トレンドマイクロはこのほど、複合機からメールが届いたように巧妙に偽装した、メールによる不正プログラム頒布を確認したとセキュリティブログで明かした。攻撃は、不正なマクロが含まれるWord文書が添付されたメールが送られてくるというもの。メール経由で不正なファイルを送り付けるのは攻撃者の常套手段であるが、今回は発信元のメールアドレスが自社のネットワーク対応の複合機を装っていた。届いたメールの発信元は「scanner@受信者が所属する組織のドメイン」となっていた。ドレンドマイクロ独自の統計データによると、Word文書に不正マクロを仕込んだ攻撃メールは2015年の4月以降に増加を確認している。特に多かったのが6月17日前後で、1日に2000件以上を確認したという。攻撃対象の多くは国外であったが、一部の国内にある法人でも確認されたという。偽装メールは平日に集中し土日が減少することから、土日休みの法人組織への攻撃が多いものと推測できるという。今回の攻撃は、ネットワーク対応の複合機の挙動をすべてコピーしている。一般的にスキャナー機能を利用して原稿を取り込んだ場合、指定のメールアドレスなどにスキャン画像を送信できる。今回の攻撃はその機能を悪用したもの考えられている。偽装であることは明確で、国内の法人へ届いた攻撃メールの送信者のIPアドレスが米国、ブラジル、エクアドル、ベトナム、インドなどとなっていた。また、件名が「Message from アルファベット4文字 C280」、添付ファイルが「S アルファベット4文字 C280 送信日に基づく数字列」で、ここからも複合機の通知を偽装していることがわかる。攻撃メールの受信者は、同じ日本製複合機の利用者かどうかは確認できていないというが、ある程度攻撃対象を絞った攻撃である可能性も考えられると指摘している。今回の攻撃は、以前からあったスキャナー通知型の攻撃とは異なり、不正マクロを含んだWord文書が添付ファイルに利用された。一般的にスキャナ機能では画像ファイルやPDFにして保存するため、攻撃に利用するのもPDFが多く確認されていた。なお、トレンドマイクでは、Microsoft Officeのマクロを利用した不正プログラムを利用した攻撃が2015年より海外で増加していると指摘している。現時点では、マクロ型の攻撃を比較的に簡単に防げる。Microsoft Officeは標準の設定でマクロの実行が無効となっている。無効になっている場合は、不正マクロが含まれるファイルを開いても、ユーザーが手動で実行しなければ直接的な被害を受けることはない。危険なのは、業務の都合などで常時マクロ機能を有効にしているケースだと指摘している。利用者は、自らマクロを有効にすることは、不正プログラム実行の危険性があることに注意が必要だと呼び掛けている。
2015年06月29日トレンドマイクロは6月24日、同社のセキュリティブログでAdobeがFlash Playerへのゼロデイ攻撃発生を受け緊急更新プログラムを公開したことに関する記事を公開した。Adobeは6月23日(米国時間)、Flash Playerのブラウザプラグインに存在するゼロデイ脆弱性「CVE-2015-3113」に対応するセキュリティ情報「APSB15-14」を公開。さらに、この脆弱性が標的型サイバー攻撃ですでに利用されており、「Windows 7およびそれ以前のOS に対応するInternet Explorer(IE)」と「Windows XPのFirefox」が標的となっているとして、注意を促した。この深刻な脆弱性が利用されると、攻撃者により影響を受けるシステムが制御される恐れがあるという。影響を受けるバージョンは「Windows版およびMac版のAdobe Flash Player 18.0.0.161 およびそれ以前のバージョン」「Windows版およびMac版の延長サポートリリースバージョン 13.0.0.292および、13.x以前のバージョン」「Linux版のAdobe Flash Player 11.2.202.466および 11.x以前のバージョン」。同社は、Windows版とMacintosh版のAdobe Flash Playerデスクトップランタイムの最新バージョン「18.0.0.194」でこの脆弱性に対応すると発表。Adobe のWebサイトで、どのFlash Player のバージョンを使用しているか確認できる。なお、Windows 8.1とそれ以降のOSバージョン上のGoogle ChromeとIEで起動するFlash Playerは自動的に最新バージョンに更新される。それ以外のOSバージョン上(Windows XPを含む)で起動する同ソフトウェアについては、Adobe のダウンロードセンターから更新プログラムをダウンロードして更新する必要がある。同社では、Adobe Flash Playerユーザに、自動更新機能を有効にすることを強く推奨している。
2015年06月25日前編では、標的型攻撃メール訓練に潜む落とし穴について説明を行いました(【コラム】セキュリティのトビラ 標的型攻撃メール訓練のトビラ(1))。後編では、訓練に関する"ある実験"の結果や年金機構のメール文を例に、メールテストの正しい利用法について解説していきます。○問題は?こういった訓練について2011年に興味深い実験結果が報告されているのでそちらを紹介しましょう。これは、現在IBM傘下となったTrusteerが実施したものです。セキュリティ教育を受けたと判断できるユーザー100人に対し、知人がライバル会社に転職したことを知らせるメール(ビジネスSNS「LinkedIn」の通知に偽装)を100人に送信しています。そして、メール内に記述されているリンクをクリックするかどうかを調べるというものでした。7日以内にリンクをクリックした人、クリックしなかった人の結果は以下の通りです。24時間以内にクリック:41人48時間以内にクリック:52人(24時間以内から11人増)7日以内にクリック:68人(48時間以内から16人増)クリックしなかった:32人通常の訓練であればクリックをした方にフォーカスして、何かしらの教育を行うことが多いわけですが、この実験ではクリックしなかった方に「リンクをクリックしなかった理由」を訪ねています。理由とその人数の内訳は以下の3通りです。「(見逃しやスパムフォルダに入って)そのメールを見ていない」:16人「興味を引かなかったためクリックしなかった」:9人「普段からLinkedInの更新メールは読んでいない」:7人合計すると32人になります。以上の結果を踏まえると、セキュリティの教育を十分に受けたと判断できる人でも、偽物のメールであることに気付いた上でリンクをクリックしなかった人は0人であることがわかったわけです。また、それと同時に、開いた人が7割近くいたというケースが存在するということを教えてくれています。それでは、今回の攻撃で日本年金機構に送られてきた攻撃メールの内容を見てみましょう(一部伏字)。件名:「厚生年金基金制度の見直しについて(試案)」に関する意見○ ○様5月1日に開催された厚労省「厚生年金基金制度に関する専門委員会」最終回では、厚生年金基金制度廃止の方向性を是とする内容が提出されました。これを受けて、企年協「厚生年金基金制度の見直しについて(試案)に関する意見」を、5月5日に厚労省年金局企業年金国民年金基金の■■課長に提出いたしました。添付ファイルをご覧ください。(本文内にYahooボックスへのリンクが記載)これが公開アドレスに届いたわけです。公開アドレスというのは、常時不特定多数の方からメールを受け、その内容に目を通して処理することが目的とされているもののはずです。そこにこれだけの文章のものが届いた場合、果たしてどれだけの人が騙されないでいられるでしょうか。もちろん、騙されない方もいるでしょうし、常にそのように対処できるのであれば、それほど素晴らしいことはありません。しかし、現実問題として騙されてしまう人がいると筆者は考えています。さて、訓練に話を戻しましょう。筆者が知人から聞いた"実際の組織で行われた訓練の話"も紹介しておきたいと思います。その組織では各グループごとにセキュリティの窓口の役割を担う方がいるそうです。そして、訓練が行われた際に、そのグループの開封率が"窓口の人の評価"に影響を与えるのだそうです。評価に影響がある人からしたら死活問題ですよね。いつ訓練が行われるか、気が気でなかったことでしょう。そして、その人の取った行動は……。いつ行われるか分からない訓練の実施をいち早く気付くために日々メールをチェック訓練のメールを受信した時には、口頭で「今、訓練が行われているからメールを開かないように」とグループの人に通達これでは身も蓋もありませんね。ここまでの説明して来たこと全てが、訓練の行われ方について筆者が懐疑的になるポイントです。しかし、その一方で、筆者は「訓練そのものが無駄である」とは考えていません。皆さんには、世の中に存在する訓練の意義を今一度考えていただきたいと思います。例えば、火災訓練を思い浮かべてください。火災訓練と聞いて、「火事そのものを起こさないための訓練」を浮かべる方は少ないと思います。おそらく、殆どの人が「火事が発生したことを想定した避難の訓練」を浮かべることかと思います。火事が起きたときの死因として多いものとして一酸化炭素中毒があります。物が燃えることによって発生する煙に視野を奪われ、有毒ガス吸い込んでしまい意識障害を起こし、結果、逃げ遅れて焼死してしまうそうです。火災によって発生する有毒ガスが室内上部に集まりやすいため、火災訓練では姿勢を低くし、ハンカチなどを口に当てて避難する経験があることでしょう。そして、人が避難する際にパニックに陥り、ビルの出口に殺到した時の転倒などによる二次災害を避けるために、慌てずに落ち着いて行動しつつ避難経路を確認するといった行動をしますよね。上記のように頭で分かっていても、いざという時に考えているままの行動を起こすことは難しい。だからある程度、定期的に火災訓練などを行い、"慣れを養う"わけですね。これは標的型攻撃メールの訓練でも同じことが言えるかと思います。もちろん、怪しいメールに遭遇したら添付ファイルを開かず、本文中に記載されたアドレスにアクセスしないに越したことはありません。ただ、人間がすることですから、組織すべての人が常に100%そのように行動することは不可能といっても過言ではないと思います。そうとすれば、火災訓練などと同じように標的型攻撃メールが送られてくること、そして、それを開いてしまうということがありうるという前提で訓練を行う必要があるのではないでしょうか。不審なメールを受け取ったと気付いた時や、マルウェアの感染が疑われる時など、普段とは異なる事象に遭遇した時に被害が拡大するのを防ぐためには、どのように行動すべきか。迅速に関係各所に報告することができるかそもそも、その関係各所というのはどこなのか社内のマニュアルではどのように対応することになっているのか。平時にこそ確認して、異常時に備えるために行う訓練であれば筆者はとても有意義なものであると思います。よって、「開いた/開かない」「クリックした/クリックしなかった」ということにのみにフォーカスして、一喜一憂するようなものではないと思います。そうではなく、事が起こったときにきちんとした行動ができるかどうかまでの温度感をはかる。訓練を行った結果、「全体の何人が開いたか」「クリックした/しなかった」に加えて、「全体の何人が正しい行動ができたのか」をはかり、「慣れを身につける」という訓練を行う必要があるのではないでしょうか。少なくとも、訓練は騙されてしまった方を責めるために行うものではありません。セキュリティやそれを実現するための技術や知見は人を守り、安心を与えるために存在するもののはずです。決して、人を傷つけるものではないと思います。また、そのような行い方をすることによって、本当に必要なときに報告が上がってこないといった文化が出来上がり、それが被害の拡大を招く結果が危惧されます。攻撃を行う側は金銭や思想などをモチベーションに連携したり、組織的に攻撃を行ってきています。基本的に、攻撃を行う側の方が有利であり、私たちは防戦一方を強いられます。負けることはあっても勝つことはありません。そうなるとわかっているのですから、守る側の私たちも組織全体で「情報だけではなく、人も守る」という意識を持って取り組んでいかなければならないのだと強く思います。とは言え、セキュリティの専門家だけでは立ち行かない状況になっていると実感しています。守る側の中で吊るしあい、責任の擦り付け合いをしていても仕方ありません。標的型攻撃に対峙する時、悪意を持った敵は外にいます。その相手には社会全体で力を合わせて立ち向かっていくようにならなければ負けっぱなしになってしまいます。そんなのは悔しいじゃないですか。みんなで頑張りましょう。著者プロフィール○辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。Twitter: @ntsuji
2015年06月24日エアバス(本社: 仏トゥールーズ)は6月18日、タイ国際航空向けに製造中のA350XWBの進捗を発表した。10月から最終組み立てを開始し、2016年半ばに初号機を納入する予定となっている。タイ国際航空はA350XWBを12機発注(直接発注が4機、リース契約が8機)しており、ヨーロッパ、アジア路線などの長距離路線への導入を予定している。350XWBは5月末現在、40社・780機の確定発注を獲得している。
2015年06月23日汗や皮脂など、夏のメイクはとにかく崩れやすい・・・。お肌が溶け出していたり、毛穴の上のフェンデが剥げていたり、メイクがなぜか消えていたり・・・そんな夏の攻撃に屈してはいませんか!?このメイクでは、そんな攻撃を寄せ付けない、完璧ディフェンステクを紹介します。守るだけじゃない。攻めのポイントメイクにも注目です。メイクのコツ・ポイントファンデーションを塗る前に化粧水をつけて、しっかりティッシュオフすることで崩れにくする。マキアレイベルのリキッドファンデーションは本当にヨレないので、もうリピート7本目!クリアラストもパウダーも、カバー力はあるのに重たくなく、キープ力があるから夏にオススメ。ピンクチークで顔の凹凸をハッキリさせる。チークを塗った後に何も付いてないパフで上から軽く押さえることで、落ちにくい。ヒロインメイクのアイライナーは筆先が細いので、繊細な線が簡単に引ける!日常生活にも取り入れ可能なゴールドラメで太陽の光に負けない華やかeyeに。ポイントメイクは攻めの夏メイク!メイクアップフォーエバーのHDパウダーは、皮脂が出ると皮脂に吸着するので、仕上げにふわっと重ねてあげるとメイクモこのメイク動画のノーカット版と使用コスメ詳細を見る
2015年06月20日Palo Alto Networksは6月16日、東南アジア各国の政府や軍事機関を標的としたとみられる一連の国家的サイバー攻撃に関する調査結果を公開した。同社の脅威インテリジェンス調査チーム「Unit 42」によって発見された「オペレーション・ロータス・ブロッサム(Operation Lotus Blossom)」と呼ばれるこの攻撃は、3年前にまで遡り、国家的なオペレーションに関する内部情報の取得を試みていると想定され、香港、台湾、ベトナム、フィリピン、インドネシアが標的とされている。この攻撃には、50回以上の個別攻撃が確認されており、すべて「エリーゼ(Elise)」と呼ばれるカスタマイズされたトロイの木馬を使用している。このマルウェアは標的を絞ったスピアフィッシングメールを配信して、標的システム上で最初の足場を生成するが、Unit 42は、攻撃と無関係なところでも使われていると考えている。Unit 42は、同攻撃に、特注ツールの使用、豊富なリソース、複数年にわたる継続性が確認されていることから、背後に潤沢な資金を持つ組織的な団体が存在すると考え、これらの要素と標的の性質を考慮し、サイバースパイ行為が攻撃の動機であり、背後には東南アジアの地域情勢に強い関心を持つ国家の関与、あるいは資金提供があると推測している。Unit 42チームは、最近発表された同社のサイバー脅威インテリジェンスサービス「AutoFocus」を使用してこの一連の攻撃を発見。AutoFocusにより組織のセキュリティ担当者は、6,000以上の脅威インテリジェンスクラウドWildFire加入者やその他の情報源経由でセキュリティ脅威を相関して検索できるという。Palo Alto Netoworksは、同社の脅威防御およびWildFireのサブスクリプションを持つすべての顧客は、これらの攻撃から自動的に防御されるとしている。サブスクリプションサービスに加入していない場合は、自社ネットワークで侵入の兆候を確認し、関連する指標を自社のセキュリティ制御へ追加することを勧めている。
2015年06月18日ファイナルオーディオデザイン事務所は、6月27日と28日、イヤホン組み立て教室「自作イヤホンで音のチューニングを楽しもう!~イヤホン組立体験~」を開催する。開催場所はヨドバシカメラ新宿西口店マルチメディア館で、参加費は12,800円。本イベントは、同社で恒例になっているイヤホンの組み立てイベント。今回組み立てるのは、8.5mmのダイナミック型のドライバとMMCX端子を採用した、リケーブルタイプのダイナミック型イヤホン。筐体はステンレス削り出しで、開閉が可能なネジ式設計。組み立て後は、参加者自ら音質のチューニングが行える。今回は、通常のチューニング方法に加え、低音の質を大きく変える低音可変システムによるチューニング方法を解説するという。イベントは両日とも1回50分間で、10時からの回を皮切りに27日は計8回、28日は計7回催される。各回とも先着10名まで。申込受付は当日、会場にて9時30分から開始する。なお、ケーブルは別売り。詳しくは、イベントWebサイトを参照のこと。
2015年06月18日ラックは16日、同社「サイバー救急センター」にて対応した標的型サイバー攻撃の調査結果から、日本国内において多数の組織が同様のサイバー攻撃による被害を受けていると判断し、注意喚起を行った。調査で浮上した攻撃マルウェアEmdiviの詳細に関しては、マクニカネットワークスが説明を行った。○日本の組織を幅広く狙うマルウェア「Emdivi」確認された標的型攻撃は、シマンテックが2014年11月に同社ブログで公表したものや、今月6日にカスペルスキーが公開と同じものと言われている。特徴は、日本の組織を幅広く狙っていることと、攻撃指令を出すC&Cサーバーが日本に存在していることで、後者は既に攻撃され支配下にあると推測されている。説明会の冒頭では、ラックの内田法道氏が、企業や官公庁向けの同社緊急対応部署「サイバー救急センター」を紹介するとともに、Emdiviと呼ばれる遠隔操作マルウェアによる攻撃が再度増えつつあることを説明。今回の注意喚起の背景を解説した。○偽装アイコンによるexeファイルで攻撃Emdiviの詳細に関してはマクニカネットワークス セキュリティ研究センターの政本憲蔵センター長が解説した。今回の一連の攻撃ではドキュメントファイルにアイコンを偽装したexeファイルが使われており、このexeファイルの中には「ドロッパー」と呼ばれるマルウェア本体と、偽装のための文書が含まれている。偽装文書はおおむね日本語として意味が通るが、中国語フォントSimsunが使われており、一部の文字が日本語ではないという特徴がある。また、確保したマルウェア(65種類)のファイルの生成日時に注目して調査すると、北京時間の月曜日から金曜日までの9-17時に集中していることがわかったという。○まずは現状を確認する「身体検査」を最後にラック CTOの西本逸郎氏が登壇し、同じようなサイバー攻撃を受けた日本年金機構の個人情報流出事例は、C&Cサーバー側の調査も行われたため、日本で初めて実害が確認された事例と紹介。対策は破られるという認識とその後の対応が重要であり、感染を直前で食い止める"水際作戦"、重要データの情報を撹乱する"無力化作戦"、指令サーバへの通信を遮断する"封じ込め作戦"を一体とした対策が、企業で求められると強調した。
2015年06月16日ロールス・ロイスは6月15日、Trent エンジンシリーズの新世代となるTrent7000の組み立て準備を完了したことを発表した。Trent7000は2014年、英国ファーンボロー国際航空ショーにおいてエアバスA330neoの独占供給エンジンに選ばれ、ロールス・ロイスはTrent700の提供を通じてA330向けエンジンの市場を先導している。現状、エンジン組み立てに向けて、今週にも完成部品がモジュールに組み込まれ、今後数週間内に組み立てが開始できる予定となっている。Trent7000はA330のエンジンに採用されているTrent700の経験を取り入れ、Trent1000の最新型であるTrent1000TENをベースとし、大型航空機エンジンとしては最も世界で効率の高いTrentXWBの最新技術を取り入れている。推力は6万8,000lbs‐7万2,000lbs、現在のTrent700との比較では、燃費は10%向上、ファン・バイパス比は2倍、ノイズが低減されるなど性能が格段に向上している。ロールス・ロイス民間機用大型エンジンのプレジデントであるエリック・シュルツ氏は、「Trentエンジンシリーズに追加される最新モデルTrent7000は、大幅な性能と経済性の進化をもたらします。今年後半のテストベッド上での初めての試験を楽しみにしています」とコメントしている。なお、A330neoの納入開始は2017年第4四半期を予定している。
2015年06月15日パロアルトネットワークスは6月12日に、Backdoor.Emdiviを用いた標的型攻撃の解説と、標的型攻撃による被害を出さないためのセキュリティ対策について解説した。これは、6月上旬に発生した100万件を超える規模の個人情報漏えい事件を受けてのもの。この事件は2013年以降に日本の組織を狙った攻撃で利用されているマルウェアBackdoor.Emdiviにより発生したと推測されている。Backdoor.Emdiviは侵入先のコンピュータから機密情報を盗み取るトロイの木馬と呼ばれるマルウェアの1つだ。改良された亜種も含め、複数の攻撃グループにより日本の企業や組織を狙った攻撃手段として用いられてきた。なお、11日にFFRIが年金機構を狙ったEmdiviを検知したと発表している。Backdoor.Emdiviによる攻撃手法は、ダウンロード役のマルウェア(ドロッパー)を仕込んだゼロディの脆弱性を突いたエクスプロイトコードを含むファイルや、WORDやPDFのアイコンに偽装したEXEファイルを、ターゲットとしている組織にメール送信することから始まる。このような経路で端末が感染するとBackdoor.Emdivi本体がインストールされる。その結果、HTTPベースでC&Cサーバーと通信を行い、様々な攻撃が行われる。Backdoor.Emdiviの場合、そのほとんどが日本国内で構築されたC&C サーバーと通信を行うのが特徴だ。その結果、攻撃が日本に特化した形で行われたと推測される。2014年11月ジャストシステムは一太郎の脆弱性について発表したが、この際に用いられていたマルウェアの一つがBackdoor.Emdiviだった。また、健康保険組合などの医療費通知に偽装したスピアフィッシング型のメールが多くの日本企業に送られた事件が同時期にもあったが、この時標的型攻撃に用いられたのもBackdoor.Emdiviだ。このようにBackdoor.Emdiviを用いた標的型攻撃は、巧妙に進化しながら日本の組織を狙い続け、その被害は後を絶たない。パロアルトネットワークスの調査によるとメールを経由としたマルウェア攻撃は他国と比べても高く、日本は標的型攻撃が成功しやすいと推測できる。その結果、日本が集中して攻撃グループに狙われている可能性も否定できない現状だ。パロアルトネットワークスによれば、標的型攻撃から個人情報などの重要データを守るためには、標的型攻撃における一連の流れ「サイバーキルチェーン」を断ち切ることが重要だという。例えば、Backdoor.Emdiviでは以下の攻撃プロセスがある。感染:エクスプロイトコードを含むファイル、偽装したファイルによる感染侵入:Backdoor.Emdivi (マルウェア)の侵入目的の実行:C&Cサーバーとの通信によるデータの破壊・盗難しかし、攻撃を許してもプロセスを途中で断てば被害には遭わない。それぞれの段階に対抗するソリューションを用意することで被害は抑えられる。しかし、様々なベンダーの単体ソリューションを組み合わせて利用すると、企業のIT投資コストと管理コストを圧迫する恐れがある。様々な対策がある一方で、攻撃を受けながら被害を自覚していない組織の存在も危惧される。日本の組織は、その規模や扱っている情報の価値を問わず、現在の感染状況の有無を確認するべきだ、とパロアルトネットワークスは指摘している。
2015年06月13日IPA(独立行政法人情報処理推進機構)は10日、標的型サイバー攻撃の被害事案が増えていることを受け、企業・組織の経営者、システム管理者向けに、サイバー攻撃の確認やコンピュータウィルスの感染確認を促す注意喚起を行った。IPAは、サイバー攻撃の確認方法として、ファイアウォールやプロキシサーバーのログ確認を挙げている。数秒、数分間隔で外部C&Cサーバー(感染PCへ命令を送るサーバー)へ継続的に通信するなど、通常では起こりえない通信があるか確認する。合わせて、外部へ接続する際にプロキシサーバーを経由させている場合、直接外部へ接続するといった、業務上想定していない通信がないかを確認する。また、サーバーから外部へ不審な通信がないか、あれば正常な通信か確認すると同時に、想定されていないアカウント、端末やサーバー、管理者からのログインがないかチェックを行う。組織内でActive Directoryサーバーやファイルサーバーなどを利用している場合、見覚えのないタスクがタスクスケジューラーへ登録されていないか、あるいはイベントログに見覚えのないタスクが実行された形跡がないか確認する。上記のポイントを確認し、万が一不審と思われる事柄を発見した際は、被害を最小限に抑えるために、該当端末をネットワークから切り離し、端末や通信ログなどの詳細な調査を行う。加えて、不審な通信先を発見した場合は、さらなる通信を防ぐため、ファイアウォールやプロキシサーバー、Webフィルタリングシステムを用い、不審な通信先とのアクセスをブロックするといった対策が必要となる。該当端末を踏み台にして、既に他の端末へウイルス感染が広がっている可能性も考えられるため、不審な通信を発見した場合はセキュリティベンダをはじめとした専門家に相談するなど、正確な被害範囲や感染原因を把握した上で対策を進めることが重要だとしている。また、一度攻撃を受けて侵入されてしまうと、Active Directoryサーバーなどの内部サーバーの脆弱性も悪用されてしまうため、継続的な脆弱性対策として、クライアント端末だけでなく、サーバーにもソフトウェア更新プログラム(パッチ)の適用を呼びかけている。
2015年06月11日NICTは6月8日、FFRI及びディアイティの協力を得て、標的型攻撃等のサイバー攻撃に対抗するための統合分析プラットフォーム「NIRVANA改(ニルヴァーナ・カイ)」で機能追加を行ったと発表した。追加された機能は、エンドホスト(PC)の集中制御やマルウェア感染プロセスの特定が可能な「エンドホスト連携機能」、ネットワーク機器と連動して異常な通信の遮断や感染ホストの隔離が可能な「自動防御機能」。これらの機能により、ネットワーク系とエンドホスト系の2系統のセキュリティ対策が統合されるとともに、自動的な防御策の展開が可能となり、組織内における情報セキュリティインシデントの詳細な原因究明と迅速な対応の実現が期待できるという。エンドホスト連携機能は、FFRIの標的型攻撃対策ソフトウェア「FFR yarai」と連動し、組織内のエンドホスト群の各種情報を収集するとともに、マルウェアプロセスを特定し、そのプロセスの親子関係や通信履歴等をリアルタイムに導出するだけでなく、エンドホスト群のマルウェア検出感度の一斉変更などの集中制御もできるもの。また、ディアイティの協力で開発した自動防御機能は、インシデント発生時に、事前定義したアクチュエーション(動作)ルールに従って、ファイアウォールやスイッチ等のネットワーク機器を自動的に制御し、感染ホストの隔離や異常通信の遮断等が可能とするもの。エンドホスト連携機能と連動し、エンドホスト内の特定プロセスの停止等の精緻な制御もできる。さらに、「NIRVANA改」の可視化機能も強化し、ネットワーク系のドリルダウンに加え、エンドホスト内部にまでシームレスに没入できるようになり、セキュリティオペレーションがより円滑になったという。
2015年06月09日サイバーセキュリティ領域において国内で研究開発活動を展開しているFFRIは6月4日、標的型攻撃対策ソフトウェア「FFR yarai」シリーズのVersion 2.6をリリースしたとを発表した。FFR yaraiは、従来のセキュリティ対策で用いられているシグネチャやパターンファイルなどに依存せず、標的型攻撃で利用される攻撃の特徴を複数のプログレッシブ・ヒューリスティック技術を採用。様々な角度から分析し、未知の脅威に対して高い精度で攻撃を検知・防御する。最新版では、同社が2015年4月にリリースした個人PC向けセキュリティソフト「FFRIプロアクティブ セキュリティ」と同等のエンジンを搭載し、未知マルウェア対策を強化した。さらに、ネットバンキングの不正送金を行うMITB(Man in the Browser)マルウェアに特有の特徴を検知するロジックを追加。その他にもユーザビリティや管理機能の強化・改善を図っているという。
2015年06月05日マウスコンピューターは7月25日、同社の長野県・飯山工場にて「2015年度親子パソコン組み立て教室」を開催する。参加受付は6月1日~6月15日(18時)まで。マウスコンピュータ-のWebサイトから申し込む。「2015年度親子パソコン組み立て教室」は、マウスコンピューター製BTO対応PCのパーツ構成を考え、実際に組み立てられるイベントだ。組み立てるモデルは、一部モデルを除く対象PCから選ぶ。参加費用は組み立てたモデルの製品代金だが、通常価格の3割引きとなる(税込/送料なし)。* 開催日時:7月25日 午前の部(9時~12時)、午後の部(14時~17時)* 対象:小学6年生と保護者(2名1組)* 応募人数:各部合計20組40名* 開催場所:マウスコンピュータ-飯山工場(長野県飯山市)主な構成例は以下の通り。○タワー型PC構成例(NEXTGEAR i640BA5-SP)主な仕様は、CPUがIntel Core i7-4790(3.6GHz)、メモリがPC3-12800 8GB、ストレージが500GB SATA HDD、グラフィックスがNVIDIA GeForce GTX 750 1GB、光学ドライブがDVDスーパーマルチ、OSがWindows 8.1 Update 64bit。本構成での価格は118,584円の3割引で83,008円(税込/送料なし)。○ノートPC構成例(m-Book T710B)主な仕様は、CPUがIntel Core i5-4210M(2.6GHz)、メモリがPC3-12800 8GB(4GB×2)、ストレージが500GB SATA HDD、グラフィックスがNVIDIA GeForce GTX 760 2GB、光学ドライブがDVDスーパーマルチ、ディスプレイが15.6型フルHD(1,920×1,080ドット)ノングレア液晶、OSがWindows 8.1 Update 64bit。本構成での価格は107,784円の3割引で75,448円(税込/送料なし)。
2015年06月01日情報処理推進機構(IPA)は5月27日、メールを利用した標的型攻撃の分析結果を発表した。IPAでは国内のインフラ関連組織を対象に、2012年4月から標的型攻撃メールなどの情報共有を相互に行い、高度な対策に繋げる取り組み「サイバー情報共有イニシアティブ(J-CSIP)」を3年前から運用している。これまでIPAに提供された情報は1,257件で、そのうち標的型攻撃メールとみなしたものは939件であった。分析結果によると、IPAでは攻撃メールの12%に相当する114件が同一の攻撃者(またはグループ)による攻撃と推定した。114件の攻撃メールは、2012年9月から2015年3月まで、31カ月の長期にわたり観測された。また、2014年度は標的型攻撃とみなしたメールの送信元が初めて日本最多であったことや、これまでの観測データは日本国内に重要産業を標的とした攻撃インフラが着々と築かれつつある可能性を示した。IPAでは、J-CSIPの一連の情報共有によって、攻撃者像の推定・攻撃手口の解明など一定の成果を得られたと説明。成果は、今後参加組織での対策として活用される。なお、詳細な分析結果と2014年度の情報共有の運用状況などをまとめた2014年度(2014年4月~2015年3月)の活動レポートをWebページ上で公開した。活動レポートでは、2014年度の年間報告に加え、この推定に至った一連の攻撃を仕掛けている攻撃者の手口などを解説している。
2015年05月28日トレンドマイクロは5月25日、「家庭用ルータを狙って偽の警告文を表示する新たな攻撃を確認|トレンドマイクロ セキュリティブログ」において、自宅のルータのDNSの設定が変更されたという個人的な経験を引き合いに出し、家庭向けのルータをターゲットとした攻撃が実際に起こっていることを明らかにした。書き換えられたDNSサーバのIPアドレスが不正なIPアドレスであったこと、どのような経路でDNSの設定が変更されたかはわからないことなども説明されている。以前から、複数の研究者が家庭向けルータに不正アクセスし、DNSサーバの設定を変更することでサイバー攻撃を実施できるとことを指摘していた。DNSサーバの設定を不正な目的でセットアップされたDNSサーバへ向けられると、このルータ経由でインターネットにアクセスしているユーザはフィッシング詐欺などの被害にあう危険性が出てくる。トレンドマイクロは2014年にルータを悪用した攻撃を確認したと指摘。今年に入ってからは家庭向けルータを攻撃してネットワークを探索する不正プログラムに関しても言及している。今後、サイバー犯罪者はさまざまな方法でルータを狙った攻撃を仕掛けてくるだろうとしたうえで、ルータのログインパスワードを推測されにくいものへ変更すること、セキュリティ・ソフトウェアを使用してマルウェアの感染を防止することなどを推奨している。
2015年05月26日ESETは5月21日(現地時間)、「DDoS attacks have doubled in a year, says Akamai」において、分散型サービス拒否攻撃(DDoS; Distributed Denial of Service attack)が増加傾向にあることを伝えた。Akamaiの発表を引き合いに出し、報告されるDDoS攻撃がこの1年で前年の2倍を超えていると説明している。攻撃方法も変化しており、より長期にわたってDDoS攻撃を実施できるようになってきているほか、これまでよりも大きなダメージを与えられるようになってきていると指摘。先年は短期間で大量のバンド幅を消費するようなDDoS攻撃がメインだったものが、2015年は小さいバンド幅でより長期にわたって攻撃を継続する傾向を示しているという。増加傾向を見せているDDoS攻撃は3つの国からの攻撃開始が全体の過半数を占めているという説明もある。中国が23%で最も多く、これにドイツの17%、米国の12%が続いている。DDoS攻撃の52%が中国、ドイツ、米国から始まっていることになる。
2015年05月23日トレンドマイクロは5月19日、標的型攻撃を防ぐためにはネットワークの「セグメント化」が重要であるとセキュリティブログで解説している。標準的攻撃の手法は、サイバー犯罪者が企業のネットワークに侵入し、1台の端末を足掛かりにして次々と端末を乗っ取るケースが多い。より多くのPCを侵害して情報を引き出すことが成功へのカギとなっている。逆に考えれば、標的型攻撃を防ぐには、乗っ取られる端末を最小限に抑えればよい。セグメントは、ネットワークをアクセスする端末をグループ化できる。セグメント化をしておくことで、特定の端末が乗っ取られた場合でも、同一のセグメント以外に端末が乗っ取られるリスクを減らせる。ブログでは、セグメント化は自社の端末を守るだけではなく、取引先を守る手法でもあると述べられている。最近では、取引先の企業がFTPなどのネットワークを介して、データをやり取りするケースは多い。容量が大きいファイルのやり取りには最適な手段だ。ネットワークを利用するのは自社の社員だけではなく、取引先の企業が自社のネットワークにアクセスすることも多い。ネットワークのセグメント化によって、取引先が必要とするITネットワークだけにアクセスを制限することが重要であるとしている。セグメント化は、社員などからの内部犯行を防ぐ手段としても有効だ。内部犯行の場合、高いアクセス権限がなくても、ネットワーク内の機密事項にアクセスできる可能性がある。また、特定の端末内に保存されている情報を狙うなど、外部からの攻撃とは目的が異なる場合も多い。ネットワーク管理者は、ユーザ権限やネットワークトラフィックを適切に分割することが重要なセキュリテイ対策となる。それにより、企業の機密情報にアクセスする社員を制限できる。セグメント化は、環境構築の難しさが課題となっている。構築方法を誤ると、セグメント化によるセキュリティ効果が望めないだけでなく、ネットワークの利便性が損なわれる恐れもある。そのためには、企業内のネットワークの利用目的を改めて整理しなければならないという。具体的には、企業内の資産がどういった経路でアクセスされているか(HTTP、HTTPS、SMBなど)、どのように保存されているか(SQLデータベース、平文、NSAやSANなど)を特定する。また、過去から現在で確認された攻撃を特定し、現在の脅威活動の基準を確立する必要があるとも指摘している。
2015年05月22日エアバス(本社: 仏トゥールーズ)は5月19日、シンガポール航空のA350XWB初号機の最終組み立てが開始されたことを発表した。シンガポール航空はA350XWBを合計で70機発注しており、引き渡しは2016年第1四半期から開始される予定となっている。現在、シンガポール航空のA350-900第1号機は最初の胴体結合作業に入っており、5月末には次の作業エリアに移動し、主翼の結合、客室装備の開始、電源投入作業を実施する。
2015年05月20日JPCERT/CCは5月13日、Adobe Flash Playerに複数の脆弱性があるとして注意を呼びかけた。発表によると、Webを閲覧することでDoS攻撃や任意のコード(命令)を実行されるおそれがあるという。一方、米Adobe Systemsは5月12日(現地時間)、CVE番号ベースで18件の脆弱性(CVE-2015-3044, CVE-2015-3077, CVE-2015-3078, CVE-2015-3079, CVE-2015-3080, CVE-2015-3081, CVE-2015-3082, CVE-2015-3083, CVE-2015-3084, CVE-2015-3085, CVE-2015-3086, CVE-2015-3087, CVE-2015-3088, CVE-2015-3089, CVE-2015-3090, CVE-2015-3091, CVE-2015-3092, CVE-2015-3093)を修正する「Adobe Flash Player」のセキュリティアップデートを公開した。対象となる製品とバージョンは以下のとおり。Adobe Flash Player 17.0.0.169 およびそれ以前のバージョンAdobe Flash Player 13.0.0.281 およびそれ以前の 13.x のバージョンAdobe Flash Player 11.2.202.457 およびそれ以前の 11.x のバージョンAIR Desktop Runtime 17.0.0.144 およびそれ以前のバージョンAIR SDK and SDK & Compiler 17.0.0.144 およびそれ以前のバージョン今回発表された脆弱性の深刻度は同社の基準において最高の「Critical」となっている。Adobe Flash Player Desktop Runtime、Adobe Flash Player Extended Support Release、Adobe Flash Player for Google Chrome、Adobe Flash Player for Internet Explorer 10 and Internet Explorer 11については、72時間以内に更新プログラムを適用することが奨励されている。Adobe Flash Playerが標準で同梱されているWindows 8用Internet Explorer 10、Windows 8.1用Internet Explorer 11は、Windows Updateなどで最新のFlash Playerが更新プログラムとして提供される。同様に、Flash Playerが標準で同梱されているGoogle Chromeでは、Google Chromeのアップデート時にAdobe Flash Playerが更新される。
2015年05月13日ソフトバンク・テクノロジー(SBT)は5月11日、外部へ公開しているメールアドレスへの標的型メール攻撃を検知、隔離するクラウド型サービス「Public opened Email Protection(PEP)」の提供を開始すると発表した。メールによるサイバー攻撃は、最も広く使用される攻撃手段の1つ。中でも、特定ターゲットの重要なデータや個人情報を奪おうとする標的型サイバー攻撃「スピア・フィッシング攻撃」は、従来型セキュリティ対策ではカバーしきれないため、サイバー攻撃に多用されている。こうした脅威に対して、特に対策が必要となるのが、広報や人事の問い合わせ窓口や、お客様窓口など、外部へ公開しているメールアドレス。外部公開メールアドレスの多くは、業務上、不特定の社外メールアドレスとのメールのやりとりが発生するため狙われやすく、また、攻撃メールを開きやすいというリスクがある。PEPは、高度な標的型サイバー攻撃から、公開メールアドレスを保護するクラウド型サービスで、対象となる任意のメールアドレスに対し、業界最先端のサンドボックスを利用して標的型メール攻撃を検知し、自動隔離する。SBTのセキュリティ専門のエンジニアによる運用サービスが含まれているため、顧客の手間や負担無く公開メールアドレスのセキュリティを強化することができる。また、クラウド型で、1アドレス単位で利用できるので、要件に合わせて手軽に導入が可能だという。同社はサービス提供開始を記念して「PEPリリースキャンペーン」を実施し、2015年6月末までの申込みで初期設定費用を無料とするという。
2015年05月12日ファイア・アイとPFUは5月12日、エンタープライズ向け次世代サイバー攻撃対策で協業すると発表した。FireEyeでは、入り口・出口対策ソリューションを提供しており、FireEye NXシリーズがマルウェアを検知してアラートを出す。一方で、PFUのiNetSecがそのアラートに基づいて、感染端末からの通信を遮断することで、内部ネットワークにおける感染拡大の防止を行う。PFUはかねてより社内ネットワークのセキュリティ強化ソリューションを提供。北米でもセキュリティアワードを獲得するなど、日本発の数少ないセキュリティベンダーとしても展開している。両社の協業は、日本だけでなく、北米やその他地域においても、5月末より製品の展開を行う。なお、13日から15日に東京・有明の東京ビッグサイトで行われるJapan IT Weekの情報セキュリティExpo(春)でソリューションの参考展示を行う予定。
2015年05月12日カスペルスキーは5月1日、小規模企業がサイバー攻撃を受けた2種類の事例を同社のブログ「Kaspersky Daily」に公開した。○競合企業からマルウェア攻撃を受け、瀕死の状態にとある宝石を販売する企業は、外部からセキュリティ侵害を受け、自社サイトの訪問者が次々とマルウェアに感染する事態に陥った。企業内にマルウェアを対策できるスタッフがいなかったため、外部のITスペシャリストに問題を解決してもらうように依頼した。マルウェアはWebサイトから駆除できたがすぐに復活した。犯人はサイトへのアクセス権を持っていたため、コードを消されても復活できたためだ。そのため、企業は完全復旧までに多くの時間がかかった。検索エンジンのインデックスや検索結果の表示順位を取り戻す必要があったためだ。Googleはこの企業のサイトをマルウェア感染サイトとしてブラックリストに載せ、インデックスから削除した。別の検索エンジンでも同じことが行われていた。その間、企業の業績は大きく落ち込み、感染前まで回復するまでは1年ほどかかったという。調査の結果、最初に感染したのは経営者のPCだったことがわかった。経営者が使っていたのは無料のアンチウイルスソフトで、十分に機能していなかったという。ハッカーは経営者のPCにマルウェアを埋め込み、会社のサイトのアクセス情報を盗み出した。経営者は、競合からの標的型攻撃だと確信していた。経営者はこの経験を通じ、企業データのセキュリティに直接関係すること(パスワードの安全な管理、トラッキングやキー入力監視を行うマルウェアの存在)を数多く学ばならけばならなかった。○暗号化マルウェアに攻撃され、すべてのデータを失うとある会計事務所がランサムウェア「CryptoLocker」の攻撃を受け、すべてのデータに強力な暗号がかけられた。これによりデータにアクセスできなくなり、事業が継続が困難になった。CryptoLockerは、侵入したPCのデータを手当たり次第に暗号化し、暗号解除と引き換えに巨額の身代金を要求してくる。非常に強力な暗号化技術が使われているため、身代金を支払うか、それがダメなら暗号化前のデータをバックアップから復元するしかない。事務所のIT管理者は、ランサムウェアが見つかった途端に社内サーバーのデータをすべて削除した。これにより、ランサムウェアウェアを消去できたものの、重要なデータも一緒に削除されてしまった。結果的に重大なミスをした管理者はクビになってしまった。その後、データ復旧を試みたがすべて失敗に終わり、最終的には事務所は倒産したという。これらのケースはいずれも欧米諸国だが、日本でも中小企業を狙ったサイバー攻撃は増加している。対岸の火事と思わず、対策を講じることが最善の方法だろう。
2015年05月05日トレンドマイクロは4月16日、WebサイトをOSごと強制終了させる攻撃コードを確認したとセキュリティブログで明かした。攻撃は、Windowsの脆弱性を悪用したもので、すでに実証コード(PoC : Proof of Concept)が公開されている。実証コードは、数十文字程度の攻撃コードでWebサーバーをBSOD(Blue Screen of Death)状態で強制終了させることができる。脆弱性は、WindowsでHTTPプロトコルの処理を行う「HTTP.sys」に存在している。攻撃対象は、MicrosoftのWebサーバーのIIS(Internet Information Services)が稼働している場合、「HTTP.sys」を使用するWebサーバーが稼働していることが条件となる。攻撃者は脆弱性を利用し、遠隔からシステムアカウントの権限で任意のコードを実行する。それにより、Webサーバーに不正プログラムを感染させたり、コンテンツを改ざんするためのバックドアを設置される恐れがあるという。Microsoftでも脆弱性を認識しており、「緊急」と位置づけ、更新プログラムを4月15日より配布を開始した。更新プラグラムをインストールすることで、今回の攻撃を完全に防げるという。トレンドマイクロは、Windows OS上でWebサーバーを運用する管理者は速やかにアップデートすることを強く推奨している。
2015年04月20日Kasperskyは4月15日、サイバー犯罪者同士が対立し、互いの組織を攻撃し合うケースを確認したと発表した。対立しているのは「Hellsing」と「Naikon」という二つのサイバー犯罪グループ。Hellesingは主にアジアの政府組織や外交機関を攻撃対象とし、一方のNaikonは主にアジア太平洋地域の組織のスパイ活動を行っている。サイバー犯罪者が標的とするのは通常、大企業や金融機関、政府などの巨大な組織。サイバー犯罪者同士が憎み合い、互いに攻撃を繰り返すケースは例がないという。前代未聞のこの珍事、Kasperskyのセキュリティ研究を進める「Kaspersky Lab」がNaikonを調査する上で偶然見つけた。Hellsingが2014年に、とあるサイバー犯罪グループからサイバー攻撃を受けたことがすべての始まりだった。突然の攻撃に対しHellsingは応戦の構え。とはいえ、自分たちを攻撃した相手を正確に掴めなかったため、スピア型フィッシングメールで20の組織に攻撃した。具体的な攻撃は、マルウェアを添付したメールを各組織に送り、組織がそのメールを開封するとマルウェアがPCに侵入し、バックドアに感染させるというもの。感染したPCの制御権を奪い、外部からのリモート操作でファイルのダウンロード/アップロード、マルウェアの更新などを行ったという。Hellsingから不審なメールが届いたと判断したNaikonは、メールの意図を確認する返信を行ったが、納得のいく回答が得られなかっため、添付ファイルを開くことはなかった。その後、Naikonは独自のマルウェアをメールに添付しHellsingに送信した。Kaspersky Labのディレクターであるコスティン・ライウ氏は、HellsingによるNaikonへの攻撃に対して「ある意味で復讐心を持った『帝国の逆襲』スタイル」だとコメントし興味を示した。続けて「これまでもAPT(標的型攻撃)グループ同士が誤って互いを攻撃したことはあった。今回は攻撃対象の選択や発生源を考えると、故意の攻撃であるという可能性が高い」と述べた。Kaspersky Labでは、これがサイバー犯罪活動における新たなトレンド「標的型攻撃戦争」の兆しだとも分析している。
2015年04月16日カスペルスキーは4月8日、公式ブログ「Kaspersky Daily」でFacebookアカウントをフィッシング攻撃から守る7つの対策を解説している。フィッシングは個人情報を狙った攻撃の一種で、一見本物のように見える偽のメールまたはWebサイトといった手口が使われる。SNSプラットフォームは近年、フィッシングの道具として使われることが増えており、詐欺師はあたかもFacebookが発信したかのような偽メールでパスワードのリセットを促し、データを奪う。フィッシング対策はいくつかあるが、共通するのは、オンラインで個人情報の入力を求められた場合に、フィッシングを疑うということ。ブログでは以下の7つのポイントを注意するよう説明している。これらの注意点は、Facebookに限らず、他サイトでも有効な対策となりうるため、気を配るに越したことはない。個人情報の入力を求めるメールが届いても、その指示に従わない個人情報を入力するのは、安全で保護されたWebサイトだけにするURLが「https」で始まっていて、インターネットブラウザーのアドレスバーに錠前のアイコンが表示されているWebサイトは安全。錠前のアイコンをクリックすると、そのサイトのセキュリティ証明書が表示される。個人情報を要求するメールが届いたら、誤字脱字など、詐欺メールとわかる特徴がないか確認データを入力するWebページのリンクが思っていたサイトのURLと異なる場合は、確実にフィッシング攻撃だという。個人情報入力用のリンクはクリックせず、代わりにURLを手動でブラウザーに入力してサイトへアクセス.使用しているコンピューターのアンチウイルス製品にフィッシング詐欺対策機能が備わっていることを確認するWebブラウザーやアンチウイルスなど、あらゆるソフトウェアを常にアップデート怪しいメッセージを受け取ったら、すぐに該当する銀行やSNS運営会社に連絡する
2015年04月13日パロアルトネットワークスとNECは3月30日、不正端末の通信を自動で検知し、サイバー攻撃を抑止する「サイバー攻撃自動防御ソリューション(次世代ファイアウォール連携)」をNECが販売すると発表した。新ソリューションは、NECのSDN対応製品「UNIVERGE PFシリーズ」のネットワーク制御機能と、エンタープライズセキュリティプラットフォームの一部であるパロアルトネットワークスの次世代ファイアウォール製品による未知・既知の脅威抑止機能を連携。サイバー攻撃の検出精度の向上に加え、自動で攻撃を検知し防御する。パロアルトネットワークスのエンタープライズセキュリティプラットフォームの検知機能により、サイバー攻撃を受け不正通信を行う端末に加え、不正通信を疑われる端末を検出し、動作を抑止する。これにより、未知のウイルス感染の場合でも外部との疑わしい通信や挙動を検知できる。さらに、疑わしい通信に対して、SDNコントローラからネットワーク全体を制御することで、精度の高い検知ネットワークへの切り替えやネットワーク上での隔離を実現し、被害拡大を防止する。また、検知した不正通信端末や、不正通信が疑われる端末に対し、SDNコントローラが端末情報をもとにネットワーク制御を行い、通信経路の遮断や隔離を自動化できる。これまでのセキュリティ対策では問題が発生した際の対応には最低でも数分、長い場合は数日かかっていたが、新ソリューションは、検知からの初動対応を数秒に短縮することが可能で、2次感染等の被害拡大リスクを低減する。さらに、ユーザのポリシーに従い、特定のIPアドレス(スパイウェアサイト)へ頻繁にアクセスしていたり、実行ファイルを頻繁にダウンロードしていたりする疑わしい端末の通信を遮断できるほか、経路変更により自動で精度の高い検疫ネットワークを通せる。価格は1100万円からで、最小構成は、SDNコントローラ×1台/SDNスイッチ×2台/次世代ファイアウォール×1台/SDN連携アダプタ×1。なお、4月9日に米Paloalto NetworksのCMO レネー・ボンバニー氏が来日し、最新セキュリティプラットフォーム戦略について解説するセミナーが行われる。
2015年03月31日ファイア・アイは3月24日、クライアントへのFREAK攻撃に対するiOS/Androidアプリのセキュリティ脅威について検証し、その結果を発表した。FREAK攻撃では、脆弱なクライアント・サーバー間のHTTPS接続を傍受され、攻撃者が脆弱な暗号化技術の使用を強制することで、これを突破して機密データの窃取・操作が可能になるという。FREAK攻撃が成功するには、サーバーがRSA_EXPORT暗号スイート(輸出用RSA暗号)を受け入れるとともに、クライアントが輸出用ではない暗号スイートで一時RSAキーを許可する必要がある。これにより攻撃者は接続の暗号強度を弱め、データを窃取しやすい状態にできる。3月4日時点で、AndroidとiOSのいずれの最新版プラットフォームについても、FREAKへの脆弱性が認められる。また、iOSとAndroidのいずれもアプリも、OpenSSLライブラリそのものの脆弱版を含む可能性があることから、FREAKはプラットフォームの脆弱性であり、アプリの脆弱性でもあるといえる。そのため開発メーカーによってAndroidやiOSのパッチが公開された後でも、RSA_EXPORT暗号スイートを受け入れたサーバーに接続すれば、こうしたアプリは引き続きFREAKに脆弱な状態になる。FireEyeでは、Google Playでのダウンロード数が100万回を超える人気Androidアプリ1万985種類について解析した結果、脆弱なHTTPSサーバーへ接続する脆弱なOpenSSLライブラリの使用により実に1228種類(全体の11.2%)のアプリがFREAK攻撃に対して脆弱であることがわかったという。これら1228種類のアプリのダウンロード回数は、合計すると63億回以上にのぼる。1228種類のAndroidアプリのうち、Androidのバンドル版OpenSSLライブラリを使用しているものは664種類、自社コンパイルのOpenSSLライブラリを採用しているものは564種類。こうしたOpenSSLバージョンはすべて、FREAKに対して脆弱となる。次の表は、セキュリティやプライバシーの観点から機密性の高い分野におけるAndroidとiOSの脆弱なアプリの数を示したもので、スポーツやゲームといった、機密性が比較的低い分野については、表には含まれていない。赤い部分で示される通り、FREAKの脆弱性はアプリ開発者によって修正が進められている。攻撃のシナリオの一例として、攻撃者は人気のショッピングアプリにFREAK攻撃を用いることで、ユーザーのログイン情報やクレジットカード情報を盗むことが可能で、また、医療アプリや生産性アプリ、金融アプリなど、機密性の高いアプリが狙われることもある。
2015年03月25日カスペルスキーは3月17日、ボードゲーム形式でサイバー攻撃を体験・学習できる対サイバー攻撃演習サービス「Kaspersky Industrial Protection Simulation(KIPS、キップス)」の国内提供を3月20日より開始すると発表した。製造業や重要インフラ事業者などを対象に販売する。所要時間は約2時間で、最小催行人数10名、価格は30万円(税別)~。KIPSは、サイバー攻撃による重要インフラへの影響をボードゲーム形式で体験しながら、システムの運用上のリスクや投資に見合った有効な対策を学習できるサービス。これまでに米国、ロシア、マレーシア、英国など10カ国以上で提供しており、2015年2月には欧州原子核研究機構(CERN)で利用された。参加者は数名ずつのグループに分かれ、条件や指示が書かれた30枚のカードと決められた予算、作業時間を有効に使いながら、サイバー攻撃を受けている水処理施設を守るための効果的な対抗策を実施する。5週間の仮想期間内で最も高い生産高を維持したチームが勝ちとなる。ゲーム終了後には、どのような対応が適切だったのか、攻撃者のシナリオと各チームの打ち手を比べながら、参加者全員がゲーム上で発生した事象に対する考察と理解を深められる。試験提供での利用者からは「ゲーム形式で楽しく学ぶことができた」などのフィードバックがあったという。今後、発電施設などへのサイバー攻撃のシナリオを用意し、より専門性の高い重要インフラ事業者に演習の提供を拡大する予定だ。
2015年03月18日NECと同社の子会社であるインフォセックは3月16日、サイバー攻撃情報サービス会社の米Norse Corporation(以下、Norse)と提携し、サイバー・セキュリティ事業における重要な情報(サイバー・インテリジェンス)を強化すると発表した。NECは、情報とスピードを重視し先読みして対策を打つ「プロアクティブサイバーセキュリティ」の実現に向けて、攻撃者からの攻撃を先読みするサイバー・インテリジェンスの強化を進めているという。今回、Norseが独自に世界中に配置した数百万のセンサーからの情報を分析しリアルタイムに提供されるサイバー攻撃情報を、NECの収集情報に組み入れる。これにより、世界の幅広い攻撃者の行動パターンを分析し攻撃プロセスなどをいち早く検知する情報を提供する。インフォセックはNorseと全世界対象の1次代理店契約を締結し、まず、国内及びASEAN各国にNorseのサービスを3月16日から販売する。
2015年03月17日