた攻撃メールの送信者のIPアドレスが米国、ブラジル、エクアドル、ベトナム、インドなどとなっていた。また、件名が「Message from アルファベット4文字 C280」、添付ファイルが「S アルファベット4文字 C280 送信日に基づく数字列」で、ここからも複合機の通知を偽装していることがわかる。攻撃メールの受信者は、同じ日本製複合機の利用者かどうかは確認できていないというが、ある程度攻撃対象を絞った攻撃である可能性も考えられると指摘している。今回の攻撃は、以前からあったスキャナー通知型の攻撃とは異なり、不正マクロを含んだWord文書が添付ファイルに利用された。一般的にスキャナ機能では画像ファイルやPDFにして保存するため、攻撃に利用するのもPDFが多く確認されていた。なお、トレンドマイクでは、Microsoft Officeのマクロを利用した不正プログラムを利用した攻撃が2015年より海外で増加していると指摘している。現時点では、マクロ型の攻撃を比較的に簡単に防げる。Microsoft Officeは標準の設定でマクロの実行が無効となっている。無効になっている場合は、不正マクロが含まれるファイルを開いても、ユーザーが手動で実行しなければ直接的な被害を受けることはない。危険なのは、業務の都合などで常時マクロ機能を有効にしているケースだと指摘している。利用者は、自らマクロを有効にすることは、不正プログラム実行の危険性があることに注意が必要だと呼び掛けている。
2015年06月29日トレンドマイクロは6月24日、同社のセキュリティブログでAdobeがFlash Playerへのゼロデイ攻撃発生を受け緊急更新プログラムを公開したことに関する記事を公開した。Adobeは6月23日(米国時間)、Flash Playerのブラウザプラグインに存在するゼロデイ脆弱性「CVE-2015-3113」に対応するセキュリティ情報「APSB15-14」を公開。さらに、この脆弱性が標的型サイバー攻撃ですでに利用されており、「Windows 7およびそれ以前のOS に対応するInternet Explorer(IE)」と「Windows XPのFirefox」が標的となっているとして、注意を促した。この深刻な脆弱性が利用されると、攻撃者により影響を受けるシステムが制御される恐れがあるという。影響を受けるバージョンは「Windows版およびMac版のAdobe Flash Player 18.0.0.161 およびそれ以前のバージョン」「Windows版およびMac版の延長サポートリリースバージョン 13.0.0.292および、13.x以前のバージョン」「Linux版のAdobe Flash Player 11.2.202.466および 11.x以前のバージョン」。同社は、Windows版とMacintosh版のAdobe Flash Playerデスクトップランタイムの最新バージョン「18.0.0.194」でこの脆弱性に対応すると発表。Adobe のWebサイトで、どのFlash Player のバージョンを使用しているか確認できる。なお、Windows 8.1とそれ以降のOSバージョン上のGoogle ChromeとIEで起動するFlash Playerは自動的に最新バージョンに更新される。それ以外のOSバージョン上(Windows XPを含む)で起動する同ソフトウェアについては、Adobe のダウンロードセンターから更新プログラムをダウンロードして更新する必要がある。同社では、Adobe Flash Playerユーザに、自動更新機能を有効にすることを強く推奨している。
2015年06月25日前編では、標的型攻撃メール訓練に潜む落とし穴について説明を行いました(【コラム】セキュリティのトビラ 標的型攻撃メール訓練のトビラ(1))。後編では、訓練に関する"ある実験"の結果や年金機構のメール文を例に、メールテストの正しい利用法について解説していきます。○問題は?こういった訓練について2011年に興味深い実験結果が報告されているのでそちらを紹介しましょう。これは、現在IBM傘下となったTrusteerが実施したものです。セキュリティ教育を受けたと判断できるユーザー100人に対し、知人がライバル会社に転職したことを知らせるメール(ビジネスSNS「LinkedIn」の通知に偽装)を100人に送信しています。そして、メール内に記述されているリンクをクリックするかどうかを調べるというものでした。7日以内にリンクをクリックした人、クリックしなかった人の結果は以下の通りです。24時間以内にクリック:41人48時間以内にクリック:52人(24時間以内から11人増)7日以内にクリック:68人(48時間以内から16人増)クリックしなかった:32人通常の訓練であればクリックをした方にフォーカスして、何かしらの教育を行うことが多いわけですが、この実験ではクリックしなかった方に「リンクをクリックしなかった理由」を訪ねています。理由とその人数の内訳は以下の3通りです。「(見逃しやスパムフォルダに入って)そのメールを見ていない」:16人「興味を引かなかったためクリックしなかった」:9人「普段からLinkedInの更新メールは読んでいない」:7人合計すると32人になります。以上の結果を踏まえると、セキュリティの教育を十分に受けたと判断できる人でも、偽物のメールであることに気付いた上でリンクをクリックしなかった人は0人であることがわかったわけです。また、それと同時に、開いた人が7割近くいたというケースが存在するということを教えてくれています。それでは、今回の攻撃で日本年金機構に送られてきた攻撃メールの内容を見てみましょう(一部伏字)。件名:「厚生年金基金制度の見直しについて(試案)」に関する意見○ ○様5月1日に開催された厚労省「厚生年金基金制度に関する専門委員会」最終回では、厚生年金基金制度廃止の方向性を是とする内容が提出されました。これを受けて、企年協「厚生年金基金制度の見直しについて(試案)に関する意見」を、5月5日に厚労省年金局企業年金国民年金基金の■■課長に提出いたしました。添付ファイルをご覧ください。(本文内にYahooボックスへのリンクが記載)これが公開アドレスに届いたわけです。公開アドレスというのは、常時不特定多数の方からメールを受け、その内容に目を通して処理することが目的とされているもののはずです。そこにこれだけの文章のものが届いた場合、果たしてどれだけの人が騙されないでいられるでしょうか。もちろん、騙されない方もいるでしょうし、常にそのように対処できるのであれば、それほど素晴らしいことはありません。しかし、現実問題として騙されてしまう人がいると筆者は考えています。さて、訓練に話を戻しましょう。筆者が知人から聞いた"実際の組織で行われた訓練の話"も紹介しておきたいと思います。その組織では各グループごとにセキュリティの窓口の役割を担う方がいるそうです。そして、訓練が行われた際に、そのグループの開封率が"窓口の人の評価"に影響を与えるのだそうです。評価に影響がある人からしたら死活問題ですよね。いつ訓練が行われるか、気が気でなかったことでしょう。そして、その人の取った行動は……。いつ行われるか分からない訓練の実施をいち早く気付くために日々メールをチェック訓練のメールを受信した時には、口頭で「今、訓練が行われているからメールを開かないように」とグループの人に通達これでは身も蓋もありませんね。ここまでの説明して来たこと全てが、訓練の行われ方について筆者が懐疑的になるポイントです。しかし、その一方で、筆者は「訓練そのものが無駄である」とは考えていません。皆さんには、世の中に存在する訓練の意義を今一度考えていただきたいと思います。例えば、火災訓練を思い浮かべてください。火災訓練と聞いて、「火事そのものを起こさないための訓練」を浮かべる方は少ないと思います。おそらく、殆どの人が「火事が発生したことを想定した避難の訓練」を浮かべることかと思います。火事が起きたときの死因として多いものとして一酸化炭素中毒があります。物が燃えることによって発生する煙に視野を奪われ、有毒ガス吸い込んでしまい意識障害を起こし、結果、逃げ遅れて焼死してしまうそうです。火災によって発生する有毒ガスが室内上部に集まりやすいため、火災訓練では姿勢を低くし、ハンカチなどを口に当てて避難する経験があることでしょう。そして、人が避難する際にパニックに陥り、ビルの出口に殺到した時の転倒などによる二次災害を避けるために、慌てずに落ち着いて行動しつつ避難経路を確認するといった行動をしますよね。上記のように頭で分かっていても、いざという時に考えているままの行動を起こすことは難しい。だからある程度、定期的に火災訓練などを行い、"慣れを養う"わけですね。これは標的型攻撃メールの訓練でも同じことが言えるかと思います。もちろん、怪しいメールに遭遇したら添付ファイルを開かず、本文中に記載されたアドレスにアクセスしないに越したことはありません。ただ、人間がすることですから、組織すべての人が常に100%そのように行動することは不可能といっても過言ではないと思います。そうとすれば、火災訓練などと同じように標的型攻撃メールが送られてくること、そして、それを開いてしまうということがありうるという前提で訓練を行う必要があるのではないでしょうか。不審なメールを受け取ったと気付いた時や、マルウェアの感染が疑われる時など、普段とは異なる事象に遭遇した時に被害が拡大するのを防ぐためには、どのように行動すべきか。迅速に関係各所に報告することができるかそもそも、その関係各所というのはどこなのか社内のマニュアルではどのように対応することになっているのか。平時にこそ確認して、異常時に備えるために行う訓練であれば筆者はとても有意義なものであると思います。よって、「開いた/開かない」「クリックした/クリックしなかった」ということにのみにフォーカスして、一喜一憂するようなものではないと思います。そうではなく、事が起こったときにきちんとした行動ができるかどうかまでの温度感をはかる。訓練を行った結果、「全体の何人が開いたか」「クリックした/しなかった」に加えて、「全体の何人が正しい行動ができたのか」をはかり、「慣れを身につける」という訓練を行う必要があるのではないでしょうか。少なくとも、訓練は騙されてしまった方を責めるために行うものではありません。セキュリティやそれを実現するための技術や知見は人を守り、安心を与えるために存在するもののはずです。決して、人を傷つけるものではないと思います。また、そのような行い方をすることによって、本当に必要なときに報告が上がってこないといった文化が出来上がり、それが被害の拡大を招く結果が危惧されます。攻撃を行う側は金銭や思想などをモチベーションに連携したり、組織的に攻撃を行ってきています。基本的に、攻撃を行う側の方が有利であり、私たちは防戦一方を強いられます。負けることはあっても勝つことはありません。そうなるとわかっているのですから、守る側の私たちも組織全体で「情報だけではなく、人も守る」という意識を持って取り組んでいかなければならないのだと強く思います。とは言え、セキュリティの専門家だけでは立ち行かない状況になっていると実感しています。守る側の中で吊るしあい、責任の擦り付け合いをしていても仕方ありません。標的型攻撃に対峙する時、悪意を持った敵は外にいます。その相手には社会全体で力を合わせて立ち向かっていくようにならなければ負けっぱなしになってしまいます。そんなのは悔しいじゃないですか。みんなで頑張りましょう。著者プロフィール○辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。Twitter: @ntsuji
2015年06月24日Palo Alto Networksは6月16日、東南アジア各国の政府や軍事機関を標的としたとみられる一連の国家的サイバー攻撃に関する調査結果を公開した。同社の脅威インテリジェンス調査チーム「Unit 42」によって発見された「オペレーション・ロータス・ブロッサム(Operation Lotus Blossom)」と呼ばれるこの攻撃は、3年前にまで遡り、国家的なオペレーションに関する内部情報の取得を試みていると想定され、香港、台湾、ベトナム、フィリピン、インドネシアが標的とされている。この攻撃には、50回以上の個別攻撃が確認されており、すべて「エリーゼ(Elise)」と呼ばれるカスタマイズされたトロイの木馬を使用している。このマルウェアは標的を絞ったスピアフィッシングメールを配信して、標的システム上で最初の足場を生成するが、Unit 42は、攻撃と無関係なところでも使われていると考えている。Unit 42は、同攻撃に、特注ツールの使用、豊富なリソース、複数年にわたる継続性が確認されていることから、背後に潤沢な資金を持つ組織的な団体が存在すると考え、これらの要素と標的の性質を考慮し、サイバースパイ行為が攻撃の動機であり、背後には東南アジアの地域情勢に強い関心を持つ国家の関与、あるいは資金提供があると推測している。Unit 42チームは、最近発表された同社のサイバー脅威インテリジェンスサービス「AutoFocus」を使用してこの一連の攻撃を発見。AutoFocusにより組織のセキュリティ担当者は、6,000以上の脅威インテリジェンスクラウドWildFire加入者やその他の情報源経由でセキュリティ脅威を相関して検索できるという。Palo Alto Netoworksは、同社の脅威防御およびWildFireのサブスクリプションを持つすべての顧客は、これらの攻撃から自動的に防御されるとしている。サブスクリプションサービスに加入していない場合は、自社ネットワークで侵入の兆候を確認し、関連する指標を自社のセキュリティ制御へ追加することを勧めている。
2015年06月18日ラックは16日、同社「サイバー救急センター」にて対応した標的型サイバー攻撃の調査結果から、日本国内において多数の組織が同様のサイバー攻撃による被害を受けていると判断し、注意喚起を行った。調査で浮上した攻撃マルウェアEmdiviの詳細に関しては、マクニカネットワークスが説明を行った。○日本の組織を幅広く狙うマルウェア「Emdivi」確認された標的型攻撃は、シマンテックが2014年11月に同社ブログで公表したものや、今月6日にカスペルスキーが公開と同じものと言われている。特徴は、日本の組織を幅広く狙っていることと、攻撃指令を出すC&Cサーバーが日本に存在していることで、後者は既に攻撃され支配下にあると推測されている。説明会の冒頭では、ラックの内田法道氏が、企業や官公庁向けの同社緊急対応部署「サイバー救急センター」を紹介するとともに、Emdiviと呼ばれる遠隔操作マルウェアによる攻撃が再度増えつつあることを説明。今回の注意喚起の背景を解説した。○偽装アイコンによるexeファイルで攻撃Emdiviの詳細に関してはマクニカネットワークス セキュリティ研究センターの政本憲蔵センター長が解説した。今回の一連の攻撃ではドキュメントファイルにアイコンを偽装したexeファイルが使われており、このexeファイルの中には「ドロッパー」と呼ばれるマルウェア本体と、偽装のための文書が含まれている。偽装文書はおおむね日本語として意味が通るが、中国語フォントSimsunが使われており、一部の文字が日本語ではないという特徴がある。また、確保したマルウェア(65種類)のファイルの生成日時に注目して調査すると、北京時間の月曜日から金曜日までの9-17時に集中していることがわかったという。○まずは現状を確認する「身体検査」を最後にラック CTOの西本逸郎氏が登壇し、同じようなサイバー攻撃を受けた日本年金機構の個人情報流出事例は、C&Cサーバー側の調査も行われたため、日本で初めて実害が確認された事例と紹介。対策は破られるという認識とその後の対応が重要であり、感染を直前で食い止める"水際作戦"、重要データの情報を撹乱する"無力化作戦"、指令サーバへの通信を遮断する"封じ込め作戦"を一体とした対策が、企業で求められると強調した。
2015年06月16日パロアルトネットワークスは6月12日に、Backdoor.Emdiviを用いた標的型攻撃の解説と、標的型攻撃による被害を出さないためのセキュリティ対策について解説した。これは、6月上旬に発生した100万件を超える規模の個人情報漏えい事件を受けてのもの。この事件は2013年以降に日本の組織を狙った攻撃で利用されているマルウェアBackdoor.Emdiviにより発生したと推測されている。Backdoor.Emdiviは侵入先のコンピュータから機密情報を盗み取るトロイの木馬と呼ばれるマルウェアの1つだ。改良された亜種も含め、複数の攻撃グループにより日本の企業や組織を狙った攻撃手段として用いられてきた。なお、11日にFFRIが年金機構を狙ったEmdiviを検知したと発表している。Backdoor.Emdiviによる攻撃手法は、ダウンロード役のマルウェア(ドロッパー)を仕込んだゼロディの脆弱性を突いたエクスプロイトコードを含むファイルや、WORDやPDFのアイコンに偽装したEXEファイルを、ターゲットとしている組織にメール送信することから始まる。このような経路で端末が感染するとBackdoor.Emdivi本体がインストールされる。その結果、HTTPベースでC&Cサーバーと通信を行い、様々な攻撃が行われる。Backdoor.Emdiviの場合、そのほとんどが日本国内で構築されたC&C サーバーと通信を行うのが特徴だ。その結果、攻撃が日本に特化した形で行われたと推測される。2014年11月ジャストシステムは一太郎の脆弱性について発表したが、この際に用いられていたマルウェアの一つがBackdoor.Emdiviだった。また、健康保険組合などの医療費通知に偽装したスピアフィッシング型のメールが多くの日本企業に送られた事件が同時期にもあったが、この時標的型攻撃に用いられたのもBackdoor.Emdiviだ。このようにBackdoor.Emdiviを用いた標的型攻撃は、巧妙に進化しながら日本の組織を狙い続け、その被害は後を絶たない。パロアルトネットワークスの調査によるとメールを経由としたマルウェア攻撃は他国と比べても高く、日本は標的型攻撃が成功しやすいと推測できる。その結果、日本が集中して攻撃グループに狙われている可能性も否定できない現状だ。パロアルトネットワークスによれば、標的型攻撃から個人情報などの重要データを守るためには、標的型攻撃における一連の流れ「サイバーキルチェーン」を断ち切ることが重要だという。例えば、Backdoor.Emdiviでは以下の攻撃プロセスがある。感染:エクスプロイトコードを含むファイル、偽装したファイルによる感染侵入:Backdoor.Emdivi (マルウェア)の侵入目的の実行:C&Cサーバーとの通信によるデータの破壊・盗難しかし、攻撃を許してもプロセスを途中で断てば被害には遭わない。それぞれの段階に対抗するソリューションを用意することで被害は抑えられる。しかし、様々なベンダーの単体ソリューションを組み合わせて利用すると、企業のIT投資コストと管理コストを圧迫する恐れがある。様々な対策がある一方で、攻撃を受けながら被害を自覚していない組織の存在も危惧される。日本の組織は、その規模や扱っている情報の価値を問わず、現在の感染状況の有無を確認するべきだ、とパロアルトネットワークスは指摘している。
2015年06月13日IPA(独立行政法人情報処理推進機構)は10日、標的型サイバー攻撃の被害事案が増えていることを受け、企業・組織の経営者、システム管理者向けに、サイバー攻撃の確認やコンピュータウィルスの感染確認を促す注意喚起を行った。IPAは、サイバー攻撃の確認方法として、ファイアウォールやプロキシサーバーのログ確認を挙げている。数秒、数分間隔で外部C&Cサーバー(感染PCへ命令を送るサーバー)へ継続的に通信するなど、通常では起こりえない通信があるか確認する。合わせて、外部へ接続する際にプロキシサーバーを経由させている場合、直接外部へ接続するといった、業務上想定していない通信がないかを確認する。また、サーバーから外部へ不審な通信がないか、あれば正常な通信か確認すると同時に、想定されていないアカウント、端末やサーバー、管理者からのログインがないかチェックを行う。組織内でActive Directoryサーバーやファイルサーバーなどを利用している場合、見覚えのないタスクがタスクスケジューラーへ登録されていないか、あるいはイベントログに見覚えのないタスクが実行された形跡がないか確認する。上記のポイントを確認し、万が一不審と思われる事柄を発見した際は、被害を最小限に抑えるために、該当端末をネットワークから切り離し、端末や通信ログなどの詳細な調査を行う。加えて、不審な通信先を発見した場合は、さらなる通信を防ぐため、ファイアウォールやプロキシサーバー、Webフィルタリングシステムを用い、不審な通信先とのアクセスをブロックするといった対策が必要となる。該当端末を踏み台にして、既に他の端末へウイルス感染が広がっている可能性も考えられるため、不審な通信を発見した場合はセキュリティベンダをはじめとした専門家に相談するなど、正確な被害範囲や感染原因を把握した上で対策を進めることが重要だとしている。また、一度攻撃を受けて侵入されてしまうと、Active Directoryサーバーなどの内部サーバーの脆弱性も悪用されてしまうため、継続的な脆弱性対策として、クライアント端末だけでなく、サーバーにもソフトウェア更新プログラム(パッチ)の適用を呼びかけている。
2015年06月11日NICTは6月8日、FFRI及びディアイティの協力を得て、標的型攻撃等のサイバー攻撃に対抗するための統合分析プラットフォーム「NIRVANA改(ニルヴァーナ・カイ)」で機能追加を行ったと発表した。追加された機能は、エンドホスト(PC)の集中制御やマルウェア感染プロセスの特定が可能な「エンドホスト連携機能」、ネットワーク機器と連動して異常な通信の遮断や感染ホストの隔離が可能な「自動防御機能」。これらの機能により、ネットワーク系とエンドホスト系の2系統のセキュリティ対策が統合されるとともに、自動的な防御策の展開が可能となり、組織内における情報セキュリティインシデントの詳細な原因究明と迅速な対応の実現が期待できるという。エンドホスト連携機能は、FFRIの標的型攻撃対策ソフトウェア「FFR yarai」と連動し、組織内のエンドホスト群の各種情報を収集するとともに、マルウェアプロセスを特定し、そのプロセスの親子関係や通信履歴等をリアルタイムに導出するだけでなく、エンドホスト群のマルウェア検出感度の一斉変更などの集中制御もできるもの。また、ディアイティの協力で開発した自動防御機能は、インシデント発生時に、事前定義したアクチュエーション(動作)ルールに従って、ファイアウォールやスイッチ等のネットワーク機器を自動的に制御し、感染ホストの隔離や異常通信の遮断等が可能とするもの。エンドホスト連携機能と連動し、エンドホスト内の特定プロセスの停止等の精緻な制御もできる。さらに、「NIRVANA改」の可視化機能も強化し、ネットワーク系のドリルダウンに加え、エンドホスト内部にまでシームレスに没入できるようになり、セキュリティオペレーションがより円滑になったという。
2015年06月09日サイバーセキュリティ領域において国内で研究開発活動を展開しているFFRIは6月4日、標的型攻撃対策ソフトウェア「FFR yarai」シリーズのVersion 2.6をリリースしたとを発表した。FFR yaraiは、従来のセキュリティ対策で用いられているシグネチャやパターンファイルなどに依存せず、標的型攻撃で利用される攻撃の特徴を複数のプログレッシブ・ヒューリスティック技術を採用。様々な角度から分析し、未知の脅威に対して高い精度で攻撃を検知・防御する。最新版では、同社が2015年4月にリリースした個人PC向けセキュリティソフト「FFRIプロアクティブ セキュリティ」と同等のエンジンを搭載し、未知マルウェア対策を強化した。さらに、ネットバンキングの不正送金を行うMITB(Man in the Browser)マルウェアに特有の特徴を検知するロジックを追加。その他にもユーザビリティや管理機能の強化・改善を図っているという。
2015年06月05日情報処理推進機構(IPA)は5月27日、メールを利用した標的型攻撃の分析結果を発表した。IPAでは国内のインフラ関連組織を対象に、2012年4月から標的型攻撃メールなどの情報共有を相互に行い、高度な対策に繋げる取り組み「サイバー情報共有イニシアティブ(J-CSIP)」を3年前から運用している。これまでIPAに提供された情報は1,257件で、そのうち標的型攻撃メールとみなしたものは939件であった。分析結果によると、IPAでは攻撃メールの12%に相当する114件が同一の攻撃者(またはグループ)による攻撃と推定した。114件の攻撃メールは、2012年9月から2015年3月まで、31カ月の長期にわたり観測された。また、2014年度は標的型攻撃とみなしたメールの送信元が初めて日本最多であったことや、これまでの観測データは日本国内に重要産業を標的とした攻撃インフラが着々と築かれつつある可能性を示した。IPAでは、J-CSIPの一連の情報共有によって、攻撃者像の推定・攻撃手口の解明など一定の成果を得られたと説明。成果は、今後参加組織での対策として活用される。なお、詳細な分析結果と2014年度の情報共有の運用状況などをまとめた2014年度(2014年4月~2015年3月)の活動レポートをWebページ上で公開した。活動レポートでは、2014年度の年間報告に加え、この推定に至った一連の攻撃を仕掛けている攻撃者の手口などを解説している。
2015年05月28日トレンドマイクロは5月25日、「家庭用ルータを狙って偽の警告文を表示する新たな攻撃を確認|トレンドマイクロ セキュリティブログ」において、自宅のルータのDNSの設定が変更されたという個人的な経験を引き合いに出し、家庭向けのルータをターゲットとした攻撃が実際に起こっていることを明らかにした。書き換えられたDNSサーバのIPアドレスが不正なIPアドレスであったこと、どのような経路でDNSの設定が変更されたかはわからないことなども説明されている。以前から、複数の研究者が家庭向けルータに不正アクセスし、DNSサーバの設定を変更することでサイバー攻撃を実施できるとことを指摘していた。DNSサーバの設定を不正な目的でセットアップされたDNSサーバへ向けられると、このルータ経由でインターネットにアクセスしているユーザはフィッシング詐欺などの被害にあう危険性が出てくる。トレンドマイクロは2014年にルータを悪用した攻撃を確認したと指摘。今年に入ってからは家庭向けルータを攻撃してネットワークを探索する不正プログラムに関しても言及している。今後、サイバー犯罪者はさまざまな方法でルータを狙った攻撃を仕掛けてくるだろうとしたうえで、ルータのログインパスワードを推測されにくいものへ変更すること、セキュリティ・ソフトウェアを使用してマルウェアの感染を防止することなどを推奨している。
2015年05月26日ESETは5月21日(現地時間)、「DDoS attacks have doubled in a year, says Akamai」において、分散型サービス拒否攻撃(DDoS; Distributed Denial of Service attack)が増加傾向にあることを伝えた。Akamaiの発表を引き合いに出し、報告されるDDoS攻撃がこの1年で前年の2倍を超えていると説明している。攻撃方法も変化しており、より長期にわたってDDoS攻撃を実施できるようになってきているほか、これまでよりも大きなダメージを与えられるようになってきていると指摘。先年は短期間で大量のバンド幅を消費するようなDDoS攻撃がメインだったものが、2015年は小さいバンド幅でより長期にわたって攻撃を継続する傾向を示しているという。増加傾向を見せているDDoS攻撃は3つの国からの攻撃開始が全体の過半数を占めているという説明もある。中国が23%で最も多く、これにドイツの17%、米国の12%が続いている。DDoS攻撃の52%が中国、ドイツ、米国から始まっていることになる。
2015年05月23日トレンドマイクロは5月19日、標的型攻撃を防ぐためにはネットワークの「セグメント化」が重要であるとセキュリティブログで解説している。標準的攻撃の手法は、サイバー犯罪者が企業のネットワークに侵入し、1台の端末を足掛かりにして次々と端末を乗っ取るケースが多い。より多くのPCを侵害して情報を引き出すことが成功へのカギとなっている。逆に考えれば、標的型攻撃を防ぐには、乗っ取られる端末を最小限に抑えればよい。セグメントは、ネットワークをアクセスする端末をグループ化できる。セグメント化をしておくことで、特定の端末が乗っ取られた場合でも、同一のセグメント以外に端末が乗っ取られるリスクを減らせる。ブログでは、セグメント化は自社の端末を守るだけではなく、取引先を守る手法でもあると述べられている。最近では、取引先の企業がFTPなどのネットワークを介して、データをやり取りするケースは多い。容量が大きいファイルのやり取りには最適な手段だ。ネットワークを利用するのは自社の社員だけではなく、取引先の企業が自社のネットワークにアクセスすることも多い。ネットワークのセグメント化によって、取引先が必要とするITネットワークだけにアクセスを制限することが重要であるとしている。セグメント化は、社員などからの内部犯行を防ぐ手段としても有効だ。内部犯行の場合、高いアクセス権限がなくても、ネットワーク内の機密事項にアクセスできる可能性がある。また、特定の端末内に保存されている情報を狙うなど、外部からの攻撃とは目的が異なる場合も多い。ネットワーク管理者は、ユーザ権限やネットワークトラフィックを適切に分割することが重要なセキュリテイ対策となる。それにより、企業の機密情報にアクセスする社員を制限できる。セグメント化は、環境構築の難しさが課題となっている。構築方法を誤ると、セグメント化によるセキュリティ効果が望めないだけでなく、ネットワークの利便性が損なわれる恐れもある。そのためには、企業内のネットワークの利用目的を改めて整理しなければならないという。具体的には、企業内の資産がどういった経路でアクセスされているか(HTTP、HTTPS、SMBなど)、どのように保存されているか(SQLデータベース、平文、NSAやSANなど)を特定する。また、過去から現在で確認された攻撃を特定し、現在の脅威活動の基準を確立する必要があるとも指摘している。
2015年05月22日JPCERT/CCは5月13日、Adobe Flash Playerに複数の脆弱性があるとして注意を呼びかけた。発表によると、Webを閲覧することでDoS攻撃や任意のコード(命令)を実行されるおそれがあるという。一方、米Adobe Systemsは5月12日(現地時間)、CVE番号ベースで18件の脆弱性(CVE-2015-3044, CVE-2015-3077, CVE-2015-3078, CVE-2015-3079, CVE-2015-3080, CVE-2015-3081, CVE-2015-3082, CVE-2015-3083, CVE-2015-3084, CVE-2015-3085, CVE-2015-3086, CVE-2015-3087, CVE-2015-3088, CVE-2015-3089, CVE-2015-3090, CVE-2015-3091, CVE-2015-3092, CVE-2015-3093)を修正する「Adobe Flash Player」のセキュリティアップデートを公開した。対象となる製品とバージョンは以下のとおり。Adobe Flash Player 17.0.0.169 およびそれ以前のバージョンAdobe Flash Player 13.0.0.281 およびそれ以前の 13.x のバージョンAdobe Flash Player 11.2.202.457 およびそれ以前の 11.x のバージョンAIR Desktop Runtime 17.0.0.144 およびそれ以前のバージョンAIR SDK and SDK & Compiler 17.0.0.144 およびそれ以前のバージョン今回発表された脆弱性の深刻度は同社の基準において最高の「Critical」となっている。Adobe Flash Player Desktop Runtime、Adobe Flash Player Extended Support Release、Adobe Flash Player for Google Chrome、Adobe Flash Player for Internet Explorer 10 and Internet Explorer 11については、72時間以内に更新プログラムを適用することが奨励されている。Adobe Flash Playerが標準で同梱されているWindows 8用Internet Explorer 10、Windows 8.1用Internet Explorer 11は、Windows Updateなどで最新のFlash Playerが更新プログラムとして提供される。同様に、Flash Playerが標準で同梱されているGoogle Chromeでは、Google Chromeのアップデート時にAdobe Flash Playerが更新される。
2015年05月13日カスペルスキーは5月1日、小規模企業がサイバー攻撃を受けた2種類の事例を同社のブログ「Kaspersky Daily」に公開した。○競合企業からマルウェア攻撃を受け、瀕死の状態にとある宝石を販売する企業は、外部からセキュリティ侵害を受け、自社サイトの訪問者が次々とマルウェアに感染する事態に陥った。企業内にマルウェアを対策できるスタッフがいなかったため、外部のITスペシャリストに問題を解決してもらうように依頼した。マルウェアはWebサイトから駆除できたがすぐに復活した。犯人はサイトへのアクセス権を持っていたため、コードを消されても復活できたためだ。そのため、企業は完全復旧までに多くの時間がかかった。検索エンジンのインデックスや検索結果の表示順位を取り戻す必要があったためだ。Googleはこの企業のサイトをマルウェア感染サイトとしてブラックリストに載せ、インデックスから削除した。別の検索エンジンでも同じことが行われていた。その間、企業の業績は大きく落ち込み、感染前まで回復するまでは1年ほどかかったという。調査の結果、最初に感染したのは経営者のPCだったことがわかった。経営者が使っていたのは無料のアンチウイルスソフトで、十分に機能していなかったという。ハッカーは経営者のPCにマルウェアを埋め込み、会社のサイトのアクセス情報を盗み出した。経営者は、競合からの標的型攻撃だと確信していた。経営者はこの経験を通じ、企業データのセキュリティに直接関係すること(パスワードの安全な管理、トラッキングやキー入力監視を行うマルウェアの存在)を数多く学ばならけばならなかった。○暗号化マルウェアに攻撃され、すべてのデータを失うとある会計事務所がランサムウェア「CryptoLocker」の攻撃を受け、すべてのデータに強力な暗号がかけられた。これによりデータにアクセスできなくなり、事業が継続が困難になった。CryptoLockerは、侵入したPCのデータを手当たり次第に暗号化し、暗号解除と引き換えに巨額の身代金を要求してくる。非常に強力な暗号化技術が使われているため、身代金を支払うか、それがダメなら暗号化前のデータをバックアップから復元するしかない。事務所のIT管理者は、ランサムウェアが見つかった途端に社内サーバーのデータをすべて削除した。これにより、ランサムウェアウェアを消去できたものの、重要なデータも一緒に削除されてしまった。結果的に重大なミスをした管理者はクビになってしまった。その後、データ復旧を試みたがすべて失敗に終わり、最終的には事務所は倒産したという。これらのケースはいずれも欧米諸国だが、日本でも中小企業を狙ったサイバー攻撃は増加している。対岸の火事と思わず、対策を講じることが最善の方法だろう。
2015年05月05日トレンドマイクロは4月16日、WebサイトをOSごと強制終了させる攻撃コードを確認したとセキュリティブログで明かした。攻撃は、Windowsの脆弱性を悪用したもので、すでに実証コード(PoC : Proof of Concept)が公開されている。実証コードは、数十文字程度の攻撃コードでWebサーバーをBSOD(Blue Screen of Death)状態で強制終了させることができる。脆弱性は、WindowsでHTTPプロトコルの処理を行う「HTTP.sys」に存在している。攻撃対象は、MicrosoftのWebサーバーのIIS(Internet Information Services)が稼働している場合、「HTTP.sys」を使用するWebサーバーが稼働していることが条件となる。攻撃者は脆弱性を利用し、遠隔からシステムアカウントの権限で任意のコードを実行する。それにより、Webサーバーに不正プログラムを感染させたり、コンテンツを改ざんするためのバックドアを設置される恐れがあるという。Microsoftでも脆弱性を認識しており、「緊急」と位置づけ、更新プログラムを4月15日より配布を開始した。更新プラグラムをインストールすることで、今回の攻撃を完全に防げるという。トレンドマイクロは、Windows OS上でWebサーバーを運用する管理者は速やかにアップデートすることを強く推奨している。
2015年04月20日Kasperskyは4月15日、サイバー犯罪者同士が対立し、互いの組織を攻撃し合うケースを確認したと発表した。対立しているのは「Hellsing」と「Naikon」という二つのサイバー犯罪グループ。Hellesingは主にアジアの政府組織や外交機関を攻撃対象とし、一方のNaikonは主にアジア太平洋地域の組織のスパイ活動を行っている。サイバー犯罪者が標的とするのは通常、大企業や金融機関、政府などの巨大な組織。サイバー犯罪者同士が憎み合い、互いに攻撃を繰り返すケースは例がないという。前代未聞のこの珍事、Kasperskyのセキュリティ研究を進める「Kaspersky Lab」がNaikonを調査する上で偶然見つけた。Hellsingが2014年に、とあるサイバー犯罪グループからサイバー攻撃を受けたことがすべての始まりだった。突然の攻撃に対しHellsingは応戦の構え。とはいえ、自分たちを攻撃した相手を正確に掴めなかったため、スピア型フィッシングメールで20の組織に攻撃した。具体的な攻撃は、マルウェアを添付したメールを各組織に送り、組織がそのメールを開封するとマルウェアがPCに侵入し、バックドアに感染させるというもの。感染したPCの制御権を奪い、外部からのリモート操作でファイルのダウンロード/アップロード、マルウェアの更新などを行ったという。Hellsingから不審なメールが届いたと判断したNaikonは、メールの意図を確認する返信を行ったが、納得のいく回答が得られなかっため、添付ファイルを開くことはなかった。その後、Naikonは独自のマルウェアをメールに添付しHellsingに送信した。Kaspersky Labのディレクターであるコスティン・ライウ氏は、HellsingによるNaikonへの攻撃に対して「ある意味で復讐心を持った『帝国の逆襲』スタイル」だとコメントし興味を示した。続けて「これまでもAPT(標的型攻撃)グループ同士が誤って互いを攻撃したことはあった。今回は攻撃対象の選択や発生源を考えると、故意の攻撃であるという可能性が高い」と述べた。Kaspersky Labでは、これがサイバー犯罪活動における新たなトレンド「標的型攻撃戦争」の兆しだとも分析している。
2015年04月16日カスペルスキーは4月8日、公式ブログ「Kaspersky Daily」でFacebookアカウントをフィッシング攻撃から守る7つの対策を解説している。フィッシングは個人情報を狙った攻撃の一種で、一見本物のように見える偽のメールまたはWebサイトといった手口が使われる。SNSプラットフォームは近年、フィッシングの道具として使われることが増えており、詐欺師はあたかもFacebookが発信したかのような偽メールでパスワードのリセットを促し、データを奪う。フィッシング対策はいくつかあるが、共通するのは、オンラインで個人情報の入力を求められた場合に、フィッシングを疑うということ。ブログでは以下の7つのポイントを注意するよう説明している。これらの注意点は、Facebookに限らず、他サイトでも有効な対策となりうるため、気を配るに越したことはない。個人情報の入力を求めるメールが届いても、その指示に従わない個人情報を入力するのは、安全で保護されたWebサイトだけにするURLが「https」で始まっていて、インターネットブラウザーのアドレスバーに錠前のアイコンが表示されているWebサイトは安全。錠前のアイコンをクリックすると、そのサイトのセキュリティ証明書が表示される。個人情報を要求するメールが届いたら、誤字脱字など、詐欺メールとわかる特徴がないか確認データを入力するWebページのリンクが思っていたサイトのURLと異なる場合は、確実にフィッシング攻撃だという。個人情報入力用のリンクはクリックせず、代わりにURLを手動でブラウザーに入力してサイトへアクセス.使用しているコンピューターのアンチウイルス製品にフィッシング詐欺対策機能が備わっていることを確認するWebブラウザーやアンチウイルスなど、あらゆるソフトウェアを常にアップデート怪しいメッセージを受け取ったら、すぐに該当する銀行やSNS運営会社に連絡する
2015年04月13日パロアルトネットワークスとNECは3月30日、不正端末の通信を自動で検知し、サイバー攻撃を抑止する「サイバー攻撃自動防御ソリューション(次世代ファイアウォール連携)」をNECが販売すると発表した。新ソリューションは、NECのSDN対応製品「UNIVERGE PFシリーズ」のネットワーク制御機能と、エンタープライズセキュリティプラットフォームの一部であるパロアルトネットワークスの次世代ファイアウォール製品による未知・既知の脅威抑止機能を連携。サイバー攻撃の検出精度の向上に加え、自動で攻撃を検知し防御する。パロアルトネットワークスのエンタープライズセキュリティプラットフォームの検知機能により、サイバー攻撃を受け不正通信を行う端末に加え、不正通信を疑われる端末を検出し、動作を抑止する。これにより、未知のウイルス感染の場合でも外部との疑わしい通信や挙動を検知できる。さらに、疑わしい通信に対して、SDNコントローラからネットワーク全体を制御することで、精度の高い検知ネットワークへの切り替えやネットワーク上での隔離を実現し、被害拡大を防止する。また、検知した不正通信端末や、不正通信が疑われる端末に対し、SDNコントローラが端末情報をもとにネットワーク制御を行い、通信経路の遮断や隔離を自動化できる。これまでのセキュリティ対策では問題が発生した際の対応には最低でも数分、長い場合は数日かかっていたが、新ソリューションは、検知からの初動対応を数秒に短縮することが可能で、2次感染等の被害拡大リスクを低減する。さらに、ユーザのポリシーに従い、特定のIPアドレス(スパイウェアサイト)へ頻繁にアクセスしていたり、実行ファイルを頻繁にダウンロードしていたりする疑わしい端末の通信を遮断できるほか、経路変更により自動で精度の高い検疫ネットワークを通せる。価格は1100万円からで、最小構成は、SDNコントローラ×1台/SDNスイッチ×2台/次世代ファイアウォール×1台/SDN連携アダプタ×1。なお、4月9日に米Paloalto NetworksのCMO レネー・ボンバニー氏が来日し、最新セキュリティプラットフォーム戦略について解説するセミナーが行われる。
2015年03月31日ファイア・アイは3月24日、クライアントへのFREAK攻撃に対するiOS/Androidアプリのセキュリティ脅威について検証し、その結果を発表した。FREAK攻撃では、脆弱なクライアント・サーバー間のHTTPS接続を傍受され、攻撃者が脆弱な暗号化技術の使用を強制することで、これを突破して機密データの窃取・操作が可能になるという。FREAK攻撃が成功するには、サーバーがRSA_EXPORT暗号スイート(輸出用RSA暗号)を受け入れるとともに、クライアントが輸出用ではない暗号スイートで一時RSAキーを許可する必要がある。これにより攻撃者は接続の暗号強度を弱め、データを窃取しやすい状態にできる。3月4日時点で、AndroidとiOSのいずれの最新版プラットフォームについても、FREAKへの脆弱性が認められる。また、iOSとAndroidのいずれもアプリも、OpenSSLライブラリそのものの脆弱版を含む可能性があることから、FREAKはプラットフォームの脆弱性であり、アプリの脆弱性でもあるといえる。そのため開発メーカーによってAndroidやiOSのパッチが公開された後でも、RSA_EXPORT暗号スイートを受け入れたサーバーに接続すれば、こうしたアプリは引き続きFREAKに脆弱な状態になる。FireEyeでは、Google Playでのダウンロード数が100万回を超える人気Androidアプリ1万985種類について解析した結果、脆弱なHTTPSサーバーへ接続する脆弱なOpenSSLライブラリの使用により実に1228種類(全体の11.2%)のアプリがFREAK攻撃に対して脆弱であることがわかったという。これら1228種類のアプリのダウンロード回数は、合計すると63億回以上にのぼる。1228種類のAndroidアプリのうち、Androidのバンドル版OpenSSLライブラリを使用しているものは664種類、自社コンパイルのOpenSSLライブラリを採用しているものは564種類。こうしたOpenSSLバージョンはすべて、FREAKに対して脆弱となる。次の表は、セキュリティやプライバシーの観点から機密性の高い分野におけるAndroidとiOSの脆弱なアプリの数を示したもので、スポーツやゲームといった、機密性が比較的低い分野については、表には含まれていない。赤い部分で示される通り、FREAKの脆弱性はアプリ開発者によって修正が進められている。攻撃のシナリオの一例として、攻撃者は人気のショッピングアプリにFREAK攻撃を用いることで、ユーザーのログイン情報やクレジットカード情報を盗むことが可能で、また、医療アプリや生産性アプリ、金融アプリなど、機密性の高いアプリが狙われることもある。
2015年03月25日カスペルスキーは3月17日、ボードゲーム形式でサイバー攻撃を体験・学習できる対サイバー攻撃演習サービス「Kaspersky Industrial Protection Simulation(KIPS、キップス)」の国内提供を3月20日より開始すると発表した。製造業や重要インフラ事業者などを対象に販売する。所要時間は約2時間で、最小催行人数10名、価格は30万円(税別)~。KIPSは、サイバー攻撃による重要インフラへの影響をボードゲーム形式で体験しながら、システムの運用上のリスクや投資に見合った有効な対策を学習できるサービス。これまでに米国、ロシア、マレーシア、英国など10カ国以上で提供しており、2015年2月には欧州原子核研究機構(CERN)で利用された。参加者は数名ずつのグループに分かれ、条件や指示が書かれた30枚のカードと決められた予算、作業時間を有効に使いながら、サイバー攻撃を受けている水処理施設を守るための効果的な対抗策を実施する。5週間の仮想期間内で最も高い生産高を維持したチームが勝ちとなる。ゲーム終了後には、どのような対応が適切だったのか、攻撃者のシナリオと各チームの打ち手を比べながら、参加者全員がゲーム上で発生した事象に対する考察と理解を深められる。試験提供での利用者からは「ゲーム形式で楽しく学ぶことができた」などのフィードバックがあったという。今後、発電施設などへのサイバー攻撃のシナリオを用意し、より専門性の高い重要インフラ事業者に演習の提供を拡大する予定だ。
2015年03月18日NECと同社の子会社であるインフォセックは3月16日、サイバー攻撃情報サービス会社の米Norse Corporation(以下、Norse)と提携し、サイバー・セキュリティ事業における重要な情報(サイバー・インテリジェンス)を強化すると発表した。NECは、情報とスピードを重視し先読みして対策を打つ「プロアクティブサイバーセキュリティ」の実現に向けて、攻撃者からの攻撃を先読みするサイバー・インテリジェンスの強化を進めているという。今回、Norseが独自に世界中に配置した数百万のセンサーからの情報を分析しリアルタイムに提供されるサイバー攻撃情報を、NECの収集情報に組み入れる。これにより、世界の幅広い攻撃者の行動パターンを分析し攻撃プロセスなどをいち早く検知する情報を提供する。インフォセックはNorseと全世界対象の1次代理店契約を締結し、まず、国内及びASEAN各国にNorseのサービスを3月16日から販売する。
2015年03月17日Googleのゼロデイ攻撃の対策を行う専門チーム「Project Zero」はこのほど、「Exploiting the DRAM rowhammer bug to gain kernel privileges|News and updates from the Project Zero team at Google」において、いくつかのノートPCにおいて「Rowhammer」と呼ばれるメモリの物理的な脆弱性を悪用して特権昇格の実行を確認できたと伝えた。この脆弱性を悪用されると、一般ユーザ権限で動作しているプロセスが物理メモリの任意のデータにアクセスできるといった状況が発生する危険性がある。実験にはLinuxが使われているが、この問題はオペレーティングシステムに特化したものではなく、最近のDRAMに存在しているハードウェア上の脆弱性だという。具体的には、特定の命令を実行することで隣り合った列のメモリデータをビットフリップさせることができるという問題が見つかったが、使用するオペレーティングシステムやソフトウェアの脆弱性に関係なく出現する可能性があるため注意が必要。Project Zeroの報告では、影響範囲はわからないとされており、今後の動向に注目する必要がある。特権昇格を引き起こすおそれがある脆弱性はソフトウェアの不具合が原因であることが多く、今回示されたようにハードウェアの問題でこうした脆弱性が出現することは珍しい。エラーチェックをしないタイプの最近のDDRメモリを使用している場合は注意が必要。ハードウェアレベルで対応できるのか、オペレーティングシステムレベルで対応できるのか、今後追加で発表されると思われる情報に注意しておく必要がある。
2015年03月14日サイバー攻撃は近年ますます巧妙になってきており、攻撃者は対策の隙を突き、ユーザーのシステムや端末に悪質なプログラムを潜ませるようになっている。攻撃側の地政学的な動機に加えて、データ主権やデータローカライゼーション、暗号化に関して各国の法規制が課す要件の食い違いが絡むことで、昨今のセキュリティ対策は国を越えてさらに複雑な様相を呈している。シスコシステムズは3月10日、こうした現状を踏まえ、高度化するサイバー攻撃から組織や企業を守るサイバーセキュリティ対策の現状と、最新のセキュリティソリューションについて、報道関係者に向けた説明会を開催した。○ますます高度化するIoT時代のサイバー攻撃とその対策企業は近年、セキュリティ対策への投資を強化しており、自社の策定したセキュリティ・ポリシーに多くの企業が自信を持っているという。一方で、実際にセキュリティ・ポリシーを運用していくうえではさまざまな困難があり、54%の企業が自社のシステムに公開されている脆弱性を引き続き抱えているという現実がある。さらに端末に関して言えば、Internet of Things(IoT:モノのインターネット)が進化を続けており、「つながっている」ことが当たり前の環境になってきている。デジタルインフラの成長はさらに加速し、2015年で約250億、2020年には約500億のスマートオブジェクトがネットワークにつながった状態になると予想されている。さまざまなサービスや機能が提供され利便性が増す一方で、これらのすべてが攻撃の対象となってくるため、時代に沿ったセキュリティ対策を講じていくことが急務である。こうした状況を踏まえて、シスコシステムズのセキュリティ事業部長 桜田仁隆氏は、今日のセキュリティ課題として、「急速に変革していくビジネスモデルへの追随」「新たな脅威への継続的な対応」「多様化する攻撃に対するさまざまな環境への適応」の3つを挙げた。また、「問題の本質を把握すること」「組織としてリスクを理解すること」「守るべき対象を明確にすること」「準拠すべき法令を理解していくこと」「どこに投資するべきか理解すること」といったサイバーセキュリティに関して重要となる5つの項目を挙げ、組織を上げてセキュリティ問題を解決していくことの必要性を説明した。○シスコが提言する新しいセキュリティモデルとその実現そうしたなか、シスコシステムズは、セキュリティの整備・堅牢化から、攻撃者侵入の防御・検知、侵入を許した際の対応までを包括的にサポートする新しいセキュリティモデルとして「BEFORE DURING AFTER」を提案。このモデルをベースとした多層制御を実現するセキュリティ製品群を用意している。BEFORE(整備・堅牢化)とAFTER(対応)のフェーズでは、ユーザーにとっての可視性を重視。セキュリティ・ポリシーの管理および制御プラットフォームである「Identity Services Engine(ISE)」を中心としたデバイスのネットワーク接続時点での状況を把握し、誰が何を使ってどこに行こうとしたのかを精査しつつ、マルウェアすらも見える化することで、次のセキュリティ投資に備えていくことができる。DURING(防御・検知)のフェーズにおいては、できるだけ未知の脅威を把握するための仕組みが必要となる。シスコシステムズでは、メールセキュリティアプライアンス「ESA」、Webセキュリティアプライアンス「WSA」、次世代ファイアウォール製品である「ASA with FirePOWER Service」、サンドボックスの機能を備えたマルウェア解析アプライアンス「ThreatGRID」のハードウェアに加え、マルウェア防御ソリューション「AMP」などのクラウドベースのソリューションも提供している。ISEを含め、これらの製品を連携させることで、多層制御の実現が可能となる。シスコシステムズ セキュリティ事業 テクニカルソリューションズアーキテクト 西原敏夫氏は、「こうしたさまざまなセキュリティ対策が1つの製品に集約されていればよいが、それは現実的に不可能。よって、複数の製品を併せて使っていくことになるが、管理の複雑さを軽減するために、できるだけプラットフォームをそろえ、単一の画面で管理できるような製品を開発していきたい」と述べた。
2015年03月11日カスペルスキーはこのほど、主要な標的型攻撃を視覚化するオンラインサービス「Targeted Cyberattacks Logbook」をWebサイト上で公開した。Targeted Cyberattacks Logbookは、カスペルスキーのグローバル調査分析チーム(GReAT)が調査、分析した29の主要なサイバー攻撃をブラウザで閲覧できるサービス。攻撃の関連性を画面上で把握できるほか、感染の地理的分布、マルウェアの拡散方法、サイバー犯罪者の標的、各攻撃の特徴など詳細な情報を表示できるのが特徴だ。攻撃は1つひとつが船の形で表示される。船の全長が長いほど活動期間が長い。船の航行によって生じる波は、カスペルスキーがマルウェアの検体を検知してから調査プロジェクトの結果を公開するまでの期間を現すほか、船の色は標的の数を示している。分類項目に該当する攻撃のみを表示するフィルターを搭載。例えば、民間企業の情報だけを狙った攻撃、特定の国で発生した攻撃、ある特定の手法を使った攻撃などに絞り込むことができる。サービス公開の経緯についてカスペルスキーは、「標的型攻撃のセキュリティインシデントが増加し、特別な注意が必要」と説明している。標的型攻撃の被害を受けた企業は、2014年に4400社(カスペルスキー調査)に上るという。
2015年02月13日トレンドマイクロは5日、同社のセキュリティブログで「Internet Explorerのゼロデイ脆弱性を確認、Universal XSS攻撃の危険性」を公開した。「いつ攻撃が始まってもおかしくない状況」とも述べ、警戒を呼びかけている。今回確認された脆弱性は、ユニバーサルクロスサイトスクリプティング(Universal XSS、UXSS)という攻撃を可能にするもの。不正に細工したURLにユーザーをアクセスさせることで、正規サイトの改変、認証情報の搾取、不正スクリプトの実行、別の不正サイトへ誘導、といった攻撃ができるという。具体例としては、「より巧妙なフィッシングサイト」を挙げている。攻撃用のURLにアクセスすると、ネットバンキングなど正規ドメインにアクセスしているように見せかけつつも、攻撃者に対して認証情報などを送信してしまう。通常のフィッシングサイトは「偽ドメイン」上で行われるのに対し、ユニバーサルクロスサイトスクリプティングを悪用した攻撃は「正規ドメイン」上で成立する。トレンドマイクロによれば、2015年2月4日の時点では、今回のIEゼロデイ脆弱性を用いた攻撃は確認されていないとのこと。ただし攻撃に応用できる「概念実証コード」はすでに出回っており、冒頭のように「いつ攻撃が始まってもおかしくない状況」としている。また、攻撃者は「ユーザーに不正なURLをクリックさせる」必要があるため、不審なメールやWeb上の書き込みにあるURLを安易にクリックしないことが重要と、警戒を呼びかけている。なお、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」を使用中のユーザーは、以下のフィルタを適用することによって、今回のIEゼロデイ脆弱性を悪用した攻撃から保護されるとしている。1006472 - Microsoft Internet Explorer Same Origin Policy Bypass Vulnerability
2015年02月06日これまで、DNSキャッシュポイズニング攻撃やDNSサーバーを踏み台にしたDDoS攻撃について個別に説明してきました。今回は連載の最後として、その他の注目すべき攻撃について解説していきます。○DNSサーバーの乗っ取り問題2013年8月に、シリアのアサド大統領を支持するハッカー集団「シリア電子軍」が、Twitterを含む大手WebサイトのDNSサーバーの情報を書き換えて、サービスを停止させるという事件がありました。この事件では、シリア電子軍が直接サイトを狙ったわけではなく、各サイトが利用していたドメイン登録業者(レジストラ)へ不正アクセスを行い、DNSサーバーの情報を書き換えました。シリア電子軍は、2014年11月にも類似した手法を用いて日本も含む大手サイトで共通で利用されていたソーシャル構築サービスを狙い、各サイトに「シリア電子軍」の画像をリダイレクトさせるという事件を起こしています。また、日本レジストリサービスが2014年9月~10月にかけて、国内で複数の「.comサイト」がドメイン名の登録情報を不正に書き換えられた「ドメイン名ハイジャック」の被害を受けたと注意喚起を行いました。このドメイン名ハイジャックもシリア電子軍と同様で、直接攻撃対象のサイトを狙っていません。ドメイン名を運用するための一連の仕組みのどこかで不正を行って、攻撃対象のDNSサーバーの情報を書き換え、さらに悪意のある偽サイトへユーザーを誘導しています。これまでのサイト乗っ取りや偽サイトへの誘導は、「シリア電子軍」のように特定のメッセージを発信することを目的するケースが一般的でした。しかし、ドメイン名ハイジャックのように誘導先の偽のサイトから閲覧者に対してマルウェアを配布するケースなど、悪意を持った攻撃も今後増えてくることでしょう。こうした間接的なDNSサーバーの乗っ取りを防ぐことは困難を極めます。その上でIT担当者は、なりすまし被害により間違った情報をドメイン登録業者に送らないようにセキュリティ対策を万全にすることが求められます。また、一部のドメイン登録業者では、「レジストリロック」という意図しない情報の書き換えを防ぐシステムも利用できます。○トップレベルドメインの名前衝突問題日本ネットワークインフォメーションセンター(JPNIC)は2014年6月、トップレベルドメイン(gTLD)の急増に伴って、DNSにおける「名前衝突」と呼ばれるセキュリティリスクについて注意を呼びかけました。トップレベルドメインとは、DNSの仕組みにおけるドメイン名をドットで区切った際の最後のコードを指します。トップレベルドメインは、世界で共通で登録できる分野別のドメイン「gTLD(ジェネリックトップレベルドメイン)」と、全世界250以上の国や地域に割り当てられる「ccTLD(国コードトップレベルドメイン・日本の場合は「.jp」)」に分けられます。現在、世界のトップレベルドメインを管理するICANNが、企業・組織からの申請を受け、新しいgTLDの追加を進めています。日本でも「.tokyo」や「.みんな」などの新しいドメインが運用開始されました。新しいgTLDは最終的に1000以上追加されるとみられていますが、それに伴って新たに発生した問題が「名前衝突」です。「名前衝突」とは、組織などの閉じられた内部ネットワーク内で運用していた「存在していないと思っていたドメイン(この内々で使われているドメインを勝手gTLDと呼びます)」と、新しいトップレベルドメインが一致し、結果として通信が衝突してしまうという問題です。この名前衝突が起こると、内部ネットワークの通信が外部との通信に置き換えられて、DNSサービスが停止し、意図した相手との通信ができなくなったり、意図しない相手と通信をしてしまい、情報漏えいを引き起こす可能性があります。こうした名前衝突の問題を回避するためには、企業のネットワーク管理者が内部利用目的のドメイン名を使わずに、公開されたドメイン名を利用するよう、ネットワークの設定やシステムを修正することが求められます。また、エンドユーザーがプライベートなネットワーク内で内部目的用に勝手gTLDを使用していたり、ネットワーク機器でもアクセス誘導目的で勝手gTLDが利用されていることもあるため、ISP事業者やネットワーク機器のベンダーも注意する必要があります。○DNS ソフトウェアの脆弱性を突く攻撃BINDというDNSサーバーを実装、運用するための有名なソフトウェアがあります。BINDはフリーソフトウェアとしてソースコードが公開されており、世界のDNSサーバーの大半で用いられているとみられています。このBINDは影響力の高い脆弱性がたびたび発見されています。そして、つい先日の2014年12月9日にもBINDを含むDNSソフトウェアにDoS攻撃を引き起こす脆弱性が見つかっています。対策としてはOSなどと同様に、脆弱性が修正された最新バージョンに都度アップデートを行うことです。○DNSサーバーへの攻撃に対抗するにはこれまでの連載で様々なDNS関連の攻撃について解説してきました。いかにDNSサーバーへの攻撃が多彩で影響力が大きいか、分かっていただけたでしょうか。これらの攻撃は、DNSの仕組みにおける多くの脆弱性を利用した、比較的技術レベルが高くない攻撃者であっても容易に攻撃できるものが多く見られます。ただ、危険だからといってDNSを切り捨てるかというと、DNSはインターネットを支える重要なインフラとして既に根付いているため難しいでしょう。これからもDNSを狙った新しい攻撃は次々と出てくると思われます。それを防ぐにはまず、DNSサーバーを管理するネットワーク管理者のみならず、ユーザーにおいてもDNSが狙われやすい仕組みと認識して、日々セキュリティトピックについて目を光らせ、素早く対応することです。また、DNSへの攻撃に対抗するためのセキュリティソリューションを構築することも重要です。DNSを狙った攻撃は次世代ファイアウォールやエンドポイントのセキュリティソリューションでは対応しきれないことが多いため、DNSに特化したセキュリティソリューションや、DNS関連の攻撃も防ぐことができるソリューションを利用することが求められます。また、DNSソフトウェアの最新のバージョンアップに保つことも重要です。商用DNSベンダーの中には、DNSのセキュリティ機能を独自に提供している所もあります。管理がし易く、高度なセキュリティ機能を持った専用アプライアンスを検討しても良いでしょう。繰り返しとなりますが、DNSの情報を扱う各システムにおいては、通常よりもより強固な脆弱性対策・情報漏えい対策が必要となります。○三好 慶太 Infoblox トレーナーSEDNSやDHCP、IPアドレス管理の専用アプライアンスを提供するInfobloxでプリセールス支援とトレーニングを担当するトレーナーSE。航空会社や通信事業者でのプロジェクトマネージャー、外資ストレージベンダーを経て2010年7月より現職。現在は自社のDNSセキュリティ製品を広く知ってもらうべく奔走中。
2015年01月09日