大人しかった幼稚園では見られなかった、攻撃的な長男の姿出典 : 予期しない場面への対応が苦手な長男にとって、大勢のクラスメイトが過ごす教室の中は、最も緊張しやすい場所の1つです。それを痛感したエピソードがありました。付き添い通学から少しずつ、みんなのいる教室で、過ごす時間を増やしていった頃です。隣の男の子が、私に話しかけてくると「わーっ」と言って、手で払いのけようとします。前の女の子が振り向いた時も「見るな!」と声を荒らげ、ちょっと手が当たっただけで、思いっきり押し返す長男。その攻撃的な姿に、ショックを隠せませんでした。何か問題が起こるたびに「人を叩いたらあかん!『ごめんなさい』って言いなさい!」と教えていますが、ますます態度は硬化し、相手の子だけでなく、周りの子どもたちも「何、この子…」と距離を取り始めました。幼稚園時代は、他の子との関わりこそ少なかったけれど、おとなしく遊んでいますよ、と先生に言われていただけに、初めて見る我が子の姿に、胸のつぶれる思いでした。自分で自分が止められないことに、長男も困っていた出典 : これまで、怪我をする程の大ごとにはなりませんでしたが、相手のお子さんのお家へ、謝罪の連絡をするのが、こんなにしんどいとは思いませんでした。手が出るたびに何度も諭すうち、「わかってるねん!だから自分は学校に行かへんほうがいい」と言うようになりました。怪我をさせるような行動は悪いと、本人も理解しているのです。けれども、自分で自分が止められない。考えるより先に行動してしまうのです。「お母さんは、あきらめないよ。一緒にゆっくり変わっていこう」と話し、まずは物理的にブロックする作戦を試みました。トラブルが起こって手を振り上げたら、パッと手をつかむか、ガシッと抱き寄せてその場から引き離します。少し時間が経って落ち着いたときに「さっきはどんな気持ちやった?」「何がイライラした?」と理由も聞いてみました。多くの場合、「じろじろ見られた」「注意してくる」「手がぶつかった」というのが理由でした。近付いただけで過敏に反応するのは、落ち着けるスペースが人より必要だったから出典 : 長男の理由はわかりましたが、他に根本的な原因があるのでしょうか?気になった私は、さらによく観察してみることに。すると、どうも長男の場合は、自分と他者との境界が曖昧でズレていることに気付きました。これが他害行動の正体のようでした。幼稚園時代から、集団行動の時は少し離れて位置を取るタイプだったのですが、入学をきっかけに、極端に敏感になってしまったようです。自分を保つために、ちょっと触れられただけで過剰防衛してしまうのです。この感覚への対応は、感覚統合療法を受けると同時に、家ではできるだけ趣味の時間を大切にして、リラックスしたり、体を使った遊びをしたりして、感覚を和らげるようにしました。『脳みそラクラクセラピー』という本が、このとき参考になりました。足裏マッサージなど、今でも続けていることがたくさんあります。脳みそラクラクセラピー―発達凸凹の人の資質を見つけ開花させるクラスメイトに理解してもらうきっかけになった「そっとしておいてほしい」カード出典 : また、長男が少しでも過ごしやすくなるよう、周囲への協力も必要だと考えました。特に、「見られるのがいや」「注意してくるのがいや」に対しては、先生を通じて、クラスメイトに以下を伝えてもらいました。●緊張しやすくて、見られるのがものすごく苦手であること●今、学校に慣れている最中だから、そっとしておいてほしいことまた、長男とは一緒に、対策を考えるスタンスで接しました。相談して作ったのが、「今は見ないでほしい」「今はそっとしておいてほしい」と書いたカードです。机の上に準備しておき、怒りたくなったらまずこのカードを見せてみたらどうだろう?と提案したのです。作った当初、なかなか自分からは見せなかったのですが、私が代わりに「今、この状態やねん」と見せると、相手の子も納得してスッと離れてくれるので、長男も手をひっこめられるようになってきました。このカード、クラスメートにわかってもらうという点で、1番効果を発揮したかもしれません。しばらくすると、自然にカードを使わなくてもよくなりました。他に、「おはようございますカード(お日様のイラスト)」や「しずかにしてくださいカード(唇のイラスト)」なども一緒にリングで束ねておきました。このカードのおかげで、みんなとちょっとずつ、打ち解けることができました。それでも無くならない攻撃性。クラスメイトに親しみを持つには、どうしたらいいのだろう…出典 : カードを使ったコミュニケーションにより、少しずつ落ち着く一方で、特定の子にだけ、攻撃性が残るようになりました。どうしても相性の合わない子がいるようでした。逆に言えば、波長の合う子には、あまり攻撃性がみられません。となれば、「親しみを抱くこと」も、他害行動を防ぐ1つの方法になると考えました。そこで考えたのが…●長男と取り組んだこと:知らない子に囲まれるのが苦手なので、クラスメートの名前の一覧表を見ながら「マラソン大会で1位だった子だね」と、できるだけ具体的にイメージする練習●先生に伝えたこと:給食当番のペア組みや席替え時への、可能な範囲での配慮のお願い●保護者の集まる席で伝えたこと:子どもの発達にデコボコがあること、家庭で取組んでいること、何か困ったことがあれば、問題が小さいうちに先生を通じて連絡してほしいことこの3つを試してみました。手が出ることがなくなった長男。それでも苦手な学校に、少しでも慣れていくために出典 : 入学当初は、長男から片時も目を離せない状態でしたが、手探りでいろんな方法を試すうちに、次第に落ち着いてきました。もちろん「学校に慣れた」ことも大きかったと思います。相性の良くない子との間柄について、長男は「冷えきってる」と言いつつも、手を出すことはなくなりました。また、ちょっとしたトラブルもスルーできるようになってきました。ただ小3になった今でも、しばしば「今日は学校に行ったら、しんどくなって誰かをたたいてしまうかもしれへん。行かへんほうがマシやと思う」ということを口に出します。まだまだ長男にとって、毎日の登校は簡単なことではありません。人とあまり関わろうとしなかった姿勢が、先生には「おとなしい子」と映っていた幼稚園時代。入学をきっかけに突如、攻撃的になった姿に、最初は大きなショックを受けましたが、そのおかげで、社会との関わり方が変わったという点では良かったです。発達の階段を一歩上がったな、と思えるようになりました。長男には、「ほんまに大変なのはわかる気がする。だから何が何でも学校に時間通りいなければならないとは言わない。けど将来的には、みんなの間で過ごしても落ち着いていられるようになろう。そのために学校という場を活用しよう。今は失敗してもいいからね」と話しています。
2016年09月13日こんにちは。ママライターのamuです。幼児期のお子さんをお持ちのお母さんなら一度は経験するであろう「これ買って」攻撃 。お店でごねられたり、号泣されたり、床に転がられたりすると本当に困りますよね。皆さんはどのように対応しているのでしょうか? ママ友に昔話がてら話を聞いてみたので、よかったら参考にしてみてください。●事前に約束派『出かける前に「今日は誕生日やクリスマスじゃないから、何にも買わないからね」と念を押してから出る』(息子さんが4歳のとき)これだけで、意識がだいぶ違うと思います。『お気に入りのぬいぐるみと、おもちゃは買わないお約束をしてから』(娘さんが3歳のとき)ぬいぐるみをお買い物に連れて行くのもいいとのこと。本人(?)を目の前に小さな子でも約束を守ろうとするそうです。『休憩所みたいなところで自分でお水を注いで飲むのが気に入っていたから、「今日もお水飲む?お水注ぐの上手だもんね」とヨイショして、意識をそっちに向けた』(娘さんが3歳のとき)子どもの“思い込んだら一直線”をうまく利用していますよね。『娘がおままごとをしているときに邪魔したり、テレビを見ているときに大声を出したりして反面教師に。そのあと、店内で走ったり大声を出したりするのは迷惑ということをこんこんと言い聞かせる。それを常日頃していた』(娘さんが4歳のとき)『これは偶然なんだけど、泣き叫ぶ子どもを見て“人の振り見て我が振り直せ” ができたらしく、めそめそ泣かなくなった』(娘さんが4歳のとき)これは、まわりの目を意識しがちな女の子に響きそうですね。●その場で対応派『買おうとしていた別の商品をベタ褒めして勧める。プレゼン力がついた』(息子さんが4歳のとき)こちらは何枚も上手の大人です。うまく気をそらさせるのも力量!?『大泣きされたときは担いでその場から離れ、面倒でも一旦帰る 。断固たる態度を貫くと、向こうも面倒だと感じるのか泣かなくなった』(息子さんが3歳のとき)大泣きしているときに言い聞かせたって焼け石に水。環境を変えたほうがいい場合は多いです。泣いたら買ってもらえると思われないことが大事ですよね。簡単に買ってあげたらきりがないし、欲望は無限大なので……。『アンパンマンに頼っていた。「アンパンマンがさっき電話してきて、このお菓子を食べたら虫歯になっちゃって痛くてかわいそうだから買わないでねって教えてくれたよ」とか』(娘さんが3歳のとき)好きなキャラクターの言うことはすんなり聞けちゃうのが子どもです。『「欲しいよねー」と同調して、「この前買ったからまた今度買いに来ようね。楽しみだね」と明るく言う』(息子さんが4歳のとき)確かにこれなら、買ってもらえないけど嫌な気分にはならないのでダメージが少なそう。家に帰っておやつを食べようなどと楽しい提案をする のもいいかもしれませんね。『お菓子コーナーやおもちゃ売り場に近寄らない。近道でも通らない。見せないだけで回避できる』(息子さんが3歳のとき)これは私たち大人も同じですよね。見たら欲しくなっちゃうんです!『「誕生日に買おう」とか「サンタさんにお手紙書こう」と言う』(娘さんが4歳のとき)その場しのぎですが、なかなか効果的なんですよね。『ガマンできたとき褒め讃え続けていたら、どや顔で息子の方から「おれ、お菓子いらん」って』(息子さんが4歳のとき)これは男の子に効果的 かも。かわいいですね。『悲しげに「お金がない」と言う』(息子さんが3歳のとき)一円玉ばかりのお財布も見せたとのこと。『ちょうど犬を飼い始めたときだったから、床に寝転がった息子に「そこはわんちゃんのうんち踏んだ人が歩いたかもね」と言ったらすぐ飛び起きた』(息子さんが4歳のとき)きっと、ありありと思い浮かべたのでしょう。『「どうしても欲しいならお小遣いで買いなさい。でも、お金が減るから他にもっと欲しいものが見つかってもそのときは足りなくなっちゃうよ」と言って娘のお財布を渡すと、残りのお金を数えてやめる』(娘さんが5歳のとき)それでやめる娘さんが立派すぎる!『「欲しいなら買ってあげるけど、お誕生日はなしだよ。プレゼントがない誕生日はさみしいよ」と言って考えさせる。もっと欲しいものが見つかっても買えなかったときに後悔して学んだらしい』(息子さんが5歳のとき)身をもって学ぶこと も必要なのかもしれません。●代わりのものを買ってあげる派『高価なもの以外なら買ってあげる。甘やかすのはよくないというけど、私も兄弟も道を外していないと思う。娘たちも特に反抗期もなかった。援助交際をやっていた子は親御さんが何も買ってあげなかったり、買ってあげられなかったりの事情があって、大人になってから反動で物欲が止まらないこともあると聞いた。子どものころからある程度満たされていた方がいい と思う』(40代のママ)『毎回フードコートでソフトクリームなんかを買ってもらえるので、それがいつもうれしかった。だから娘にもそうしていた』(30代のママ)というように、ある程度聞いてあげるママもいるようです。またママ友に、ぐずる子どもと叱らないママを見たときに正直どう思うか聞いたところ、『「もう知らない」と泣く子を放置する親は本当にしっかりしてと思う』(30代のママ)『無理して買い物せず、ネットスーパーにするのも手』(30代のママ)という意見が。また、そういうことに直面したときのまわりの人の対応については、『どうしたの?と子どもに声をかけてくるより、私に「大変だけど頑張るのよ」と言ってくれたり手助けしてくれたりする方がありがたかった』(30代のママ)との声がありました。----------ぐずる時期は育て方に関係ある子とない子がいて、子どものことだからと思いつつも、いざわが子にされると恥ずかしさとやるせない気持ちで赤面してしまうこともあります。でも、どうなってほしいのか、どうしつけをしていきたいのか、芯を持って毅然とした態度でいられたらいいなと思います。幼児期はまだまだ通過点。小学生や中学生の先を見据えて、長い目で子育てする気持ち で全然大丈夫です。一時の恥くらい、なんてことありません!買わない!と決めることが“かわいそう”であるとは限らないと私は思っています。●ライター/amu(ママライター)●モデル/KUMI(陸人くん、花音ちゃん)
2016年09月09日ドスパラは6日、自作PCセット「パーツの犬モデル」を使ったPC組み立て教室「~GWは窓辺とおこと高橋敏也先生と一緒にパソコン自作チャレンジ~」を秋葉原で開催すると発表した。開催日時は2016年4月29日。また、これに合わせて参加者の募集を開始した。応募締め切りは2016年4月17日まで。なお、応募者多数の場合は、抽選で決定する。イベントは、親子限定の回と一般の回の2回に分けて開催し、それぞれ15組30名まで参加できる。講師にテクニカルライターの高橋敏也氏、ゲストにDSP版Windows 10自作PC応援キャラクター「窓辺とおこ」のCVを担当する声優の野中藍さんを招き、解説を交えながらPCの組み立てを行う。教材の自作PC「パーツの犬モデル 101基本セット」はイベント当日に購入する。通常は税別67,434円のところ、イベント限定価格として税別55,00円で販売する。主な仕様は、CPUがIntel Core i5-6500(3.2GGHz)、チップセットがIntel H170(ASRock製)、メモリがDDR4 8GB、ストレージが1TB HDD、グラフィックスがIntel HD Graphics 530(CPU内蔵)、光学ドライブがDVDスーパーマルチドライブ、電源が500W。PCケースがENERMAX FulmoQ 黒、OSがWindows 10 Home 64bit。現在、イベント特設サイトから参加者の募集を開始している。応募に当たっては、ドスパラのDJ Club Membersに入会する必要がある。
2016年04月07日JPCERT コーディネーションセンター(JPCERT/CC)は3月31日、「高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて」をWebサイトで公開した。同ガイドはこれまで非公開としたうえで、 JPCERT/CCの早期警戒情報受信登録企業、日本シーサート協議会会員など、限定して公開されていたが、今回Web公開版として一般公開された。エンタープライズサポートグループ リーダーの佐藤祐輔氏は、同ガイドが一般公開された理由について、「初版を作成した当時は、ガイドを一般公開すると、攻撃者に防御策を知らせてしまうことになるため、非公開とした。しかし、昨今はサイバー攻撃が広がっており、より広く国内の企業組織にサイバー攻撃への備えを普及するため、Web公開版を作成した」と語った。佐藤氏によると、数多くある標的型攻撃に関する資料との違いは、攻撃手法や防御手法の技術的説明は一切行っておらず、高度サイバー攻撃(APT)の全体像を整理しつつ、攻撃に対応するために企業・組織がどのように備えて行動すべきかを体系的にまとめている点にあるという。同ガイドのポイントは「脅威を理解する」「リスク評価とリスク許容度の決定」「組織としての対応方針・手順・体制・準備」「情報共有と連携」、主な対象は企業・組織のCSIRT(Computer Security Incident Response Team)やセキュリティチームとなる。同ガイドは、企業や組織がJPCERT/CCのような組織から通知を受けた時点から、インシデント対応チームが侵入に対応するまで、APTに対応する際の重要なポイントを順に解説する流れとなっている。具体的には、「APTの定義と活動モデル」「APT対応のための事前準備」「インシデント対応プロセス」の3部から構成されている。○第1章「APTの定義と活動モデル」のポイント同ガイドでは、APTの活動には「攻撃者」「標的」「目的」の3つの要素が必ず含まれるとして、こうした活動を4段階のアプローチによりモデルを示している。APTの活動モデルとして有名なLockheed MartinのKill Chainは7段階のモデルだが、それでは細かすぎるので、同ガイドでは4段階としたという。佐藤氏は、APTに対する効果的なインシデント対応計画において重要な要素として、インディケータ(APTの可能性がある攻撃または攻撃の準備活動を選別するためのデータまたは情報)」を挙げた。インディケータにより、攻撃者がたどる経路について洞察を得ることができ、セキュリティチームは早期にAPTを阻止できる可能性が高まるという。○第2章「APTのための事前準備」のポイント国立標準技術研究所(NIST)が発行する「コンピュータセキュリティ・インシデント対応ガイド」では、インシデントの対応プロセスを「準備」「検知および分析」「封じ込めおよび根絶」「インシデント後の活動」の4段階に分類しているが、JPCERT/CCのガイドでは準備・検知分析・封じ込めについて解説している。準備段階のポイントとしては「ベースラインの確保(リスク低減措置<攻撃対象領域を縮小する管理策.を実施する)」「セキュリティ訓練の実施(セキュリティチームおよび従業員に対し、脅威への理解を深める)」「トレーニングおよび演習(セキュリティチームのメンバが、最新のツール・脅威に精通しているようにする)」が挙げられている。適切にインシデント対応を行うには、セキュリティ管理策、ネットワークの監視および管理・運用に対し、要員、プロセス、技術に適用できるようなベースラインを整備することが重要となる。そして、インディケータを受け取った時は、それが侵入を発見するために詳細かどうかを判断する必要がある。もし十分でない場合は、外部組織などと情報を共有して、判断に必要な追加情報を得ることが重要になるという。また、APTの活動が行われた場所を正確に特定するためにログが有効だとして、その保持についての留意点や種類が紹介されている。ログの保持における留意点として、「長期間保持する」「すべてのログおよびセキュリティシステムのタイムスタンプを協定世界時(UTC)で構築する」「ログを一元的に集約する」「ログ保存ポリシーについて、ベストプラクティスなどを基に検討すべき」が挙げられている。○第3章「インシデント対応プロセス」のポイント佐藤氏は、「企業や組織は、自社のネットワークでAPTが活動していることを外部からの情報によりわかることが多い。そのため、APTに関する通知が本物であるかどうかを検証する体制を整備しておく必要がある」と、インシデント対応において通知を検証する体制の重要性を指摘した。APT攻撃者に関する通知を受けたら、すぐにログおよび各種データを保護し、インシデント対応チームが活動するための準備を整えるべきだという。保存が必要なログ・各種データとしては、標的型攻撃メール、SIEMデータ、タイムスタンプ、インシデント対応記録、法的に利用可能な(法的紛争・訴訟に際して利用可能な)証拠が挙げられている。また、企業・組織は、APTのネットワーク上での活動を知った時点で、どのレベルの措置をとるかを決めるため、事前に用意しておいたリスク管理およびセキュリティ指針をもとに検討する必要がある。同ガイドでは、リスク許容度に基づいた対応の手順を紹介している。インシデントの対応においては、外部からの支援を得るという選択肢もある。外部のインシデント対応チームを選ぶ際の留意事項としては「レポートの充実度とタイミング」「外部とのパートナー」「対応時間」「身元保証」「業界での経験」「監視の容易さ」が挙げられている。そのほか、同ガイドには、「事前準備のために利用するチェックリスト」や「インシデント対応フロー及びチェックリスト」が付録として収録されているので、参考になるだろう。
2016年04月01日伊藤忠テクノソリューションズ(CTC)は3月14日、パロアルトネットワークスが提供する、企業への標的型攻撃からクライアントPCやサーバなどを保護するエンドポイントセキュリティ製品「Traps(トラップス)」の提供を開始すると発表した。製品の販売、システム構築、保守サポートを含めて提供し、初年度の販売目標は10万ライセンスを目指す。Trapsは、標的型攻撃やゼロデイ攻撃に対応したセキュリティソフトウェア。普及している既知の脅威情報に基づいた対策ではなく、標的型攻撃やゼロデイ攻撃が共通して使用するメモリ領域の破壊行為やライブラリファイルの置換などの動作を検知して不正を防止する。従来のウイルス対策ソフトウェアで必要となるシグネチャの更新が必要なく、システムへの負荷がほとんどないとしている。また、パロアルトネットワークスが提供するマルウェア分析クラウドサービス「WildFire」と連携することで、ファイルを詳細に分析し、既知の脅威情報も活用して標的型攻撃やゼロデイ攻撃へのさらなる強固な対策を図れるという。
2016年03月15日「標的型攻撃」というキーワードを聞いても、漠然としたイメージしか沸かないという方が多いでしょう。標的型攻撃では、さまざまな経路からあなたの情報を収集し、ピンポイントであなたから会社の重要なデータを盗み取ろうと、攻撃者が画策しています。そこで今回は、攻撃者がどのようにメールであなたを狙ってくるのか、実例を交えて解説します。○執拗な攻撃とは?前回は、複合機からのメールを装った攻撃を例に、攻撃者が手を替え品を替え、だましの手口を進化させており、常に「新しい攻撃が来る」ことを前提に"対応する意識"を持ってもらうことが大切であるとお伝えしました。また、前々回、前回の事例は、通称「ばらまき型」と言われるもので、一つ一つの攻撃メールの例を見てきました。しかし、これらの事例では重要な特徴の1つである「執拗な攻撃」という特徴について実感できなかったのではないでしょうか?今回はこの「執拗な攻撃」が、どのように行われているかをご紹介します。○ばらまき型とその他の違いその前段として、「ばらまき型以外」の攻撃メールについてお話しましょう。「ばらまき型」は、つい開いてしまうような内容のメール多くの人に送り、マルウェアである添付ファイルを開かせたり、攻撃を仕込んだWebサイトへアクセスさせたりすることで、攻撃を成立させようとしてきます。送ったメールのうち少しでも攻撃が成功すれば、そのパソコンを踏み台に探査・感染を広げ、次の攻撃の足掛かりにします。「ばらまき型以外」では、攻撃の手口を広めないためにも、多くの人にはメールを送らない傾向があります。攻撃者が窃取したい情報を定めて戦略的にオンライン、オフラインを問わずに情報収集などの攻撃準備を行い、攻撃の確度を高めて情報の窃取を狙います。このような攻撃は1通のメール単体で見ていても、攻撃の全体像が見えてきません。通称「やり取り型」と呼ばれるような手口などがこのような事例に当てはまります。やや古い事例にはなりますが、「やり取り型」の2012年の事例について、情報処理推進機構(IPA)から2014年5月に詳細な報告(概要、活動レポート、添付資料)がされています。こちらの報告はさまざまなメディアでよく取り上げられていたので、覚えている人もいるのではないでしょうか。報告書が公開された時点では、この攻撃者(グループ)からの攻撃は一時やんでいたようですが、その後2014年8月~10月ごろに活動を再開しており、IPAから注意喚起が行われていました。それぞれの事例から「やりとり型」の攻撃がどういうものか、またその手口がどのように進化しているかを見てみましょう。まずは2012年10月の攻撃について、具体的なやりとりの概要を見てみます。攻撃の発端は無害な偵察メールから始まります(#4-1)。この偵察メール自体には何も脅威となるようなものはなく、この偵察メールにターゲットの受信者が返信(#4-2)することで攻撃者は添付ファイルとしてマルウェアを送りつけます(#4-3)。しかし、ここで攻撃が終わりではありません。攻撃が成功していないことがわかると、ターゲットの受信者からのメール(#4-4)で反応を伺いつつ、その場で攻撃手口を見直して次のマルウェアを送りつけます(#4-5)。この攻撃もアーカイブされたファイルが開けずにうまく行かないとわかると(#4-6)、ターゲットの受信者に環境をヒアリング(#4-7、#4-8)した上で、ヒアリングから1時間もかからない短時間で問題点を解消してさらに次のマルウェアを送りつけて攻撃を続けています(#4-9)。「やりとり型」攻撃では、1回分の攻撃の手口だけを見ても、執拗に攻撃を続けて成功させようとしていることが見てとれます。まさに、「執拗な攻撃」の典型です。みなさんにこのようなメールが来たらどのように対応できるでしょうか?外部からの問い合わせなどに対応する業務をしている場合は、多少の不審点があっても添付ファイルを開いて確認してしまうのではないでしょうか。また、外部からの問い合わせに直接対応しないような業務だとしても、対応窓口の人からこのようなやり取りと合わせてメールが転送されてきたらどうでしょうか。このように製品の問い合わせなど、企業として対応せざるを得ない立場の人を狙い、日本語での自然なやり取りを通して学習しつつ、マルウェアを開かせようとします。また、1回分の攻撃に限らず、この攻撃者はしばらく期間をおき、同じ組織への攻撃を繰り返すなど執拗に攻撃を繰り返していると報告されています。次に同じ攻撃者(グループ)であると考えられる攻撃について、2年後の2014年8月の事例を見てみましょう。こちらの攻撃でも2012年10月の攻撃と同様に偵察メールに始まり、やり取りをしながら添付ファイルを開かせようとしています。全体としては似たような流れですが、ここで着目すべきは、ターゲットの受信者から依頼に対してより自然な流れで怪しまれにくいような回答を取り繕い(No.5、10)、また添付ファイルを開いていないとみるや、添付ファイルを開かせるために催促をする(No.8)など、2012年時点では見られないような手口を利用している点です。攻撃の成功率を上げるために学習し、手口を向上して、数年にわたり攻撃を継続していることが見て取れます。人間は相手の反応を確認しながら相当の対応をしてもらうようなやり取りを繰り返すことで、徐々に信頼関係が構築されていきます。「やり取り型」はこのような心理的な特性を利用し、このような状況に適した受け答え、対応を攻撃者が行うことを通して構築された信頼関係を土台として攻撃を成功させようとしてくるのです。今回は、通称「やり取り型」と呼ばれる攻撃の一連の流れと攻撃者の学習による手口向上の事例を紹介しました。巧妙な手口で、執拗に攻撃を継続してきている様子を垣間見ることができたのではないでしょうか。このような「やり取り型」の攻撃は詐欺のようなものです。いかにも怪しい雰囲気の詐欺師は成功しません。詐欺師は身なりを整えて、一見誠意があるようなコミュニケーションを続けることで相手の信頼を得ようとします。また相手の時間を奪い、冷静に判断できないようにし、そして準備が整ったところで詐欺行為を働きます。このような詐欺に対して「私は詐欺にはだまされない」と思っている人こそ詐欺被害に遭うとも言われていますが、標的型メール攻撃も同様です。「私はこんな攻撃には引っかからない」「こんな攻撃は私にはやって来ない」と思っている人こそ注意が必要かもしれません。標的型攻撃はメールによる手口に限らず、今後はより巧妙に、そして執拗に継続されていくことと考えられます。このような標的型攻撃は誰しもが受ける可能性があります。標的型攻撃に「私は大丈夫」はありません。この記事を通して「私も攻撃に遭うかもしれない」「攻撃に引っかかるかもしれない」と思っていただければ幸いです。著者プロフィール○彦坂孝広(ひこさか・たかひろ)NTTソフトウェア ビジネスソリューション事業部アシスタントマネージャー2002年入社。2003年よりNTTグループ企業の研究開発に従事し、2005年からNTTソフトウェアのメールセキュリティソリューション「CipherCraft/Mail」で暗号化や誤送信防止、標的型メール対策などメールセキュリティの開発全般に携わる。あわせて、顧客企業の社外アクセス監視支援業務も担当。セキュリティの専門家として、サイバー攻撃に関する知見も備えている。
2016年03月08日孫の喜ぶ顔見たさに、毎回おもちゃを買ってきてしまうおじいちゃん・おばあちゃんたち。ありがたい反面、あまり量が多いと収納に困ることも。そこで今回は祖父母のプレゼント攻撃をやんわりかわす方法をご紹介します。「もっと気軽に手ぶらで来てください」1つめは「もっと気軽に手ぶらで来てください」と率直に言う方法。これだけだと「好きで買ってきてるだけだから気にしないで」とあっさりかわされてしまいますが、「毎回お金を使わせてしまってると思うと、家に呼ぶのが申し訳なくて…。手ぶらで来ていただくほうがお声掛けしやすいです」と言うと、孫に会えなくなるのは困るという気持ちから、あっさり承諾してくれることも。また、「毎回何かを持ってこられると、他人行儀な感じがして寂しいです」と言う方法も効くみたいです。ただし、おもちゃは減るものの、訪問の回数は増えるかも。「おもちゃを買うのは特別なときだけ」2つめは「おもちゃを買うのは特別なときだけにした」と伝える方法。祖父母がおもちゃを買ってきたときにいきなりこれを言うと「せっかく買って来たのに…」と角が立ってしまうので、子どもがおねだりをしたときに「おもちゃは誕生日の時だけって決めたでしょ」と諭し、協力をお願いするかたちで伝えるのがベスト。「子どもの教育のことをちゃんと考えている」と好印象を与えるのにも役立ちますが、言ったからには自分もおもちゃを買い控えるようにしないと、逆にマイナスの印象を与えてしまうので注意しましょう。買ってきてほしいものを指定するどんなに言ってもやっぱりおもちゃを買ってきてしまう場合には、「最近、○○がお気に入りなんです」「この間から××のシリーズのおもちゃを集めてて…」と、買ってきてほしいおもちゃを指定するのもひとつの手。ミニカーや着せ替え人形の服などかさばらないものを指定すれば、大きなおもちゃを買ってこられて収納に困ることもなくなります。また、ぬりえやシールなど、使ったら処分できるものをお願いするのもおすすめです。子どもにとっても、おじいちゃんおばあちゃんにとっても楽しいおもちゃのやりとり。買いすぎを上手に防いで、円満な関係を築いていけるといいですね。(岡本まめ)
2016年03月04日ハミングヘッズは24日、サイバー攻撃対策ソフトウェア「Defense Platform Home Edition」のパッケージ版を発表した。家電量販店やAmazon.co.jpなどで取り扱い、参考価格は1台1年版が税別2,980円。1台3年版が4,800円。「Defense Platform Home Edition」は、ホワイトリスト型のサイバー攻撃対策ソフトウェア。今回パッケージ版を展開し、ヨドバシカメラやビックカメラでの店頭販売や、Amazon.co.jpのECサイトまで販路を拡大する。主な機能は、APIを監視する割込み型迎撃機能、正常なプログラム(ホワイトアプリ)を判別する機能、警告パネル表示/アプリ停止機能、活動記録やアプリのホワイト、ブラック設定を確認できるディフェンスモード/検知モード、PCの状態を確認できるシステムパネル機能など。対応OSは、Windows XP / Vista / 7 / 8 / 8.1 / 10、Windows Server 2003 R2 / 2008 / 2008 R2。
2016年02月26日シマンテックは2月16日より、サイバー攻撃元情報の提供を行う新サービス「DeepSight Intelligence services」の提供を開始した。同サービスでは、「Symantec Global Intelligence Network」からのテレメトリ情報と、DeepSight Intelligenceチームの解析を組み合わせ、顧客が必要とするサイバー攻撃者情報や手口、キャンペーン、被害状況まで、脅威に関するあらゆる情報を提供する。サイバー攻撃の高度化、巧妙化が進む中で、企業はネットワークや内部に入り込むファイルの分析以外にも、脅威に関連する攻撃者の情報を分析する必要があるが、多くの企業でこうした脅威インテリジェンスの取得・分析を行う人材やリソース確保が難しい状況にあるという。同社は、DeepSight Intelligence servicesには、Managed Adversary and Threat Intelligence(MATI)とDirected Threat Researchの2つのソリューションが含まれている。MATIは、攻撃者の動向を監視し、脅威のライフサイクルを予測する早期警戒や担当者を支援するための戦略的、戦術的なインテリジェンスなどを提供する。一方のDirected Threat Researchでは、企業固有の疑問や要望に対処する個別のレポートを提出するほか、シマンテックのインテリジェンス・アナリストチームなどのバックアップサポートが受けられる。MATIとDirected Threat Researchのレポートは、DeepSight Intelligenceポータルサイトと、提供を開始したばかりのDeepSight Intelligence APIを通じて利用できる。DeepSight APIは、ポータルサイトから、セキュリティ・アナリストが利用しているものと同じ情報にアクセス可能となる。
2016年02月18日「標的型攻撃」というキーワードを聞いても、漠然としたイメージしか沸かないという方が多いでしょう。標的型攻撃では、さまざまな経路からあなたの情報を収集し、ピンポイントであなたから会社の重要なデータを盗み取ろうと、攻撃者が画策しています。そこで、あなたを狙う攻撃者がどのようにメールであなたを狙ってくるのか、実例を交えて解説します。○複合機を装う攻撃?前回は、昨年後半に話題になりました実在の組織を騙ったなりすましメールの例に、どのように偽の情報を真実と思い込ませて、以下のようなポイントで攻撃を成功させようとしているかをご紹介しました。自然な日本語と実在の組織になりすまして内容に信憑性を持たせるメールの差出人情報などは、簡単になりすませる。見た目が似たようなメールアドレス、フリーメールでも、実際の人名のようなアドレスで、正しい送信者からのメールと思い込ませる実行ファイル以外のファイルでも攻撃に利用される。アプリケーションのセキュリティ機能を無条件に無効にする癖をつけないように今回も前回同様に、なりすましメールの話ですが、複合機からのFAXや、スキャナーからのメールになりすましたメールによる攻撃をご紹介します。昨年後半には、前回紹介した架空請求のなりすましメール報告が相次ぎましたが、もうひとつ報告されていた事例が「複合機を装ったなりすましメールによる攻撃」です。警察庁からも、急増するばらまき型攻撃メールの1パターンとして注意喚起を行っています。また、このような複合機を装った標的型攻撃のメールの増加から、複合機メーカー各社でも注意喚起を行っています。皆さんの職場でも、ペーパーレス化の流れとともに紙の資料はスキャナー機能で取り込み、PDFやWordファイルに変換して管理するようになったり、FAXを紙で受け取るのではなく、複合機で自動的にPDFなどに変換して、メールで登録された社員のアドレスに一斉送信するようになったりしているのではないでしょうか?この「PDFやWordに変換し、メールに送信する」という機能を利用した攻撃も、当然のことながら存在しているのです。少し前からある"なりすまし"の方法ですが、添付ファイルがあるのが普通で、「添付ファイルを開かないと中身が分からない」というメールの特性で、頻繁に攻撃が行われます。では、まず実際に当社へ届いた攻撃メールを見てみましょう。こちらの例の特徴を見てみましょう。件名がコニカミノルタの複合機を装った形式に差出人に表示されているメールアドレスが当社ドメインで、実際には存在しないメールアドレスを騙っている添付ファイルはWord形式(doc)にメール本文がない通常複合機からのメールにあるはずの本文がないなど、若干の不審な点は見られますが、もし複合機でスキャンしたようなタイミングで、このようなメールを受信したら、スキャンしたデータだと思い込んで、つい添付ファイルを開いてしまうのではないでしょうか? うっかりこのファイルを開くと、前回紹介した「Wordのマクロを利用した攻撃」が動作してしまいます。ここまでの見た目でも若干の不審な点がありましたが、メールソフトでは通常表示されないメールヘッダの情報をチェックすると、本来、社内ネットワーク内から送信されてくるはずのメールが、社内ではなくWeb経由で送信されていたり、メールのなりすましを防止するための仕組みであるSPFでの認証に失敗していたりなど、ほかにも不審な点が見られました。こうした通常のメールを確認する上で気に留めないような不審な点についてもツールなどでチェックできると、何らかの気付きが得られるかもしれません。先ほど紹介した例は、昨年6月頃に利用されたばらまき型攻撃メールですが、昨年10月にも同様の、さらに巧妙化した攻撃メールが多く確認されています。これについては、事例を交えて解説している記事があるのでご参照ください。では、それ以前の複合機を装った攻撃メールにはどのようなものがあるのでしょうか。次の画像をご覧ください。こちらのメールは少し古い例になりますが、複合機で受信したFAXを転送しているメールを装ったものです。こちらの例の特徴を見てみましょう。件名が富士ゼロックスの複合機を装った形式に差出人に表示されているメールアドレスが当社グループ会社のドメインで、実際には存在しないメールアドレスを騙る添付ファイルはzip形式で、その中身は実行ファイル(exe)で、アイコンをPDFに偽装している本文には複合機からのFAX受信を装った英文の文面に昨年6月以前にも散見された"ばらまき型攻撃メール"ですが、3点目は連載1回目で紹介した年金機構への攻撃メールと同様に、ファイルの見た目を文書ファイルのように見せかけ、騙して実行ファイルを起動させようとしています。このようなファイルは、年金機構への攻撃をきっかけに大々的に報道されたことで、セキュリティを普段意識していない人にも認知が広がったかと思います。そのため、「攻撃に引っかかる人が減る」と攻撃者が考え、6月以降にWordファイルのマクロを利用した攻撃へと切り替えてきたのかもしれません。今回は、前回紹介した実在の組織を騙ったなりすましメールと同時期に話題になった、複合機などからのメールを装った攻撃を取り上げました。複合機を装った攻撃メール自体は目新しいものではありませんが、数年前からのメールを見てみることで、攻撃者が騙しの手口を常に見直して成功するよう、変化し続けていることが分かります。このように、似たような手口でも時流にあわせて手を変え、品を変え、騙しの手口を進化させてきます。攻撃者は攻撃を成功させるための努力を怠りません。みなさんも自分や、自分の周りの人を守るために「日々、自分にも新しい攻撃が来るものだ」という意識を持ってください。次回は標的型攻撃の名前の由来にもなっている、標的に対してメールのやり取りをしながら、執拗に攻撃を繰り返す攻撃手法を紹介いたします。著者プロフィール○彦坂孝広(ひこさか・たかひろ)NTTソフトウェア ビジネスソリューション事業部アシスタントマネージャー2002年入社。2003年よりNTTグループ企業の研究開発に従事し、2005年からNTTソフトウェアのメールセキュリティソリューション「CipherCraft/Mail」で暗号化や誤送信防止、標的型メール対策などメールセキュリティの開発全般に携わる。あわせて、顧客企業の社外アクセス監視支援業務も担当。セキュリティの専門家として、サイバー攻撃に関する知見も備えている。
2016年02月10日「標的型攻撃」というキーワードを聞いても、漠然としたイメージしか沸かないという方が多いでしょう。標的型攻撃では、さまざまな経路からあなたの情報を収集し、ピンポイントであなたから会社の重要なデータを盗み取ろうと、攻撃者が画策しています。そこで、あなたを狙う攻撃者がどのようにしてメールであなたを狙ってくるのか、実例を交えて解説します。○なりすましに気をつけよう前回は日本年金機構の事件で利用された標的型攻撃のメールを例に、攻撃者が次のようなポイントで、マルウェアの添付ファイルを開かせようとしていることをご紹介しました。いかにも業務に関連しそうな文章や興味を引く文章、添付ファイルを急いで開かせようという文章メールの内容に関連しそうな添付ファイル名添付ファイルを開かせるためのアイコン偽装などの巧妙な工夫が凝らされている昨年後半は実在の企業を装い、架空請求や複合機からの送信のなりすましメールが急増しました。狙いを定めて執拗に攻撃を継続するような標的型攻撃とは少し異なる、通称「ばらまき型」と呼ばれるような攻撃ですが、今回はこうしたなりすましメールについて紹介します。情報処理推進機構(IPA)では、次のような"なりすましメール"の例を公開しています。自然な日本語で出荷案内のメールが書かれているため、[実在の組織名]に何か注文している場合など、つい添付ファイルを確認してしまうのではないでしょうか。今回の例は「ばらまき型」ですが、みなさんの業務を調べあげて、業務で付き合いのある企業の名前でなりすましてこのようなメールが送られてきたら気づくことができるでしょうか。今回のポイントとして、メールにおいて見るべき点を2点挙げましょう。上記のケースでは送信元のメールアドレスがわかりませんが、メール差出人のドメイン情報などから「[実在の組織名]からのメールかどうか、ちゃんと確認するから大丈夫だ」という方がいるかもしれません。では本当に、その情報は信頼できるのでしょうか?答えは「NO」です。受信したメールには、普段私たちが確認しているメール本文の情報のほかに、「メールヘッダ」と呼ばれる通常表示しない情報が含まれています。そのメールヘッダの中に送信元の情報や宛先の情報、件名などが含まれています。ご利用のメールソフトなどで簡単に見ることができますので、一度見てみてはいかがでしょうか。これらのメールヘッダ情報はメール本文と同じく、ただのテキスト情報ですので、メールの配送経路で別途付与される情報はありますが、基本的にメール送信者が自由に書くことができます。例えば、Aさんが送るメールを、Bさんからのメールであると表示するようなメールを簡単に作って送ることができます。もちろん、このような"なりすまし"を防止するような仕組みは電子署名や送信ドメイン認証など、いろいろとありますが、普及の観点から言えば十分ではありません。また、よく似ているけれど実際には異なるメールアドレスや、フリーメールであってもメールアドレスの「@」より前の部分がなりすまそうとしている人の氏名であるメールアドレスは、人をだましたり、本人に思い込ませたりするには十分な効果があります。次に、添付ファイルを見てみましょう。今回のケースでは、Wordファイルが添付されています。前回の事例では、Wordファイルに見せかけた実行ファイル「.exe」でした。では、実行ファイルではなければ危険はないのでしょうか?もちろんそんなことはありません。アプリケーションの脆弱性を付く攻撃ケースもありますが、このケースではWordファイルのマクロによって、ネットからマルウェアをダウンロードする仕組みが仕込まれていました。みなさんはWordのセキュリティの警告で無効状態にされているマクロを特に意識せず、いつも有効化していないでしょうか? 「大丈夫なファイルだ」という思い込みにより、機能しているセキュリティ機能を自らすてていませんか?今一度、その添付ファイルを開く必要があるか、マクロを有効にする必要があるかを回りの人にも相談しながら一呼吸おいて判断してください。前回も引用した情報ですが、4~6月から7月~9月にかけて、標的型攻撃に利用されるメールの添付ファイルの種別において、Office文書ファイルの割合が増えています。さらに先日、10月~12月の状況も公表されました。昨年後半のなりすまし攻撃により、10月以降もその傾向は変わらずOffice文書ファイルが利用されています。2016年1月以降も、しばらくこの傾向が続くかもしれません。最後に今回のポイントをおさらいします。自然な日本語と実在の組織のなりすましにより、内容に信憑性を持たせようとするメールの差出人情報なども簡単になりすませる。見た目が似たようなメールアドレスで、実在の人物が利用しそうなアドレスで、正しい送信者からのメールと思い込ませる実行ファイル以外のファイルも攻撃に利用される。アプリケーションのセキュリティ機能を無条件に無効化する癖は禁止今回は、昨年後半に話題になった実在の組織をかたる"なりすましメール"の例を紹介しました。嘘の情報でも、その中に事実や真実の情報を混ぜることにより、話全体として信憑性が増すといわれています。攻撃者はこのような人の心理を巧みに利用して、嘘の情報を真実と思い込ませようとしてきます。近年のペーパーレスが進み、紙媒体のスキャンやFAXも複合機で処理してメールで受け取ることも増えているかと思います。次回は、このような複合機からのFAXやスキャナーからのメールになりすましたメールによる攻撃を紹介します。著者プロフィール○彦坂孝広(ひこさか・たかひろ)NTTソフトウェア ビジネスソリューション事業部アシスタントマネージャー2002年入社。2003年よりNTTグループ企業の研究開発に従事し、2005年からNTTソフトウェアのメールセキュリティソリューション「CipherCraft/Mail」で暗号化や誤送信防止、標的型メール対策などメールセキュリティの開発全般に携わる。あわせて、顧客企業の社外アクセス監視支援業務も担当。セキュリティの専門家として、サイバー攻撃に関する知見も備えている。
2016年01月29日PFUは1月27日、「標的型サイバー攻撃対策支援サービス」の提供開始を発表した。同サービスは、センサーで攻撃を早期に検知し、専門のセキュリティエンジニアがPFUのSOCで24時間365日の監視を行うもの。サービスでは、同社独自の標的型サイバー攻撃検知技術「Malicious Intrusion Process Scan」を搭載したセンサーで攻撃を早期に検知し、専門のセキュリティエンジニアがPFUのSOCで24時間365日の監視を行う。これにより、企業内のセキュリティ担当者のセキュリティ運用負担を軽減するとしている。検知技術では、トラフィックを監視して、攻撃者行動をモデル化。すべての通信を相関分析することで、未知の脅威を検知する。例えば標的型攻撃では、フィッシングメールから改ざんサイトなどへ誘導され、エクスプロイトキットやマルウェアをバックグラウンドでダウンロードされる。その後、バックドアが開かれ、情報をC&Cサーバに送られるというおおまかな流れがあるが、こうした流れをすべて相関分析でスコアリングし、トラフィックのタイミングや使用プロトコルなど、通信の流れを一連で見ることで、怪しい挙動をとらえる。スコアリングが一定の数値になるとアラートの段階が上がっていくため、途中の段階から、怪しい通信を見つけることができる。マルウェア自身の検知ではないため、未知のマルウェアであっても検知が容易になるとしている。トラフィック監視は、スイッチのミラーポートに接続することで行う。SOCは、インシデント対応と月次レポートの提供が行われる。インシデント対応では、20~30名が監視要員としてSOCに従事し、インシデントを確認した後30分以内で連絡を行う。月次レポートは、検知内容の説明だけでなく、今後の対処に向けたアドバイスや脅威情報の動向なども情報として提供していくとしている。また、PFUは外部端末の不正接続防止やマルウェア通信を検出した際にネットワークから不正通信が見つかった端末を遮断する機能を持つアプライアンス「iNetSecシリーズ」を提供しているため、6月を目処に、同製品と連携した「マルウェア感染端末 自動遮断ソリューション」を提供するという。参考価格は監視対象1000台あたり月額90万円(税別)で、別途初期費用が200万円(設計・導入費用)かかる。詳細は個別見積もりとなる。富士通は昨年11月にセキュリティ事業の大幅強化を発表しており、PFUの新サービス提供もこの一環となる。富士通とは別のSOC運用となるが、他社製品との連携やマルウェアデータベースの活用は富士通との連携で提供するとしている。
2016年01月27日富士通と富士通研究所は1月21日、特定の組織などを攻撃対象とする標的型メール攻撃をリアルタイムに検知する技術を開発したことを発表した。今回、開発された技術は、利用者の普段のメール送受信とその前後のWebサイトへのアクセスなど一連の操作履歴を関連付けた上で学習し、それと異なる不審な動作をやり取り型の標的型メール攻撃としてリアルタイムに検知する技術。同技術は次の2つの技術から構成されている。1つ目は、「メール受信を起点とする利用者の複数の操作履歴を関連づける技術」で、利用者がメールを受信し、本文を閲覧、本文中のURLをクリックして、ブラウザでWebページにアクセスするといった、メール受信を起点とする利用者の一連の操作履歴を関連づける技術が開発された。これにより、利用者がやり取りするメールの相手ごとに、長期間にわたる一連のメールのやり取りとそれに関連するWebアクセスなどの操作履歴を関連づけることで、例えば、あるWebサイトからのダウンロードが特定の相手とのやり取りの中で行われたものかどうかを識別できるという。2つ目は、「組み合わせ判断によるリアルタイム異常検知技術」で、やり取り型の標的型メール攻撃に対するリアルタイムな検知を実現するにあたり、長期間にわたる利用者のすべての操作履歴は膨大になるため、一連のメールに関連づけられた操作履歴だけを組み合わせて学習・比較することで異常検知する技術が開発された。これにより異常検知に必要な情報量を10分の1以下にコンパクト化でき、通常数日におよぶやり取り型の標的型メール攻撃に対しても、高速な検知処理を行うことができるという。同社によると、これらの技術により、やり取り型の標的型メール攻撃に関連する一連の不審な動作の連なりを検知し、関連しない動作は除外するため、メールやWebアクセスなどの個々の異常を検知する従来の技術に比べ、実験環境での評価では、検知数を10分の1以下に抑えることができたという。また、今回開発した技術を用いることで、特定の相手との一連のメールのやり取りと関連する操作履歴から、やり取り型の標的型メール攻撃を効率的に検知することができるようになったとしている。そのほか、サイバー攻撃対策に関する技術「行動特性分析技術」と「ネットワーク検知技術」の拡張も行われ、新技術と組み合わせてセキュリティを高めることが可能になった。
2016年01月22日PwCサイバーサービスは1月18日、サイバー攻撃演習「レッドチーム演習」を2月1日より提供すると発表した。サイバー攻撃演習では、組織の実利用環境へ擬似的なサイバー攻撃を仕掛けて、セキュリティ体制や対策を検証する。同社でサイバー攻撃の観測や分析活動を行っている専門家が攻撃者となって、サイバーキルチェーンのステップに沿って攻撃を行う。各組織向けにカスタマイズした攻撃ツールを用いて、社会生活に影響を及ぼす重要インフラや機密情報を扱う組織インフラなど、それぞれの組織に合わせた攻撃を擬似的に行うという。この攻撃によって、より現実に近い状況でサイバー攻撃を体感することで、サイバーセキュリティの対策が適切に構築・運用されているか把握して、具体的な問題点が洗い出せるとしている。実際の運用フローの確認は、特に組織内CSIRT・SOCにおいて有効とのことで、インシデントレスポンス体制や運用ポリシー、導入製品の評価、ログ保全状況の確認など、さまざまな視点から"セキュリティアセスメント"を行う。
2016年01月18日「セキュリティ」と一口に言っても、セキュリティベンダーに加え、さまざまなベンダーが、DoS攻撃からマルウェアによる攻撃まで、さまざまなサイバー攻撃への対策を提供しています。この連載では、ネットワークベンダーから見たセキュリティの現状を、解説していきます。第2回は、DDoS攻撃への防御を意識したSSLのデプロイ方法について説明します。○とあるWebサイトの残念なネットワーク構成DDoS攻撃は、防御がきわめて難しい攻撃の1つです。攻撃者が数千台ものマシンを乗っ取ってターゲットを攻撃する様は、魔法使いが雷雲を呼び寄せ、敵上空に雨風を浴びせかけるシーンといっても過言ではないでしょう。そのようなDDoS攻撃の中でも、特に対応が難しいのが「SSLセッションを利用したDDoS攻撃」です。この図は、ある著名なWebサイトのネットワーク構成です。このサイトは激しいDDoS攻撃にさらされ、数週間にわたって閉鎖を余儀なくされました。ここで注目したいのが、SSLトラフィックがアプリケーション・サーバで終端されている点です。つまり、SSLトラフィックはアプリケーション・サーバへ達するまで、暗号化された状態ですべてのセキュリティ・デバイスの中を通過していたのです。また、このサイトのSLA(サービスレベル契約)では「SSL接続はすべてタイムアウトするまで維持されなければならない」と規定されていました。○このサイトの何が問題だったのかこのような構成のサイトは、SSLを使ったDDoS攻撃を行う攻撃者にとって、格好の標的だと言えます。前述のDDoS攻撃もSSLセッションを利用したものであり、攻撃者はペイロード(リクエストデータの本体)を含まない"空のSSLセッション"を大量に送りつけたのです。これらのトラフィックはそのままアプリケーション・サーバまで届き、タイムアウトするまでSSLセッションが維持されていました。この攻撃は、「確立されたSSLセッション内で起きている」ということを除けば、古典的なSYNフラッド攻撃と同様の攻撃です。実はこのWebサイトのアプリケーション・サーバは、膨大な負荷にも対応できるだけのチューニングが行われており、実際にダウンしたのはサーバではありませんでした。空のSSLセッションは数百万回にも達しましたが、最初に音を上げたのは、この接続を前段で受けていたロードバランサーだったのです。このロードバランサーは同時接続の上限に達するとともに激しい障害を起こし、トラフィック処理を停止。DDoS攻撃が終了するまで、サービスを完全に回復できませんでした。○導き出される2つの教訓この事例には2つの重要な教訓が含まれています。まず第1の教訓は、「SSLの終端場所より前の段階でDDoS対策を施してもまったく意味がない」ということです。SSLで暗号化されたトラフィックのままでは、セキュリティ製品が本来の機能を果たすことができません。今回紹介したケースでも、ロードバランサーの前段にDDoS対策製品が置かれていましたが、SSLのセッションフラッド(攻撃)を検出できずに、ロードバランサーのダウンを招いてしまいました。SSLの終端は、各種セキュリティ機能の最前段で行うべきなのです。第2の教訓は、アプリケーションサーバに至るまでのチェーンが長くなるほど、リスクも高まるということです。ADC(アプリケーション・デリバリー・コントローラ)によって一体化されたセキュリティ・ソリューションについてお客さまと話す際に、反論としてしばしば登場するのが「卵は1つのカゴに盛るな」ということわざです。もちろん株式投資などのポートフォリオを組む場合は、このような戦略が有効かもしれません。1つのカゴをひっくり返してしまっても、ほかのカゴに影響がなければ、残りの資産は保護されるからです。しかし、セキュリティの世界では、まったく話が異なってきます。セキュリティ機能を複数製品に分けて実装したとしても、リスク分散にはならないのです。ネットワーク全体のセキュリティは、ネットワークの構成要素のうち「最も弱いリンク」で決まります。デバイスが増えれば、そのうちのいずれかが「最も弱いリンク」になりますし、すべてのデバイスを同じレベルの強さにすることは、決して簡単ではありません。前述のサイトは、ロードバランサーがこの「最も弱いリンク」となってしまいました。○正しいアプローチは何か?この2つの教訓を頭に入れておけば、正しいアプローチが自然と見えてきます。それは、データセンターの最前線に一体化したセキュリティ・ソリューションを設置し、そこでSSLを終端させるという方法です。これであれば、アプリケーションへのペイロードを確認してから、バックエンド・サーバへの接続を確立できます。DDoS攻撃の影響を、データセンターの最前線で食い止められるのです。ここで必要になるのが、不要なコネクションを自動的に削除する「動的リーピング機能」を装備した、インテリジェントなADCです。このようなADCであれば、サーバとの接続を確立できなかった「空のSSLセッション」を動的に削除することで、ADC自身の負荷超過でサービスが停止するという事態も回避できます。これであれば、「最も弱いリンク」を見つけ出し、全体のバランスを取る必要もありません。アプリケーション・サーバに至るまでのリンクが、ADCしか存在しないからです。またFIPS レベル3に対応するとともに、ハードウェアによって保護された鍵サービスを展開するデバイスとしても、ADCは最適だと言えます。このようなサービスは一般に高価なものであり、すべてのアプリケーション・サーバに導入しようとすれば膨大なコストがかかりますが、ADCであれば冗長構成にしたとしても、導入対象を2台に集約できます。SSLはデータ保護するための重要な技術ですが、正しく展開されなかった場合は攻撃に手を貸す存在にもなりかねません。SSLセッションを利用したDDoS攻撃を避けるためにも、適切なSSLのデプロイメントを意識することが重要です。著者プロフィール○近藤 学(Manabu Kondo)F5ネットワークスジャパンセキュリティビジネス統括部セキュリティスペシャリストF5 ネットワークスジャパンでセキュリティビジネスを担当。20代はエンジニアとして、エキスパートシステムの開発や大規模DBシステムの設計と運用、メールサービスの開発などに携わる。その後、プロダクト企画やプロダクトマーケティングなどをメインにしつつ、国内外で迷惑メール対策団体(MAAWG、JEAG)の立ち上げに参画。2015年8月にF5に入社し、セキュリティビジネス統括として活動中。
2016年01月15日アカマイ・テクノロジーズは1月14日、同社のThreat Research部門がSQLインジェクションによってWebサイトを攻撃し、SEO(検索エンジン最適化)に影響を与えるキャンペーンを確認したとして、注意喚起を行った。同社は、2015年第3四半期に、2週間にわたって3800件以上のWebサイトへ攻撃を行った348のユニークIPアドレスを観測し、キャンペーンを確認したという。○大規模改ざん調査によると、キャンペーンで利用されたHTMLリンクをWeb検索したところ、これらの悪質なリンクを含む数百のWebアプリケーションが見つかったとのことだ。その後、「cheat(不正)」や「story」といった一般的な単語の組み合わせを検索。主要検索エンジンの1ページ目に「cheating stories」アプリケーションが表示されるようになっていた。さらに、ページランクなどの集計を行う「Alexa」の分析で、cheating storiesアプリケーションのランクが3カ月で大幅な上昇を見せていたことがわかった。一般的に検索エンジンは、特定のアルゴリズムを使用してページランクやWebサイトに対するインデックスを決定し、そのWebアプリケーションを支持するリンク数や評価がランキングに影響を与える。これが、攻撃によってランキングが操作できることになれば、「攻撃者にとって魅力的な提案であり、ビジネスだ」と、セキュリティビジネス部門 シニア・バイスプレジデント 兼 ゼネラル・マネージャーのスチュアート・スコリー氏がコメントしている。ランキングの操作は、一見「ページランクの上昇でPVが見込める」と思うかもしれないが、SQLインジェクションによって挿入されたリンクやキーワードが悪質なものであるため、訪問者に誤解を与えたり、最悪の場合にはマルウェアに感染したりといった結果を生むケースもある。アカマイはこうした攻撃への対応策として、Web開発者・セキュリティ担当者向けに以下の4点の対策を行うように勧めている。バックエンド・データベースへのクエリの中で使用する、すべてのユーザー入力データに対して、適切な入力検証チェックが実装済みであることを確認ユーザーの入力データに基づいてSQLクエリを作成する場合は、パラメータのみ入力可能な事前に用意されたステートメントのみを使用SQLインジェクション攻撃をブロックするWAF(Web Application Firewall)を用意被参照リンクの増加などの大きな変化を識別するため、HTMLレスポンス本文フォーマットのプロファイリングと監視
2016年01月15日欧州刑事警察機構(Europol)は1月12日(現地時間)、ビットコインを狙ったDDoS攻撃を行っていた犯罪組織「Distributed Denial of Service for Bitcoin(DD4BC)」に関与していた疑いのある容疑者2人を逮捕したことを明らかにした。DD4BCは匿名の決済メカニズムであるBitcoin人気を悪用して、2014年中頃からいくつものDDoS攻撃を展開してきた。攻撃内容は、DDoS攻撃によりターゲットのサービスを停止させ、身代金にビットコインを要求するというもので、当初はオンラインギャンブルをターゲットとしていたが、後にセブン銀行などの金融機関も攻撃を受けていたと言われている。今回の逮捕は、オーストリアやボスニア・ヘルツェゴビナ、ドイツ、英国の各警察との協力により実現したもの。英国の首都圏警察のサイバー犯罪組織(MPCUU)が提供した重要な情報がきっかけとなり、12月15日と16日にボスニア・ヘルツェゴビナでDD4BCの主要人物2人を容疑者として逮捕した。一連の調査には、日本、オーストラリア、フランス、ルーマニア、米国、スイスなども協力したという。容疑者の自宅捜査を行い、大量の証拠も押収したと報告されている。Europoによると、多数の欧州企業がDD4BCグループのターゲットとなったという。公になるのを恐れて身代金支払いに応じた企業は、再度攻撃にさらされてよい高い身代金を要求されている例も多いとのことだ。自社の信用や名誉を考慮して支払いに応じていることから、Europolでは警察に報告するメカニズムを強化する必要があると指摘している。
2016年01月14日「標的型攻撃」というキーワードを聞いても、漠然としたイメージしか沸かないという方が多いでしょう。標的型攻撃では、さまざまな経路からあなたの情報を収集し、ピンポイントであなたから会社の重要なデータを盗み取ろうと、攻撃者が画策しています。そこで、攻撃者がどのようなメールであなたを狙ってくるのか、実例を交えて解説します。○「標的型攻撃」に振り回された2015年昨年は日本年金機構の事件を皮切りに、「標的型攻撃」というキーワードを頻繁に聞く年でした。年金情報125万件がPCに保存、ウイルス添付メールを用いた標的型攻撃で流出早稲田大学、3000人超の個人情報漏えいと不正侵入によるサイト改ざん被害JR北海道が標的型メール攻撃被害、個人情報漏えいは確認されず世の中に広く知られるようになったこの標的型攻撃ですが、ニュースで話題になる官公庁や大企業だけが被害にあっていて、多くのみなさんにとって関係のない世界の話だと思っていないでしょうか?攻撃者は、標的とする情報を窃盗するために入念に調べ、執拗に攻撃を繰り返します。実は、攻撃者が最終的に狙う相手が官公庁や大企業の情報だったとしても、攻略しやすいと判断すると、みなさんのPCへ最初に侵入し、"踏み台"とした上で、そこから感染を広げ、取引先などをたどって情報窃取を行っているのです。標的型攻撃では、さまざまな手口が用いられています。中でもよく使われているものは、攻撃者が直接攻撃先のネットワークに侵入できる可能性が高い「電子メール」です。狙いすまして情報を窃盗しようとする標的型攻撃で使われるメールには、不審な点があまり見られず、専門家でも見破ることができないほど巧妙なものが多く存在しています。しかし、そこまで巧妙なケースばかりでなく、専門家でなくても「攻撃が来るのではないか」と普段から意識していれば「怪しい」と気づけるケースも多々あるのです。いち早く誰かが気付くことで、その後の被害を最小限にできることもあります。この連載では、実際の標的型攻撃でどのようなメールが使われたのかという例を示しながら、攻撃で使われるメールにはどのような特徴があり、どのような点に気が付けば攻撃メールに引っかからずに済むのかを解説していきます。○年金機構が被害にあったメールとは?初回は、日本年金機構に送信されたと報告されている攻撃メールについて見てみましょう。差出人:×× ×× xxxx@yahoo.co.jp件名:厚生年金徴収関係研修資料添付ファイル:厚生年金徴収関係資料(150331 厚生年金徴収支出(G)).lzh(引用元)日本年金機構 不正アクセスによる情報流出事案に関する調査結果報告について※○部分にはメール受信者の氏名が入りますあなたが日本年金機構の職員になったつもりで、このメールを見てください。メールの本文の書き出しにあなたの名前があり、研修に身に覚えがあれば、添付ファイルを開いて確認してしまうのではないでしょうか。ポイントとなる点はいくつかありますが、今回は添付ファイルのみに注目してみます。標的型攻撃に利用されるメールにはファイルが添付されているケースが多く、その中でも実行ファイルとWordファイルなどのOffice系ファイルが多く見受けられます。情報処理推進機構(IPA)のサイバー情報共有イニシアティブの2015年4月~6月、7~9月の報告を見てみますと、以下のような内訳となっていました。4月~6月の報告では極端な例ですが、報告のすべてが実行ファイルでした。7~9月の報告では、さまざまなファイル形式が見られますが、実行ファイルが全体の30%を占めています。「実行ファイル(.exe)なら怪しいから開くわけがない」と高をくくっている人も多いかと思います。それでは、実際にサンプルのメールの添付ファイルを見てみましょう。実際にメールに添付されていたものが「厚生年金徴収関係資料(150331 厚生年金徴収支出(G)).lzh」、それを展開したファイルが「医療通知のお知らせ」でWordのファイルのように見えます。では、Windowsエクスプローラの表示を"詳細表示"に変更してみましょう。このように、添付ファイルが「アイコンの見た目をWordファイルのように偽装した実行ファイル」であったことがわかります。人の先入観を利用してだまし、マルウェアを実行させようという手口なのです。○年金機構の例から見た、押さえておきたいポイント最後に今回のポイントをおさらいしましょう。いかにも業務に関連しそうな文章や興味を引く文章、添付ファイルを急いで開かせようという文章メールの内容に関連するような添付ファイル名添付ファイルを開かせるためのアイコン偽装など、手口が巧妙いかがでしたか。今回は代表的な標的型攻撃の例を紹介しましたが、思わず引っかかってしまいそうだと感じられた方もいらっしゃるのではないでしょうか。次回も具体的なメールを例に、人間の思い込みを逆手にとった"なりすまし攻撃"について解説していきます。著者プロフィール○彦坂孝広(ひこさか・たかひろ)NTTソフトウェア ビジネスソリューション事業部アシスタントマネージャー2002年入社。2003年よりNTTグループ企業の研究開発に従事し、2005年からNTTソフトウェアのメールセキュリティソリューション「CipherCraft/Mail」で暗号化や誤送信防止、標的型メール対策などメールセキュリティの開発全般に携わる。あわせて、顧客企業の社外アクセス監視支援業務も担当。セキュリティの専門家として、サイバー攻撃に関する知見も備えている。
2016年01月14日SCSKは1月13日、標的型攻撃を検知する「標的型攻撃監視サービス」と、標的型攻撃に起因する情報漏えい被害を防ぐ「標的型攻撃防御サービス」を同日より提供すると発表した。同サービスでは、米Lastlineのサンドボックス製品を活用。同社は2014年12月に日本市場へ参入し、SCSKとも販売パートナー契約を結んでいるほか、FFRIとも製品連携を行うと発表している。Lastline製品では、検知から分析、防御までをトータルにカバーし、既知の攻撃防御から未知の脅威検出まで行う。検出状況はSCSK監視センターで24時間監視し、顧客環境に合わせた二次分析を行う。また、SCSK監視センターでは、ファイアウォールや不正侵入検知・防御装置のセキュリティ対策機器の監視サービスと併用することで、即座に不正な通信を遮断して、標的型攻撃に起因する情報漏えいを防ぐ。サービスの価格は、1000ユーザー契約の場合で1ユーザー当たり年額1万5000円(税別)。価格はユーザー数に合わせて変動する。SCSKはサービス提供後1年間で10社への導入を目指すとしている。
2016年01月14日ペンタセキュリティシステムズ(ペンタセキュリティ)はこのほど、Webアプリケーションの脆弱性および脆弱性を狙った攻撃をまとめた月例レポート「EDR-Report」の11月版を公開した。同レポートは、脆弱性の情報を収集するオープンソースのデータベースサービス「Exploit-DB」に公開された情報を基に、ペンタセキュリティのR&Dセンターが分析したもので、年間12回公開している。レポートによると、11月に見つかった脆弱性攻撃は16件と、10月より7件減少した。脆弱性の種類別では、SQLインジェクションが最も多く7件、クロスサイトスクリプティングが6件、ローカルファイルの挿入が3件と続いた。すべての脆弱性を独自の判定基準による危険度で分類すると、最も危険度が高い「早急対応要」が10件、「高」が5件、「中」が1件であった。攻撃実行の難易度別の分類では、最も攻撃実行が容易な「易」が8件と半数を占め、「中」と「難」がどちらも4件であった。Webアプリケーションごとの脆弱性の個数は、NXFilterが4件、AlegroCartが4件、ClipperCMSが3件、WordPressが2件、WP-Clientが1件、HumHubが1件、YESWIKIが1件となった。今回の結果を受け、ペンタセキュリティは「2015年11月は、脆弱性報告件数が最近になって最も少ない期間」と11月は脆弱性の件数の少なさが異例であったと指摘している。攻撃の数は少なかったものの、危険度の高い攻撃は依然として多く見つかっている。特に今回見つかったSQLインジェクション攻撃は、サーバー内からデータを抽出するもので、危険度が「早急対応要」に指定した。SQLインジェクションの影響を受けるソフトウェアを使う場合は、攻撃を防ぐために、セキュリティパッチおよびセキュアコーディングを実施するようにペンタセキュリティは呼び掛けている。
2016年01月12日APT、日本語では標的型攻撃とされる攻撃だが、このAPTは2016年に「姿を消す」とカスペルスキーが同社のブログ「Kaspersky Daily」で解説している。「消える」とする一方で、胸をなで下ろすのは「時期尚早」とするカスペルスキー。その理由について、APT自体がなくなるのではなく、「より深い水面下の攻撃に変わり、攻撃の検知や犯人の特定がこれまでよりも難しくなる」と説明している。APTはそもそも「Advanced Persistent Threat」と、Advanced(高度)かつPersistent(執拗な)脅威であることから、日本語でAPTの訳として使われる「標的型攻撃」とは意味がやや異なる。この、高度で執拗な脅威が、攻撃の手法を変えてやってくるというのがカスペルスキーの予想だ。攻撃手法は、メモリ常駐型でファイルレスなマルウェアに軸足が移る。これにより、感染先に痕跡が残りづらくなり、検知を回避する可能性が高くなる。これに加えて、高度なマルウェアに注力する傾向も弱まるとしており、ブートキットやルートキット、カスタムマルウェアの開発に費用がかけられることは減り、既製マルウェアの流用が増えていくとしている。ただし、こうした流れはAPT攻撃分野に参入する犯罪者が増加することにつながるという。つまり、既製ツールが広まって入手しやすくなるほど、コストの低廉化と投資利益率(ROI)が進み、より裾野が広がる可能性があるからだ。Kaspersky Lab GReAT シニアセキュリティエキスパートのファン・アンドレス・ゲレーロサーデ(Juan Andres Guerrero-Saade)氏は、「サイバー傭兵」という言葉を引用して、この新たな流れを説明し、注意を呼びかけている。「2016年はサイバー犯罪の世界に足を踏み入れる者が増えると思われます。サイバー攻撃が莫大な利益を生むのは間違いなく、その利益を得ようとする犯罪者が増加するのです。サイバー傭兵の登場に伴って複雑に入り組んだアウトソーシング業界が生まれ、新種マルウェアの開発どころか、攻撃活動をまるごと外部委託するという需要に応えています。攻撃の外部委託というニーズからAccess-as-a-Service(サービスとしてのアクセス)という新たな活動が生まれ、ハッキング済みの標的に対するアクセスが最高入札者に提供されています」(ゲレーロサーデ氏)
2016年01月09日米Microsoftは12月16日、マルウェアフィルタリングの「SmartScreen」を強化してドライブバイダウンロード攻撃から保護できるようにしたと発表した。11月の「Windows 10」のアップデートに含まれるWebブラウザ「Edge」と「Internet Explorer 11」で利用できる。SmartScreenはMicrosoftのマルウェアフィルタリング技術で、Windows OSとEdge、IEに統合されている。URLの評定に基づき、フィッシングやソーシャルエンジニア攻撃に対してWindowsデバイスを保護したり、遠隔からの測定、グループポリシーといった機能がある。今回の発表では、これまでの保護に加えて、ユーザーが気がつかないうちにWebブラウザ経由で悪意あるソフトウェアを勝手にインストールする「ドライブバイダウンロード攻撃」からの保護にも対応した。悪意あるWebコンテンツを検出・保護するために、レンダリングが始まる前にSmartScreenサービスが小容量のキャッシュファイルを作成する。ブラウザはこのキャッシュファイルを定期的に更新し、ページに悪意あるコンテンツが含まれている可能性が高いと考えられる場合にSmartScreen機能を呼び出す。悪意あるWebサイトと判断した場合は、赤い画面で警告する。また、安全ではない広告など、悪意あるフレームについても警告するという。ユーザーは設定により、Microsoftにレポートできる。
2015年12月21日シマンテックは12月16日、ランサムウェアの「TeslaCrypt」が作成者によって改良を続けられ、攻撃が活発化しているとセキュリティブログで明かした。TeslaCryptは、マルウェアの強力な暗号化機能を使い、感染させたコンピュータ内のファイルを暗号化するランサムウェア。以前から確認されているランサムウェアであるが、作成者はマルウェアを日々改良し、新たな拡散の手法を実行しており、ランサムウェアの中でも危険な存在となっている。シマンテックの観測によると、12月になってからTeslaCrypt攻撃が増加している。攻撃の手法は、マルウェアを仕込んだ大量のスパムメールを送り付け、受信者を巧みに誘導してメールを開封させようとする。スパムメールで使われている件名の例は以下の通り。[ID:<ランダムな数字>]Would you be so kind as to tell me if the items listed in the invoice are correct?(お手数をおかけして恐縮ですが、請求書に記載の項目をご確認いただけますでしょうか)[ID: <ランダムな数字>] Please accept our congratulations on a successful purchase and best wishes.(このたびは、ご購入おめでとうございます。お礼申し上げます)[ID<ランダムな数字>] Would you be nice enough to provide us with a wire transfer confirmation.(お手数ですが、電信送金についてご確認ください)これらのスパムメールに共通する特徴は、添付されているファイルの拡張子が「.zip」となっているか、拡張子がない状態になっていること。添付ファイルは、正規の文書のように見せかけているが、実際はJavaScriptファイルであり、悪質なコードが含まれている。ユーザーが添付ファイルを開くと、自動的にTeslaCrypt がダウンロードされ、コンピュータにインストールされる。TeslaCryptの最新バージョンは2.2で、ユーザーのファイルを暗号化して拡張子を追加する。拡張子はバージョンアップにより変更されており、バージョン2.1では「.CCC」であったが、2.2では「.VVV」となった。TeslaCryptはファイルを暗号化すると同時に、プレーンテキストとHTMLファイルを作成する。どちらも身代金を払って暗号鍵を受け取る手順が書かれており、匿名のWebブラウザ Torをインストールし、TorのWebサイトにアクセスして詳細を確認するよう書かれている。TeslaCrypt はマルウェアとして商品化されており、アンダーグラウンドのブラックマーケットで販売されている。複数の攻撃グループは、TeslaCryptの作成者にプラットフォームの使用料を支払い、スパムボットネットや悪用ツールキットなどの利用料を支払っていることがおおよそわかっている。作成者は、TeslaCryptを購入しているグループに対し、購入したバージョンで重複しないID番号を割り振っている。シマンテックは、最近のTeslaCrypt攻撃の増加は、ブラックマーケットで購入した特定のグループによるものだと見ている。このグループは、主な拡散方法としてスパムメールを利用している。TeslaCrypt攻撃が活発化したことで、企業も警戒する必要がある。シマンテックはセキュリティ・ソフトウェアを定期的に更新し、差出人に見覚えのないメールは開かず、コンピュータに保存しているファイルはこまめにバックアップするといった対策を行うよう呼びかけている。
2015年12月18日警察庁は12月15日、インターネットに接続されたデジタルビデオレコーダなどのLinuxを搭載したIoT機器(組み込み機器)を標的とした攻撃を観測したと発表した。今回の観測は、宛先ポート「23/TCP」へのアクセス増加をきっかけとしたもの。23/TCPは通常、ネットワークに接続された機器を遠隔で操作するTelnetで利用されているが、2014年になってからアクセスが極端に増え、2015年になってからも高い水準で推移している。アクセス元は、インターネットに接続されたルータ、ウェブカメラ、ネットワークストレージ、デジタルビデオレコーダなどのLinuxが組み込まれたIoT機器であることがわかっている。不正なプログラムは、「ARM」「MIPS」「PowerPC」「SuperH」といったCPUを搭載する機器が感染するもので、これらのCPUは組み込み機器で多く搭載されている。このことから、攻撃者がインターネットに接続された組み込み機器を標的とした不正活動が明らかとなった。なお、一般のコンピュータで広く採用されているCPU「X86」で動作するコンピュータには感染しない。不正プログラムに感染した機器は、TelnetやHTTPによってC&C(Command and Control)サーバに接続を行い、攻撃者からの命令に基づいて動作する「ボット」として動作する。ボット化した機器は、攻撃者による感染拡大を狙ったさらなる探索(Telnet探索、宛先ポート53413/UDPに対するアクセス)のほか、DDoS攻撃やスパムメールの送信などで悪用される恐れがある。警察庁は「組み込み機器が何らかの手法により、攻撃者に乗っ取られ、攻撃の踏み台として悪用されている」とコメントしており、攻撃者の活動意図などはわかっていない。現在利用している機器について、最新のセキュリティ情報を確認することを推奨している。
2015年12月18日警察庁は15日、ルータやWebカメラ、NAS、レコーダーなど、インターネットに接続されたLinux OS搭載のIoT機器を狙った攻撃に注意を喚起した。利用者が知らない間に機器が攻撃者に乗っ取られ、攻撃の踏み台に悪用されているという。IoT機器を狙った攻撃では、ルータやWebカメラ、NAS、レコーダーなどのIoT機器に不正プログラムがダウンロードされ、攻撃者の命令でサーバ攻撃などを行なう"bot"となる。不正プログラムに感染した機器は、感染拡大のため、インターネットに接続されたテレビやスイッチングハブといった他の機器を探索したり、DDoS攻撃やスパムメールの送信などに悪用されたりする恐れがある。この不正プログラムは、一般的なPCで使われるx86系CPUでは感染せず、IoT機器で多く利用されるARMやMIPS、PowerPC、SuperHなど、特定のCPUで動作するLinuxに感染することが確認されているという。IoT機器では処理能力の低下など、機器の異常に利用者が気付きにくいため、不正プログラムの感染や攻撃を受けている状況を把握しにくい。このため警察庁では、利用中のIoT機器について、最新のセキュリティ情報を確認すること、脆弱性対策がなされないサポート終了製品を使い続けないことなどを推奨している。
2015年12月16日JPCERT/CCは12月2日、分析センターだより「攻撃者が悪用するWindowsコマンド(2015-12-02)」を公開した。発表では、攻撃者が侵入したWindows上で使用するコマンドを明らかにするとともに、攻撃による影響を低減する方法を示している。JPCERT/CCによると、攻撃者が感染端末の情報収集によく使用するコマンドのうち、最も多かったのは「tasklist」だったという。攻撃者は、tasklistやver、ipconfig、systeminfoなどのコマンドにより、ネットワーク情報やプロセス情報、OS情報などを収集して、どのような端末に感染したのかを調査している。また、機密情報の探索やネットワーク内のリモート端末の探索においては、dirが最もよく使用されていることがわかった。攻撃者は、ファイルを探索するためにdirおよびtypeを使い、ネットワークの探索にはnetコマンドが使っている。ネットワーク内のリモート端末への侵入・感染を拡大するフェーズでは、atが最もよく使われている。atやwmicは、リモート端末上でマルウエアを実行するために利用され、wmicコマンドで引数を指定することにより、リモート端末上のコマンドを実行することができる。こうしたWindowsのコマンドの中には、ユーザーが使用しないコマンドが含まれている。そうしたコマンドをAppLockerやソフトウェア制限ポリシーを用いて実行を制限することで、攻撃者の活動を抑えることができるという。AppLockerを有効にすると、設定で指定されたWindowsコマンドが実行された、または実行しようとして拒否された事象がイベントログに記録されるようになり、マルウェアに感染した後に攻撃者が実行したWindowsコマンドを調査することにも活用できる。
2015年12月03日一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は2日、PCへ不正アクセスする攻撃者が使うWindowsコマンドの調査結果を公開した。通常の利用者が使うWindowsコマンドの集合と、攻撃者が使うWindowsコマンドの集合が大きくずれていた場合、Windowsコマンドの実行状況を監視/管理することで、攻撃者の動きを検知や抑制に役立てる。攻撃までの流れには、感染した端末の情報を収集する「初期調査」、感染した端末内の情報やネットワーク内のリモート端末を探索する「探索活動」、感染端末から別の端末へ感染を拡大する「感染拡大」の3フェーズがあるが、JPCERT/CCによると、すべての攻撃フェーズでWindowsコマンドが悪用されるという。攻撃者が使うWindowsコマンドは下表の通り。○探索活動(上位10コマンド)
2015年12月02日ペンタセキュリティシステムズは11月20日、Webアプリケーションへの脆弱性および脆弱性攻撃をまとめた月例レポート「EDR-Report」の10月版を公開した。これによると、Webアプリケーションを狙った脆弱性攻撃の10月の件数は23件で、9月より9件減少したという。内訳は、SQLインジェクションが最も多く、15件と半分以上を占めた。そのほかは、クロスサイト スクリプティングが3件、ローカルファイル挿入が2件、コマンドインジェクション、ディレクトリトラバーサル、ファイルアップロードが各1件だった。さらに、各攻撃を危険度別に分類しているが、最も危険度が高い「早急対応要」が8件(35%)、次に高い「高」が15件(65%)と、10月は危険度の高い攻撃のみの検出となった。万が一「早急対応要」の攻撃を受けた場合、Webアプリを経由して端末のシステムに侵入される恐れがある。「高」の場合は、システム情報を取得されるか、クライアントに2次被害を与える恐れがある。攻撃の危険度が高まっていることに加えて、攻撃を容易にする攻撃ツールの開発が進み、攻撃者にとって有利な環境が整いつつある。EDB-Reportは、見つかった攻撃を実行の難易度ごとに分類しており、最も攻撃が難しい「難」が7件(30%)、次に難しい「中」が7件(30%)、最も簡単な「易」が9件(39%)であった。攻撃を受けたソフトウェア別の件数は、Joomlaが9件、Pliggが4件、RealtyScriptが2件、ManageEngine、ElasticSearch、Kerio、JIRA、PHP-Fusion、Oxwall、Zope、Dreamが各1件であった。今回のレポートの結果を受けて、ペンタセキュリティは「10月はSQLインジェクション攻撃に関する脆弱性が非常に多く、その中でも世界中で利用されているCMSのJoomlaでSQLインジェクション攻撃が多いことがわかった。Joomlaはコンポーネントに対して当該脆弱性が数多く見つかっており、セキュリティパッチを適用すべき」と呼びかけた。また、CMSのPliggは、特定パラメータキーの配列を操作して攻撃に成功するといった、通常とは異なるタイプのSQLインジェクション攻撃が見つかった。脆弱性の発見されたページが管理者ページと見られており、関連セキュリティパッチが出るまで当該ソースコードの迅速な対応が必要だとしている。
2015年11月25日トレンドマイクロは11月18日、エンドポイント型標的型サイバー攻撃対策製品「Trend Micro Endpoint Sensor(TMES)」を25日より発売開始すると発表した。製品は、各エンドポイントにインストールされるエージェントとそれらのエージェントをコントロールするマネージャソフトウェアで構成される。エンドポイントのエージェントソフトは、各エンドポイント内でのレジストリの変更やプロセスの生成、権限昇格など攻撃手法として利用されうる各種アクティビティを記録する。記録した過去のアクティビティ情報をはじめ、DDIなどのネットワーク監視装置との連携により取得した不審な兆候の情報や、OpenIOC、YARAなどの情報を用いて、記録したアクティビティを検索することで、関連する攻撃動作の可視化を実現する。この可視化された攻撃動作をIT管理者が解析することにより、エンドポイントにおける脅威がどのように行われていたかを把握する。さらに、このエンドポイント内部で知り得たファイル名やハッシュ値、攻撃手法として利用されうる各種アクティビティ情報など攻撃に関連する情報を再び利用し、ネットワーク内のその他のエンドポイントを検索することで、他にも隠れた脅威を発見できるという。TMESは2016年上期に機能拡充を予定しており、不審なふるまいをTMESが検知し、「Deep Discovery Analyzer(DDAN)」と連携することで解析が可能になる。そこで検知された不審なファイル情報を「Trend Micro Control Manager(TMCM)」経由で他のセキュリティ対策製品に配信し、対抗するための対処策を共有できる。。参考価格は、1年間の100ライセンス(仮想マシン含むクライアント数ごと)で91万円~(税別)となる。
2015年11月19日サイバーセキュリティクラウドは10月26日、外部公開サーバへのあらゆる攻撃をリアルタイムに可視化するWebサービス「攻撃見えるくん」の無料提供を11月11日に開始すると発表した。同社によると、リアルタイム可視化製品で無償提供のものは日本初だという。自社に対するサイバー攻撃がどこからどの程度行われているかを測るツールは今までもあったが、サーバのログをまとめて解析する形式のものが多く、実際に攻撃を受けた時間からタイムラグが生じていた。また、ログデータを解析するための時間も必要だった。「攻撃見えるくん」はどこからどのような攻撃を受けているかを地図上に視覚的に表し、自動でグラフ化するため、ページを開くだけで攻撃の傾向がわかる。常にリアルタイムで表示されるため、今どのような攻撃を受けているかを即時に確認できる。「攻撃見えるくん」の提供に合わせて、攻撃遮断製品の「攻撃遮断くん」もバージョンアップ。こちらは、サーバへのあらゆる攻撃を遮断するIPS+WAFクラウド型サーバセキュリティとなる。クラウド(IaaS)を含むほぼすべてのサーバに対応し、ネットワーク、OS、Webアプリケーションに対する攻撃を防ぐ。バージョンアップでは、「攻撃見えるくん」による攻撃の可視化に加え、「過去の攻撃データからの分析」「監視センターとの接続状況確認」に対応。さらに、24時間365日サービスの申し込みができるようになった。最短5分、24時間以内で利用を開始でき、顧客に合わせたフルカスタマイズ機能(攻撃遮断くんのみ)も用意する。また、データセンターは国内に設置した。「攻撃遮断くん」の基本料金はIP単位で4万円/月。従量課金プランでは5000万リクエストごとに10万円/月で、追加費用は5000万リクエストごとに10万円/月。また、攻撃ログ最新表示件数は、「攻撃見えるくん」が1000件、「攻撃遮断くん」は1万件で、表示数追加には1万件で5000円/月が必要となる。現在、サービスの事前登録を受け付けている。
2015年10月28日