ラックは12月16日、「日本における、標的型サイバー攻撃の事故実態調査レポート」を公開した。レポートは、特定の企業や組織を狙った「標的型攻撃」について、国内で実際に発生した約80件の実例を調査・分析し、判明した事実を解説したもの。併せて、複数の標的型攻撃の関連性についても解明を紹介している。具体的には、ラックが調査した約80件の標的型サイバー攻撃の被害事案をもとに、技術的なポイントと攻撃者の攻撃手法の傾向、事案間に共通して見られる事実を解説している。攻撃に使われるツールは、一般的に流通していないものや流通するツールをカスタマイズしたもので、ウイルス対策ソフトによる検出を回避しようとする意図が見て取れる。また、最新の攻撃手法も常に取り込んでいることがうかがえるという。また、複数の標的型サイバー攻撃の痕跡から、同一の攻撃者が異なる企業を同時に狙っている傾向がある。標的型攻撃を受けた複数の企業を調査することでわかった。発見したマルウェアは、通信先コンピュータのIPアドレスなどが、既に調査済みの事案のものと同一だったことから、感染原因も同一であると類推。早期解明につながったケースもあったという。
2014年12月18日アカマイ・テクノロジーズは12月16日、グローバルネットワーク拡張の一環として、日本に新たなスクラビングセンターを開設したと発表した。DDoS攻撃の発生源に近い位置で大容量のリージョナルDDoSスクラビングセンターを運営することは、アカマイの対DDoS戦略の基盤となっている。過去18か月間に渡り、アジア太平洋地域を発生源とするDDoS攻撃が増加しており、10月23日に発表されたアカマイの「インターネットの現状」セキュリティレポートに記載されているように、2014年第3四半期もこの傾向が続いた。クライアントのウェブサイトに対する分散型サービス妨害(DDoS)攻撃が検出されると、そのサイトの全トラフィックが1か所以上のアカマイのグローバル展開されたスクラビングセンターに転送され、悪質なトラフィックが「スクラビング(除去)」された後、クリーンなトラフィックがクライアントのネットワークに転送される。このクラウドベースのシステムを使用して、アカマイはDDoS攻撃を軽減し、業務を大きく混乱させることなくクライアントのウェブサイトを正常な状態に戻すことができる。アカマイのセキュリティビジネス部門バイスプレジデントであるジョン・サマーズ(John Summers)氏は、「10月初旬に日本に開設された新たなスクラビングセンターはすでに多くのDDoS攻撃トラフィックを除去し続けている。日本にこの新たなスクラビングセンターを配置することにより、より多くのクライアントがアカマイのスクラビングセンターでDDoS対策をとることができるようになる」と述べている。同社は、2015年に2か所の新たなリージョナルスクラビングセンターの運用を開始することにより、ネットワーク容量の拡張を続ける。1つはアジア太平洋地域、もう1つはヨーロッパ、中東、およびアフリカ地域での開設を行なう。
2014年12月17日SCSKは12月8日、Lastlineの標的型攻撃対策サービス「Lastline」を同日から提供開始すると発表した。「Lastline」は高度な攻撃を検知し、外部との不正な通信をブロックする標的型攻撃対策サービス。標的型攻撃に使われる高度なマルウェアを独自のナレッジによって分析し、その挙動を高精度に把握することができる。主な特徴として、マルウェアそのものを詳細に分析する「Full System Emulation」により、標的型攻撃に利用される複雑な攻撃手法を高精度に把握する。導入形態はクラウド型、オンプレミス型から選択が可能で、「Lastline」のクラウド版は、接続しているユーザー数に対する課金のみで、オンプレミス版もユーザー数課金と分析エンジンの初期ライセンス費用のみで、次年度以降の保守費用は発生しない。なお、価格は個別見積りとなっている。
2014年12月08日ファイア・アイは11月25日、ロシアのハッカー集団による高度なサイバー攻撃「APT28」の説明会を東京都内で開催した。APT28のターゲットはロシア当局にとって利益となるような相手国の政府や軍、安保組織で、それらの内部情報を収集していた。具体的には、ジョージア国(旧グルジア)やポーランド、NATO、欧州安全協力機構(OSCE)などが挙げられる。これらの攻撃者は日本での展開が多く見られる「経済的利益」を目的としている標的型攻撃とは異なり、従来の「インテリジェンス活動」と同じスパイ活動を行っている。マルウェアは長期間にわたって計画的に進化、発展しており、古くは2007年から活動。感染したシステムの環境に最適な外部との通信を行っており、マルウェア解析を回避する技術も実装していたという。多くのマルウェアは、コア部分がロシア語環境で作成されたとみられる痕跡があり、作成された作業時間もロシアの業務時間であったケースが多かった。このことから、モスクワを拠点としており、政府の支援を受けている可能性が高いとファイア・アイは分析している。同社はまた、「具体例として挙げた各国と武力衝突があった時期にサイバー攻撃も活性化している」とする。これは2008年8月のロシアとグルジアの武力衝突や、2014年6月のバルト海域におけるNATOとロシア双方の軍事演習、同6月~9月におけるウクライナやジョージア、モルドバにおける連合協定やロシアの軍事行動など、それぞれのタイミングでスピア・フィッシングメール攻撃や偽造ドメインの展開などが積極的に行われていた点を理由としている。具体的な攻撃では、軍組織の偽サイトを構築し、ログイン情報を盗み取ろうとしたほか、軍事行動の内情を伝えるジャーナリストすらもターゲットになっていたという。こうした地政学的な問題を誘発する出来事に合わせて、APT28のマルウェアは進化・発展を遂げており、ファイア・アイは「日本周辺でもこの種の攻撃が表面化していない潜在した状態で存在している可能性を否定できない」としている。実際に、緊急対処支援において表面化したサイバー攻撃への対処として現場で事実解明を行うと、その攻撃に関係する潜在化している事象を数多く確認できるようになっているという。今後のサイバー攻撃では、消極的な姿勢が検知に繋がることは難しいため、「これまで以上に積極的な姿勢で検知することが求められる」としている。○綿密に攻撃計画を練る政府を狙った攻撃説明会にはファイア・アイの最高技術責任者(CTO)の名和 利男氏が登壇。名和氏は11月1日付でCTOに就任しており、以前は航空自衛隊でセキュリティ担当として業務に従事していた。名和氏は欧州側で地政学的な動きが起きるたびにサイバー攻撃が活発化している状況を踏まえ「日本でも潜在的な事象はすでに存在している可能性が否めない」と指摘。中国や北朝鮮などの練度が低いサイバー攻撃ではない「高度な攻撃がすでに起こっている」という。ただ、どこの組織の攻撃か特定するにはエビデンス(証拠)に乏しいとしており、今後さらなる分析が必要だと話す。「決してロシアに限った話ではなく、他の国や個々人から日本政府に対する攻撃は存在している。今回のサイバー攻撃については、会社の枠を超えて情報共有をセキュリティベンダー同士が行っている。ただ、経済的利益が得られるような攻撃ではなく、政府の機密情報を狙った攻撃は、官民連携だけではなく、官官連携(政府や省庁同士の連携)が必要」(名和氏)とのことで、民間企業を狙う「数撃ちゃ当たる戦法ではない慎重に時間をかけて侵入する」という攻撃の対策の重要性を説いていた。
2014年11月25日独立行政法人情報処理推進機構(IPA)は21日、標的型サイバー攻撃の手口の一つ「やり取り型」攻撃が国内の複数の組織で確認されたとして、注意を喚起した。2014年8月から10月にかけ発生したもので、従来よりウイルスに感染させるための「やり取り」が巧妙さを増しているという。「やり取り型」攻撃とは、一般の問い合わせなどを装う無害な「偵察」メールのやり取りの後で、ウイルス付きのメールを送信してくるサイバー攻撃。受信者が返信すると、辻褄を合わせた会話を続けながら、ウイルス付きの添付ファイルを送付し執拗に感染を試みることが特徴。IPAでは、「やり取り型」の攻撃手口を2011年7月に最初に確認。2012年以降も断続的に発生していたが、直近1年ほどは同様の攻撃を確認していなかった。だが、2014年8月から10月にかけ、国内の5組織に対し同等の攻撃が計7件発生したことを新たに確認した。8月に発生した攻撃では、メールの送信元IPアドレスが2012年7月の攻撃と一致しており、添付ウイルスも類似していたことから、IPAは同一の攻撃者が数年に渡り国内組織へ攻撃を繰り返していると推測している。8月から10月にかけ確認された「やり取り型」攻撃の特徴としては、「外部向け窓口が狙われる傾向がある」「状況に応じてウイルスの形態を変化させる」「辻褄の合う会話を行う」「少数の宛先に送る」「パスワード付き圧縮ファイルを使う」など。IPAは対策として、実行形式のファイルなど不審なファイルを開かないこと、ウイルス対策ソフトウェアを最新状態に保つことなどに加え、「攻撃の手口を企業全体で認識、注意する」「不審メール受信時の連絡や情報共有・体制を整備する」「部からの不審な添付ファイルの安全な確認方法を検討する」などを推奨している。
2014年11月21日NECは11月19日、サイバー攻撃に対して、先読みして対策を打つ「プロアクティブサイバーセキュリティ」を実現するソリューションとして、社内ネットワークに接続されているサーバやPCなどの機器をリアルタイムで集中管理する「セキュリティ統合管理・対処ソリューション」と、サイバー攻撃に関する情報とその対処法などを即座に提供する「脅威・脆弱性情報管理ソリューション」という2つのソリューションを2015年度第1四半期から販売すると発表した。「セキュリティ統合管理・対処ソリューション」では、リアルタイムでの「構成管理」「対象特定」「対策実施」という3つのステップの自動化が可能だという。構成管理では、個々のICT機器の脆弱性の有無をリアルタイムに把握し、構成情報として、見える化を実現。対象特定では、脆弱性などが顕在化した場合、構成情報をもとに対策が必要な機器を即時に特定。対策実施では、対象特定で特定された機器に対して、必要に応じて「対策方法の通知」「修正ファイル適用」「ネットワーク切断」などの対策を実施する。一方、「脅威・脆弱性情報管理ソリューション」では、NECの専門家による分析に加え、世界各地で検知された脅威情報や発見された脆弱性情報などを迅速に収集し、NECの経験に基づく対処情報を加え、即座に提供する。
2014年11月19日Trend Microは11月4日(米国時間)、「脆弱性「Shellshock」を利用した新たな攻撃を確認。SMTPサーバを狙う|トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)」において、bashのセキュリティ脆弱性(通称:Shellshock)を悪用したSMTPサーバの攻撃を確認したと伝えた。件名、送信者、宛先、CCなどにShecllshock脆弱性を利用する不正コードを指定することで、攻撃が行われると説明されている。SMTPサーバが脆弱性を抱えていない場合でも、SMTPサーバ経由で実行されるソフトウェアとしてbashが利用されるなどしてShellshockが悪用される可能性もあるという。Trend Microは、今回の攻撃に関連したすべてのIPおよびドメインをブロックすることを推奨している。Shellshockはbashにおいて発見された脆弱性だ。環境変数に特定のコードを指定するだけで、bash起動時に任意のコマンドが実行されるという脆弱性で、システムシェルとしてbashが使われている場合など、広範囲にわたって影響があると見られている。環境変数はプロセスのfork(3)によってコピーされるため、間接的に問題のある動作が発動する可能性がある時は注意が必要。
2014年11月06日シマンテックは10月23日、この1月~8月の間、DDoS攻撃(分散サービス拒否)が増えているとブログで明らかにした。DNSサーバーを踏み台にしてDDoS攻撃を仕掛ける「DNS増幅攻撃」の数は、前回の調査より183%増加しており、シマンテックが運営するセキュリティ動向を調査する「Global Intelligence Network」で最も多く確認された手口だったという。第1四半期に多かったのは、NTP(Network Time Protocol) を利用した手口。これは、対象となるサーバーの多くでアップグレードや設定変更が実施されたためだと考えられるという。現在は減少傾向にあり、被害は沈静化している。また、「SNMP v2(簡易ネットワーク管理プロトコル)」「SSDP(簡易サービス発見プロトコル」など、攻撃者が新たなプロトコルを試すケースが増えているという。さらに、UnixサーバーではBashのShellShock脆弱性を悪用した攻撃が増えている。攻撃者は、UnixサーバーにDDoS スクリプトをインストールしておくことで、DDoSスクリプトや悪質なELFファイルがダウンロードされるとDDoSボットネットが構築される。DDos攻撃は複雑化し、複数の手法を組み合わることが多い。例えば、特定の標的を狙う際に、DDoS攻撃をして注目を集めさせている間に、本来の目的である別の攻撃をする事例もあったという。今後もDDos攻撃が減少する見通しはない。アンダーグラウンドのフォーラムでは、DDoS攻撃サービスが10ドル未満で取り引きされているのが現状だ。11月5日のガイフォークスデイには、サイバー犯罪集団のアノニマスが「Operation Remember」と称して攻撃活動を行うと発表しているなど、多数のDDoS攻撃が実行される可能性があるとしている。
2014年10月24日米Appleのクラウドサービス「iCloud」がサイバー攻撃を受けたことが確認された。New York TimesやWall Street Journalなどの複数の海外メディアがこれを報じる一方、Appleも同社のWebサイトで声明を発表している。報道によると、iCloudの中国ユーザーが中間者攻撃(Man-In-the-Middle)を受けて、不正アクセスを受けたという。Appleは同社のiCloudのサポートページで、「われわれは、ユーザーの情報を得ることを目的とした、不正な認証を悪用した組織的な攻撃を認識している」と述べている。同社によると、iCloudのサーバはこの攻撃の影響を受けておらず、OS X YosemiteでSafariによってiCloudにサインインすれば問題ないという。さらに、iCoudのサイトはデジタル証明書で保護されているので、Webブラウザに無効な証明書の警告が出た場合はApple IDとパスワードを入力しないよう警告している。正規のiCloudのサイトにアクセスしている場合、Webブラウザのアドレスバーの左端に表示される鍵マークが緑色になっている。中国の監視団体「GreatFire.org」は、中国政府がiCloudiCloudに保存されているデータを窃取するため、中間者攻撃を行っていると指摘しており、Appleにコメントを求めるためメッセージを送っているという。なお、Appleは攻撃者について触れていない。
2014年10月23日NTTソフトウェアは、Webサイトをサイバー攻撃の脅威から守るセキュリティサービス「TrustShelter(トラストシェルター)」の発売を11月4日から開始すると発表した。近年、改ざんやウイルスの埋め込みなど、Webサイトに対する攻撃が増加しており、2014年上半期で2000件を超すWebサイト改ざんの被害届けがJPCERTコーディネーションセンターに提出されている。特に、最近のサイバー攻撃は技術的に複雑化・巧妙化が進み、次々と新しい攻撃が出現し、IT担当者には大きな負担となっている。このような背景から、NTTソフトウェアは「TrustShelter」として、Webサイトのセキュリティ対策に必要なサービスの販売を開始する。このサービスは、Webサイトの「攻撃遮断」と「改ざん検知」「セキュリティ診断」をクラウドサービスとして提供。サービスで用意している3つの対策メニューの中から、セットでの利用または必要なメニューを選択する。
2014年10月17日bashのセキュリティ脆弱性(通称:Shellshock)の影響はいまだとどまることなく、さらに広がりを見せている。この脆弱性を攻撃する手法としてすでにHTTPやDHCPが知られているが、新たにDNSの逆引きを利用する方法が発見された。さまざまなメディアで報道されているが、例えばFull Disclosureに掲載された「Full Disclosure: CVE-2014-3671: DNS Reverse Lookup as a vector for the Bash vulnerability (CVE-2014-6271 et.al.)」などが興味深い。スレッドで、この問題について詳しく解説されている。DNSの逆引きの結果として「() { :;}; echo CVE-2014-6271, CVE-201407169, RDNS」といったShellshockを悪用する文字列を返すようにDNSサーバを設定した場合、システムおよびDNSソフトウェアの実装の組み合わせによっては、逆引きを実施したソフトウェアにこの文字列がそのまま返ってくるものがある。逆引きを利用したソフトウェアが、例えばこの文字列をREMOTE_HOSTといった環境変数として設定し、そのあとでexec系のシステムコールが実行された場合、Shellshockを突いてこのコマンドが実行されることになる。公開されたドキュメントでは、Mac OS XがShellshockの影響を受ける可能性があると指摘している。Red Hat Enterprise Linux、CentOS、FreeBSDといったOSはこうした影響を受けないといった指摘もあるが、今後影響を受けるシステムは増える可能性があり、関連したベンダーやプロジェクトの発表は気にかけておく必要があるだろう。
2014年10月16日ラックが9月29日に、自社へのサイバー攻撃・ウイルスの侵入状況を「脅威分析情報」として公開すると発表した。企業では隠されることが多いサイバー攻撃の被害状況・ウイルスの侵入ルートを、積極的に公開する新しい試みだ。会見では、まず緊急情報として、GNU Bashの脆弱性(Shell Shock)をとりあげた。ラック取締役最高技術責任者の西本逸郎氏は「GNU Bashの脆弱性は、最高ランクの脅威度。Linuxの基本システムで利用されているシェルであり、ほぼすべてのディストリビューションが影響を受ける。サーバーはもちろんのこと、組み込み機器、ルーターなどにも組み込まれている可能性があるので注意が必要だ」と述べた。世界的に問題になっているGNU Bashの脆弱性だが、ラックの監視センター・JSOCでも「26日の時点で、この脆弱性を狙った複数件の攻撃を確認している。Webサーバーの乗っ取りを試そうとして失敗した痕跡がある」とのこと。西本氏は「今後、攻撃が増加すると予測される。深刻な自体につながる可能性があるので、可能な限り広い範囲に対策の必要性を伝えてほしい」と注意を促した。GNU Bashuの脆弱性についての注意喚起は、IPAが最新の情報を「更新:bash の脆弱性対策について(CVE-2014-6271 等)」でまとめているので参考にしてほしい。○企業はスパイ系のセキュリティ被害を隠すことがほとんど。ラックでは公開して注意喚起へ西本氏は昨今のスパイ系セキュリティ被害の状況について「官公庁や防衛産業など以前から標的となっている組織は、対策が進んで検知・防御できるようになった。しかし中小企業・開発会社など一般的な組織はまだ甘い。官公庁や防衛産業などに進入するための手段として、中小企業が開発会社がなどがターゲットにされている」と述べた。一般企業でも、高度なスパイ対策が必要だが、意識がそこまで至っていないのが問題だとしている。スパイの実態を知らせることができれば、一般企業への啓発にもなるが、実際には「高度なセキュリティ対策を実施している組織が、その実態を世間に公開することはあり得ない」と西本氏は分析している。実際に様々な企業で不正アクセス事件が起きているが、その詳細な手口が公開されることはほとんどない。自社の信頼性やブランド価値が落ちることを恐れ、具体的な事故情報が公開されることはなかった。そこでラックでは、自社に対するサイバー攻撃の侵入方法を具体的に公開することを決めた。「失敗事例があれば学ぶことができる。しかしどの企業もも自分の『失敗』を知らせようとはしない。それならラックがやろうと。社内の反対もあったが、うちがやられなければ、どこがやるのか?と説得して公開することにした」と、西本氏は述べた。○FireEyeなどによる「脅威分析情報」をウェブサイトで広く公開具体的には以下の様な形で情報を収集・公開する。ラックのシステム管理部門を、今までの運用保守だけでなく、新事業サービス化への実験台として検証評価をする「スマート・ビジネス・ファクトリ」として強化するサイバー攻撃への防衛体制としては、高度なマルウェア対策ができる「FireEye」、IDS/IPS、ファイアウォールの活用による出口対策などを行う侵入監視を国内最大級のセキュリティ監視センターJSOCが行う検知したサイバー攻撃を、ラックのサイバー救急センターが分析・公開する一言でまとめるとすれば「ラックの社内システムを実験台として動かし、サイバー攻撃の被害状況を公開する」。この中でも特に注目なのは、FireEyeによる監視だろう。新設されたラックのスマート・ビジネス・ファクトリで統括マネージャを務める犬塚正典氏は「8月からFireEyeを導入した。ふるまい検知でマルウェアを発見できるFireEyeを活用して、侵入方法などを知らせていく」と語る。FireEyeは大企業や官庁などで導入されているマルウェア対策システムで、シグネチャ方式ではなく、疑わしいふるまいを検知し防御するもの。FireEyeによる具体的な検知結果が公開されることはあまりないため、他の企業にも参考になりそうだ。○スパイウェア感染・水飲み場攻撃の事例を公開今回の発表に合わせて、2件の具体的な被害の事例が公開された。ラックのウェブサイト「注意喚起情報・脆弱性情報」で見ることができる。社内のPCでスパイウェア感染。外部への通信を捕捉ラック社内のパソコンに「SaveitKeep」というアドウェアと思われるものがインストールされており、国外のIPアドレスに向けて接続が行われていた。FireEye NXシリーズが検知したもの。PCから削除することによって事態を解決した。改ざんされたサイトでの水飲み場攻撃検知FireEye NXシリーズが不正なURLを検知。jpドメインの正規サイトが改ざんされており、不正なサイトに誘導しようとしていた。ラック社員が訪問してもおかしくないサイトで、いわゆる水飲み場攻撃の手口だった。社内PCのマルウェア感染はなかったという。これらの状況は「セキュリティ会社でさえ、PCがスパイウェアに感染していた」といえる。これを公開することは、セキュリティ企業としては勇気のいることだろうが、「ラックでも被害に遭う。一般企業ではさらに危険だ、という警鐘になればと思う」と西本氏は述べている。今後もラックの社内でサイバー攻撃の被害が出た場合は、「脅威分析情報」として公開される。マルウェアの具体的な手口や、被害の原因がハッキリとわかるので、セキュリティ担当者は注目しておきたい。。
2014年09月30日Trend Microは9月26日、「bashに存在する「Shellshock」脆弱性を利用した攻撃を確認、『BASHLITE』へ誘導」において、先日発覚し広く知られるようになったbashのセキュリティ脆弱性(通称ShellShock)を利用したマルウェアの感染を確認したと伝えた。この攻撃はShellShockの発表があってから数時間後に確認されたという。攻撃者はShellShockのセキュリティ脆弱性を利用してマルウェアをサーバに感染させる。マルウェアは「ELF_BASHLITE.A」または「ELF_FLOODER.W」として検出されるとされており、DDoS攻撃に使用されるという。またこれらマルウェアは総当たり攻撃でパスワードを推測する機能も備えているとされている。Trend Microの報告は多くの示唆に飛んでいる。今回のbashのセキュリティ脆弱性ShellShockを使って実際にWebサーバにマルウェアを感染させることが確認されたのは、今後広域に渡ってこの攻撃が使われる可能性を示唆している。Linuxディストリビューションの多くはbashを/bin/shとして使っていたりユーザのログインシェアとして使っているため、進入される危険性が高い。古いバージョンのまま運用されているLinuxサーバはかなりの数になることから、ボットネットの構築や踏み台としての利用など、セキュリティ脅威で利用されるプラットフォームとしての利用が推測される。bashや、bashを利用したソフトウェアを動作させているオペレーティングシステムを使っている場合には、ベンダやプロジェクトの発表に注目するとともに、アップデート版が提供された場合には迅速にアップデートを適用することが推奨される。また、回避方法やセキュリティの強化方法などが提示された場合には、そういった手法の適用検討を実施することも推奨される。
2014年09月29日シマンテックは9月25日、都内で「Webサイト攻撃の傾向と対策に関する記者説明会」を開催した。説明会では、シマンテックのTrust Servicesプロダクトマーケティング部上席部長の安達 徹也氏が、増え続けるWebサイト攻撃の手口と、対策としてクラウド型のWAF(ウェブアプリケーションファイアウォール)のレクチャーを行った。安達氏によると、個人情報漏えい事件が多発しているものの、最近目にすることの多い内部犯行よりも、ハッカーによる外部犯行が多いという。そのため、「企業にとっては、外部からのWebアプリケーションに対する攻撃対策を再優先にすべき」と話す。Webサイトへの攻撃は上のグラフのように年々増えている。理由はWebサイトが脆弱性を抱えているため。シマンテックの調べによれば、77%のWebサイトには何らかの脆弱性があり、そのうち8サイトに1サイトはパッチ未適用の重大な脆弱性があった。犯人の攻撃の目的は、政治目的などの「ハクティビズム」、技術力のある人物による「愉快犯」もあるものの数は限られており、もっとも多いのは「金銭目的」となっている。○WAFによる攻撃検知シマンテックでは、国内657サイトに設置したクラウド側WAF(ウェブアプリケーションファイアウォール)での攻撃データを分析している。攻撃の手口は複数あるものの、いずれも2013年後半から攻撃数が上昇している。これは犯人側の狙いもあるだろうが、安達氏は「Webアプリが増えているのに対して、開発者は足りない状況。手が回らずに作りが甘いものがあり、結果として攻撃が多くなっているのかもしれない」と述べた。犯人がWebサイトを改ざんする理由は、不正送金などのマルウェアを埋め込むため。脆弱性を突く攻撃で改ざんし、オンラインバンキングなどの不正送金マルウェアを埋め込む。ドライブ・バイ・ダウンロードで被害者が感染し、オンラインバンキングが乗っ取られて不正送金されてしまう。安達氏は「Webサーバー側が被害を受けるだけでなく、閲覧者・利用者も被害を受ける。Webサーバー側が攻撃に加担することになるので、対策が重要だ」と述べた。○もっとも目立つのは「SQLインジェクション」と「PHP脆弱性」Webサイト攻撃で、もっとも多いのは「SQLインジェクション攻撃」だ。SQLインジェクション攻撃とは、入力欄に特殊な構文を入れることで、本来見せてはいけない部分を見せてしまう脆弱性を狙ったもの。本来ではデータであるはずの文字列が、SQL文として認識されて、不正ログインが可能になってしまう。SQLインジェクション攻撃は古くからある手法だが、Webアプリが増えたことからSQLインジェクション攻撃も増えている。データベースのすべて情報が漏れる可能性があり、顧客情報だけでなく、管理者情報(パスワード)を入れていた場合は、サーバー全体を乗っ取られる危険性もある。犯人にとって、SQLインジェクション攻撃は効率的な攻撃方法だ。と言うのは、検索エンジンで脆弱性のあるサイトを探せるため。具体的にはPHPエラーメッセージを検索することで、脆弱性があるサイトかどうか推測できる。エラーメッセージ自体は脆弱性ではないが、作りが甘いことがわかるために攻撃の手がかりとなってしまう。またSQLインジェクション攻撃のツールは、ネット上で配布されており、簡単に入手できることも攻撃が多い要因となっている。次に目立つ手口は「PHP脆弱性」だ。Webページに特化したスクリプト言語・PHPの脆弱性を狙ったもので、古いバージョンが使われている、エラーメッセージが拾える、技術者レベルのばらつきが多いことなどが、狙われる理由となっている。PHPは世界中でで使われているため、日々新たな脆弱性が発見されていることも理由の一つだ。この他、外部からファイル名を細工して攻撃する「ディレクトリトラバーサル」、データ入力時のパラメータに命令文を紛れ込ませる「コマンドインジェクション」などの攻撃を検知している。Webアプリへの攻撃では、「Apache Strutsの脆弱性」を狙うものが、2014年4月以降増えている。安達氏は「お客様からの問い合わせでもっとも多いのが、『Apache Strutsの脆弱性は、WAFで対策できるのか?』というもの。Apache Strutsの脆弱性への対策に困っている担当者が多いようだ」と述べた。Apache Strutsは、JavaでWebアプリケーションを開発する際に用いられるアプリケーション・フレームワーク。Webアプリの基盤となるものだけに、脆弱性の解消がとても難しくなっている。安達氏は「脆弱性を解消するのが難しい場合は、WAFによる対策が有効だ」と説明している。○WAFの利点は「設置が簡単で早い」「低コスト」安達氏は「Webアプリケーションの改修には、予算取得が難しい、開発者確保が困難といった事情がある。そのため危険性の高い脆弱性でも放置されていることが多い」とした。IPAに調査によれば、脆弱性の修正に91日以上かかったサイトが、全体の3分の1にものぼっている。そこでシマンテックが勧めているのが、クラウド型WAFの導入だ。Webアプリケーションをそのままに、攻撃の検知・防御ができるため、サーバー側のシステムは変更する必要はない。また、短期間で導入が可能となっている。例えば、シマンテックのクラウド型WAFでは、DNSを書き換えて、すべての通信をシマンテックのセンターを通す形にする。この方法では、DNSを書き換えるだけで済むので短期間で導入できる。最短で1週間程度とのことだ。また、WAFの運用や、不正な攻撃を検知するシグネチャ更新は、クラウド側で対応できるケースが多く、専任の運用担当者を置く必要がない。このメリットは、攻撃の検知・防御面でも生かされており、SQLインジェクションや、Apache Struts脆弱性、ディレクトリトラバーサル、XSS脆弱性やパスワードリスト攻撃といった多岐にわたる攻撃を検知・防御が可能となる。クラウド型のメリットは、当然のことながらアプライアンス型のWAFよりもシンプル、低コストである点も挙げられる。クラウドサービスなどにサービス運用を分散させている場合でも、その手前にWAFを置くことになるためシンプルになる。安達氏はこれらのクラウド型WAFのメリットを挙げた上で、「Webアプリケーションの開発者が枯渇しているため、開発者をセキュリティ対策に向けられないという事情がある。クラウド側WAFを入れれば、開発者を動かさずにセキュリティ対策ができる」とした。○改ざんされた「はとバス」はクラウド型WAF導入により17日で復旧クラウド型WAFの利用事例がいくつか紹介された。その中で注目すべき点は「はとバス」の事例だ。はとバスのWebサイトは、3月にサイト改ざんの被害を受け、閲覧者にウイル感染被害が出た。はとバスではサイトを閉鎖し、早急なセキュリティ対策を検討する中で、シマンテックのクラウド型WAFを導入した。このクラウド型WAFによって、はとバスのWebサイトは17日後に再開している。短期間で導入できるクラウド型WAF導入によって、サイト閉鎖での収益低下を抑えることができた。この他、自由民主党のWebサイトは、2013年6月のネット選挙解禁での参議院選挙に向けてクラウド型WAFを導入している。またスマートフォンアプリ大手の株式会社エムティーアイでもクラウド型WAFを導入。1ヶ月未満で50サイトの対策を行うという厳しい物だったが対応できている。安達氏は最後に「日本の企業は『うちは大丈夫』という根拠のない自信を持っているところが多い。これがWebアプリケーションの甘さの原因となっている。脆弱性と攻撃の手口を理解した上で、クラウド側WAFでしっかり守ってほしい。クラウド型WAFは、ハードウェアのWAFよりもコストを抑えられるので中小企業にも向いている」と語った。
2014年09月26日AIU保険は、5月17日に販売を開始した個人情報漏洩保険の「サイバー攻撃対応費用特約」の契約者がサイバー攻撃を受けた際の初期対応の支援を目的として、情報セキュリティの専門会社であるサイバーディフェンス研究所(以下CDI)と業務提携契約を締結したことを発表した。同特約は、個人情報漏洩が発覚する前のサイバー攻撃を受けた段階から補償を開始し、セキュリティ専門機関による迅速な初期対応をサポートすることにより、情報漏洩、信用失墜、システム停止などの被害を抑え、賠償リスクの軽減を図るというもの。今回の提携により、顧客が被害に遭った際には同社がCDIを紹介し、初期の「ダメージコントロール」を支援、被害の最小化と速やかな復旧、賠償リスクの軽減が確保されるとしている。CDIが提供する初期対応は、被害状況の把握、証拠保全、被害拡大防止、保全された証拠の調査(デジタル・フォレンジック)の4つ。なお、AIU保険が認定した、CDI以外のセキュリティ専門機関についても特約の補償対象とする。AIU保険は、多様性を増すサイバー攻撃のリスクに対して、リスクマネジメントに役立てるよう保険会社としての社会的な責任を果たしていくとしている。【拡大画像を含む完全版はこちら】
2012年06月25日AIU保険会社は17日、企業が外部から不正アクセスなどのサイバー攻撃による被害を受けた際、その初期対応に要した費用を補償する保険商品『サイバー攻撃対応費用特約』を新たに開発し、同日から販売すると発表した。同商品は、企業が標的型メール攻撃、不正アクセス、DoS攻撃などのサイバー攻撃に遭った時に、セキュリティ専門機関が行う被害状況の把握、証拠保全、被害拡大防止、保全された証拠の調査(デジタル・フォレンジック)などの初期対応に要した費用を補償する保険で、個人情報漏洩保険の特約として開発したもの。日本の大手企業や官公庁を狙ったサイバー攻撃による個人情報流出の事例、機密情報が狙われるといった報道が多くみられる。また、大手企業のみならず中小企業もサイバー攻撃の標的となり、今日の日本企業や組織が深刻な情報漏洩のリスクに晒されていることが浮き彫りとなっている。特に最近では、人や組織を信じ込ませるために関係者を装い、ウィルス対策を回避して標的ごとに作成したマルウェア(ウィルスなど)を仕込んだ電子メールを送りつけピンポイントで攻撃してくるサイバー攻撃、いわゆる『標的型メール攻撃』が大きな脅威となっている。AIU保険会社ではこのような状況を受け、サイバー攻撃によるリスクを軽減するニーズに応え、被害時の初期対応に要する費用を補償する同特約を開発した。従来の個人情報漏洩保険では、個人情報が漏洩した場合に要した危機管理実行費用や法律上の損害賠償責任が補償の対象だったが、この特約をセットすることで、情報漏洩が発覚する前のサイバー攻撃を受けた段階から補償を開始し、セキュリティ専門機関による迅速な初期対応をサポートすることにより、情報漏洩、信用失墜、システム停止などの被害を抑え、賠償リスクの軽減を図る。サイバー攻撃によるセキュリティ上の事故とは、以下の通り。コンピュータなどへの不正アクセス・不正使用コンピュータシステムの安全対策上の不備(セキュリティ・ホールなど)を利用してネットワークを経由してアクセスする行為他人のIDやパスワードなどをネットワークを経由してコンピュータに入力することで他人になりすましてアクセスする行為悪性コードの送付DoS攻撃補償の対象となる費用は、セキュリティ専門機関が行う初期対応に要する費用で、(1)被害状況の把握、(2)証拠保全、(3)被害拡大防止対応、(4)保全した証拠の調査、以上の対応に要した費用となる。【拡大画像を含む完全版はこちら】
2012年05月17日