サイバー攻撃は近年ますます巧妙になってきており、攻撃者は対策の隙を突き、ユーザーのシステムや端末に悪質なプログラムを潜ませるようになっている。攻撃側の地政学的な動機に加えて、データ主権やデータローカライゼーション、暗号化に関して各国の法規制が課す要件の食い違いが絡むことで、昨今のセキュリティ対策は国を越えてさらに複雑な様相を呈している。シスコシステムズは3月10日、こうした現状を踏まえ、高度化するサイバー攻撃から組織や企業を守るサイバーセキュリティ対策の現状と、最新のセキュリティソリューションについて、報道関係者に向けた説明会を開催した。○ますます高度化するIoT時代のサイバー攻撃とその対策企業は近年、セキュリティ対策への投資を強化しており、自社の策定したセキュリティ・ポリシーに多くの企業が自信を持っているという。一方で、実際にセキュリティ・ポリシーを運用していくうえではさまざまな困難があり、54%の企業が自社のシステムに公開されている脆弱性を引き続き抱えているという現実がある。さらに端末に関して言えば、Internet of Things(IoT:モノのインターネット)が進化を続けており、「つながっている」ことが当たり前の環境になってきている。デジタルインフラの成長はさらに加速し、2015年で約250億、2020年には約500億のスマートオブジェクトがネットワークにつながった状態になると予想されている。さまざまなサービスや機能が提供され利便性が増す一方で、これらのすべてが攻撃の対象となってくるため、時代に沿ったセキュリティ対策を講じていくことが急務である。こうした状況を踏まえて、シスコシステムズのセキュリティ事業部長 桜田仁隆氏は、今日のセキュリティ課題として、「急速に変革していくビジネスモデルへの追随」「新たな脅威への継続的な対応」「多様化する攻撃に対するさまざまな環境への適応」の3つを挙げた。また、「問題の本質を把握すること」「組織としてリスクを理解すること」「守るべき対象を明確にすること」「準拠すべき法令を理解していくこと」「どこに投資するべきか理解すること」といったサイバーセキュリティに関して重要となる5つの項目を挙げ、組織を上げてセキュリティ問題を解決していくことの必要性を説明した。○シスコが提言する新しいセキュリティモデルとその実現そうしたなか、シスコシステムズは、セキュリティの整備・堅牢化から、攻撃者侵入の防御・検知、侵入を許した際の対応までを包括的にサポートする新しいセキュリティモデルとして「BEFORE DURING AFTER」を提案。このモデルをベースとした多層制御を実現するセキュリティ製品群を用意している。BEFORE(整備・堅牢化)とAFTER(対応)のフェーズでは、ユーザーにとっての可視性を重視。セキュリティ・ポリシーの管理および制御プラットフォームである「Identity Services Engine(ISE)」を中心としたデバイスのネットワーク接続時点での状況を把握し、誰が何を使ってどこに行こうとしたのかを精査しつつ、マルウェアすらも見える化することで、次のセキュリティ投資に備えていくことができる。DURING(防御・検知)のフェーズにおいては、できるだけ未知の脅威を把握するための仕組みが必要となる。シスコシステムズでは、メールセキュリティアプライアンス「ESA」、Webセキュリティアプライアンス「WSA」、次世代ファイアウォール製品である「ASA with FirePOWER Service」、サンドボックスの機能を備えたマルウェア解析アプライアンス「ThreatGRID」のハードウェアに加え、マルウェア防御ソリューション「AMP」などのクラウドベースのソリューションも提供している。ISEを含め、これらの製品を連携させることで、多層制御の実現が可能となる。シスコシステムズ セキュリティ事業 テクニカルソリューションズアーキテクト 西原敏夫氏は、「こうしたさまざまなセキュリティ対策が1つの製品に集約されていればよいが、それは現実的に不可能。よって、複数の製品を併せて使っていくことになるが、管理の複雑さを軽減するために、できるだけプラットフォームをそろえ、単一の画面で管理できるような製品を開発していきたい」と述べた。
2015年03月11日カスペルスキーはこのほど、主要な標的型攻撃を視覚化するオンラインサービス「Targeted Cyberattacks Logbook」をWebサイト上で公開した。Targeted Cyberattacks Logbookは、カスペルスキーのグローバル調査分析チーム(GReAT)が調査、分析した29の主要なサイバー攻撃をブラウザで閲覧できるサービス。攻撃の関連性を画面上で把握できるほか、感染の地理的分布、マルウェアの拡散方法、サイバー犯罪者の標的、各攻撃の特徴など詳細な情報を表示できるのが特徴だ。攻撃は1つひとつが船の形で表示される。船の全長が長いほど活動期間が長い。船の航行によって生じる波は、カスペルスキーがマルウェアの検体を検知してから調査プロジェクトの結果を公開するまでの期間を現すほか、船の色は標的の数を示している。分類項目に該当する攻撃のみを表示するフィルターを搭載。例えば、民間企業の情報だけを狙った攻撃、特定の国で発生した攻撃、ある特定の手法を使った攻撃などに絞り込むことができる。サービス公開の経緯についてカスペルスキーは、「標的型攻撃のセキュリティインシデントが増加し、特別な注意が必要」と説明している。標的型攻撃の被害を受けた企業は、2014年に4400社(カスペルスキー調査)に上るという。
2015年02月13日トレンドマイクロは5日、同社のセキュリティブログで「Internet Explorerのゼロデイ脆弱性を確認、Universal XSS攻撃の危険性」を公開した。「いつ攻撃が始まってもおかしくない状況」とも述べ、警戒を呼びかけている。今回確認された脆弱性は、ユニバーサルクロスサイトスクリプティング(Universal XSS、UXSS)という攻撃を可能にするもの。不正に細工したURLにユーザーをアクセスさせることで、正規サイトの改変、認証情報の搾取、不正スクリプトの実行、別の不正サイトへ誘導、といった攻撃ができるという。具体例としては、「より巧妙なフィッシングサイト」を挙げている。攻撃用のURLにアクセスすると、ネットバンキングなど正規ドメインにアクセスしているように見せかけつつも、攻撃者に対して認証情報などを送信してしまう。通常のフィッシングサイトは「偽ドメイン」上で行われるのに対し、ユニバーサルクロスサイトスクリプティングを悪用した攻撃は「正規ドメイン」上で成立する。トレンドマイクロによれば、2015年2月4日の時点では、今回のIEゼロデイ脆弱性を用いた攻撃は確認されていないとのこと。ただし攻撃に応用できる「概念実証コード」はすでに出回っており、冒頭のように「いつ攻撃が始まってもおかしくない状況」としている。また、攻撃者は「ユーザーに不正なURLをクリックさせる」必要があるため、不審なメールやWeb上の書き込みにあるURLを安易にクリックしないことが重要と、警戒を呼びかけている。なお、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」を使用中のユーザーは、以下のフィルタを適用することによって、今回のIEゼロデイ脆弱性を悪用した攻撃から保護されるとしている。1006472 - Microsoft Internet Explorer Same Origin Policy Bypass Vulnerability
2015年02月06日これまで、DNSキャッシュポイズニング攻撃やDNSサーバーを踏み台にしたDDoS攻撃について個別に説明してきました。今回は連載の最後として、その他の注目すべき攻撃について解説していきます。○DNSサーバーの乗っ取り問題2013年8月に、シリアのアサド大統領を支持するハッカー集団「シリア電子軍」が、Twitterを含む大手WebサイトのDNSサーバーの情報を書き換えて、サービスを停止させるという事件がありました。この事件では、シリア電子軍が直接サイトを狙ったわけではなく、各サイトが利用していたドメイン登録業者(レジストラ)へ不正アクセスを行い、DNSサーバーの情報を書き換えました。シリア電子軍は、2014年11月にも類似した手法を用いて日本も含む大手サイトで共通で利用されていたソーシャル構築サービスを狙い、各サイトに「シリア電子軍」の画像をリダイレクトさせるという事件を起こしています。また、日本レジストリサービスが2014年9月~10月にかけて、国内で複数の「.comサイト」がドメイン名の登録情報を不正に書き換えられた「ドメイン名ハイジャック」の被害を受けたと注意喚起を行いました。このドメイン名ハイジャックもシリア電子軍と同様で、直接攻撃対象のサイトを狙っていません。ドメイン名を運用するための一連の仕組みのどこかで不正を行って、攻撃対象のDNSサーバーの情報を書き換え、さらに悪意のある偽サイトへユーザーを誘導しています。これまでのサイト乗っ取りや偽サイトへの誘導は、「シリア電子軍」のように特定のメッセージを発信することを目的するケースが一般的でした。しかし、ドメイン名ハイジャックのように誘導先の偽のサイトから閲覧者に対してマルウェアを配布するケースなど、悪意を持った攻撃も今後増えてくることでしょう。こうした間接的なDNSサーバーの乗っ取りを防ぐことは困難を極めます。その上でIT担当者は、なりすまし被害により間違った情報をドメイン登録業者に送らないようにセキュリティ対策を万全にすることが求められます。また、一部のドメイン登録業者では、「レジストリロック」という意図しない情報の書き換えを防ぐシステムも利用できます。○トップレベルドメインの名前衝突問題日本ネットワークインフォメーションセンター(JPNIC)は2014年6月、トップレベルドメイン(gTLD)の急増に伴って、DNSにおける「名前衝突」と呼ばれるセキュリティリスクについて注意を呼びかけました。トップレベルドメインとは、DNSの仕組みにおけるドメイン名をドットで区切った際の最後のコードを指します。トップレベルドメインは、世界で共通で登録できる分野別のドメイン「gTLD(ジェネリックトップレベルドメイン)」と、全世界250以上の国や地域に割り当てられる「ccTLD(国コードトップレベルドメイン・日本の場合は「.jp」)」に分けられます。現在、世界のトップレベルドメインを管理するICANNが、企業・組織からの申請を受け、新しいgTLDの追加を進めています。日本でも「.tokyo」や「.みんな」などの新しいドメインが運用開始されました。新しいgTLDは最終的に1000以上追加されるとみられていますが、それに伴って新たに発生した問題が「名前衝突」です。「名前衝突」とは、組織などの閉じられた内部ネットワーク内で運用していた「存在していないと思っていたドメイン(この内々で使われているドメインを勝手gTLDと呼びます)」と、新しいトップレベルドメインが一致し、結果として通信が衝突してしまうという問題です。この名前衝突が起こると、内部ネットワークの通信が外部との通信に置き換えられて、DNSサービスが停止し、意図した相手との通信ができなくなったり、意図しない相手と通信をしてしまい、情報漏えいを引き起こす可能性があります。こうした名前衝突の問題を回避するためには、企業のネットワーク管理者が内部利用目的のドメイン名を使わずに、公開されたドメイン名を利用するよう、ネットワークの設定やシステムを修正することが求められます。また、エンドユーザーがプライベートなネットワーク内で内部目的用に勝手gTLDを使用していたり、ネットワーク機器でもアクセス誘導目的で勝手gTLDが利用されていることもあるため、ISP事業者やネットワーク機器のベンダーも注意する必要があります。○DNS ソフトウェアの脆弱性を突く攻撃BINDというDNSサーバーを実装、運用するための有名なソフトウェアがあります。BINDはフリーソフトウェアとしてソースコードが公開されており、世界のDNSサーバーの大半で用いられているとみられています。このBINDは影響力の高い脆弱性がたびたび発見されています。そして、つい先日の2014年12月9日にもBINDを含むDNSソフトウェアにDoS攻撃を引き起こす脆弱性が見つかっています。対策としてはOSなどと同様に、脆弱性が修正された最新バージョンに都度アップデートを行うことです。○DNSサーバーへの攻撃に対抗するにはこれまでの連載で様々なDNS関連の攻撃について解説してきました。いかにDNSサーバーへの攻撃が多彩で影響力が大きいか、分かっていただけたでしょうか。これらの攻撃は、DNSの仕組みにおける多くの脆弱性を利用した、比較的技術レベルが高くない攻撃者であっても容易に攻撃できるものが多く見られます。ただ、危険だからといってDNSを切り捨てるかというと、DNSはインターネットを支える重要なインフラとして既に根付いているため難しいでしょう。これからもDNSを狙った新しい攻撃は次々と出てくると思われます。それを防ぐにはまず、DNSサーバーを管理するネットワーク管理者のみならず、ユーザーにおいてもDNSが狙われやすい仕組みと認識して、日々セキュリティトピックについて目を光らせ、素早く対応することです。また、DNSへの攻撃に対抗するためのセキュリティソリューションを構築することも重要です。DNSを狙った攻撃は次世代ファイアウォールやエンドポイントのセキュリティソリューションでは対応しきれないことが多いため、DNSに特化したセキュリティソリューションや、DNS関連の攻撃も防ぐことができるソリューションを利用することが求められます。また、DNSソフトウェアの最新のバージョンアップに保つことも重要です。商用DNSベンダーの中には、DNSのセキュリティ機能を独自に提供している所もあります。管理がし易く、高度なセキュリティ機能を持った専用アプライアンスを検討しても良いでしょう。繰り返しとなりますが、DNSの情報を扱う各システムにおいては、通常よりもより強固な脆弱性対策・情報漏えい対策が必要となります。○三好 慶太 Infoblox トレーナーSEDNSやDHCP、IPアドレス管理の専用アプライアンスを提供するInfobloxでプリセールス支援とトレーニングを担当するトレーナーSE。航空会社や通信事業者でのプロジェクトマネージャー、外資ストレージベンダーを経て2010年7月より現職。現在は自社のDNSセキュリティ製品を広く知ってもらうべく奔走中。
2015年01月09日ラックは12月16日、「日本における、標的型サイバー攻撃の事故実態調査レポート」を公開した。レポートは、特定の企業や組織を狙った「標的型攻撃」について、国内で実際に発生した約80件の実例を調査・分析し、判明した事実を解説したもの。併せて、複数の標的型攻撃の関連性についても解明を紹介している。具体的には、ラックが調査した約80件の標的型サイバー攻撃の被害事案をもとに、技術的なポイントと攻撃者の攻撃手法の傾向、事案間に共通して見られる事実を解説している。攻撃に使われるツールは、一般的に流通していないものや流通するツールをカスタマイズしたもので、ウイルス対策ソフトによる検出を回避しようとする意図が見て取れる。また、最新の攻撃手法も常に取り込んでいることがうかがえるという。また、複数の標的型サイバー攻撃の痕跡から、同一の攻撃者が異なる企業を同時に狙っている傾向がある。標的型攻撃を受けた複数の企業を調査することでわかった。発見したマルウェアは、通信先コンピュータのIPアドレスなどが、既に調査済みの事案のものと同一だったことから、感染原因も同一であると類推。早期解明につながったケースもあったという。
2014年12月18日アカマイ・テクノロジーズは12月16日、グローバルネットワーク拡張の一環として、日本に新たなスクラビングセンターを開設したと発表した。DDoS攻撃の発生源に近い位置で大容量のリージョナルDDoSスクラビングセンターを運営することは、アカマイの対DDoS戦略の基盤となっている。過去18か月間に渡り、アジア太平洋地域を発生源とするDDoS攻撃が増加しており、10月23日に発表されたアカマイの「インターネットの現状」セキュリティレポートに記載されているように、2014年第3四半期もこの傾向が続いた。クライアントのウェブサイトに対する分散型サービス妨害(DDoS)攻撃が検出されると、そのサイトの全トラフィックが1か所以上のアカマイのグローバル展開されたスクラビングセンターに転送され、悪質なトラフィックが「スクラビング(除去)」された後、クリーンなトラフィックがクライアントのネットワークに転送される。このクラウドベースのシステムを使用して、アカマイはDDoS攻撃を軽減し、業務を大きく混乱させることなくクライアントのウェブサイトを正常な状態に戻すことができる。アカマイのセキュリティビジネス部門バイスプレジデントであるジョン・サマーズ(John Summers)氏は、「10月初旬に日本に開設された新たなスクラビングセンターはすでに多くのDDoS攻撃トラフィックを除去し続けている。日本にこの新たなスクラビングセンターを配置することにより、より多くのクライアントがアカマイのスクラビングセンターでDDoS対策をとることができるようになる」と述べている。同社は、2015年に2か所の新たなリージョナルスクラビングセンターの運用を開始することにより、ネットワーク容量の拡張を続ける。1つはアジア太平洋地域、もう1つはヨーロッパ、中東、およびアフリカ地域での開設を行なう。
2014年12月17日SCSKは12月8日、Lastlineの標的型攻撃対策サービス「Lastline」を同日から提供開始すると発表した。「Lastline」は高度な攻撃を検知し、外部との不正な通信をブロックする標的型攻撃対策サービス。標的型攻撃に使われる高度なマルウェアを独自のナレッジによって分析し、その挙動を高精度に把握することができる。主な特徴として、マルウェアそのものを詳細に分析する「Full System Emulation」により、標的型攻撃に利用される複雑な攻撃手法を高精度に把握する。導入形態はクラウド型、オンプレミス型から選択が可能で、「Lastline」のクラウド版は、接続しているユーザー数に対する課金のみで、オンプレミス版もユーザー数課金と分析エンジンの初期ライセンス費用のみで、次年度以降の保守費用は発生しない。なお、価格は個別見積りとなっている。
2014年12月08日ファイア・アイは11月25日、ロシアのハッカー集団による高度なサイバー攻撃「APT28」の説明会を東京都内で開催した。APT28のターゲットはロシア当局にとって利益となるような相手国の政府や軍、安保組織で、それらの内部情報を収集していた。具体的には、ジョージア国(旧グルジア)やポーランド、NATO、欧州安全協力機構(OSCE)などが挙げられる。これらの攻撃者は日本での展開が多く見られる「経済的利益」を目的としている標的型攻撃とは異なり、従来の「インテリジェンス活動」と同じスパイ活動を行っている。マルウェアは長期間にわたって計画的に進化、発展しており、古くは2007年から活動。感染したシステムの環境に最適な外部との通信を行っており、マルウェア解析を回避する技術も実装していたという。多くのマルウェアは、コア部分がロシア語環境で作成されたとみられる痕跡があり、作成された作業時間もロシアの業務時間であったケースが多かった。このことから、モスクワを拠点としており、政府の支援を受けている可能性が高いとファイア・アイは分析している。同社はまた、「具体例として挙げた各国と武力衝突があった時期にサイバー攻撃も活性化している」とする。これは2008年8月のロシアとグルジアの武力衝突や、2014年6月のバルト海域におけるNATOとロシア双方の軍事演習、同6月~9月におけるウクライナやジョージア、モルドバにおける連合協定やロシアの軍事行動など、それぞれのタイミングでスピア・フィッシングメール攻撃や偽造ドメインの展開などが積極的に行われていた点を理由としている。具体的な攻撃では、軍組織の偽サイトを構築し、ログイン情報を盗み取ろうとしたほか、軍事行動の内情を伝えるジャーナリストすらもターゲットになっていたという。こうした地政学的な問題を誘発する出来事に合わせて、APT28のマルウェアは進化・発展を遂げており、ファイア・アイは「日本周辺でもこの種の攻撃が表面化していない潜在した状態で存在している可能性を否定できない」としている。実際に、緊急対処支援において表面化したサイバー攻撃への対処として現場で事実解明を行うと、その攻撃に関係する潜在化している事象を数多く確認できるようになっているという。今後のサイバー攻撃では、消極的な姿勢が検知に繋がることは難しいため、「これまで以上に積極的な姿勢で検知することが求められる」としている。○綿密に攻撃計画を練る政府を狙った攻撃説明会にはファイア・アイの最高技術責任者(CTO)の名和 利男氏が登壇。名和氏は11月1日付でCTOに就任しており、以前は航空自衛隊でセキュリティ担当として業務に従事していた。名和氏は欧州側で地政学的な動きが起きるたびにサイバー攻撃が活発化している状況を踏まえ「日本でも潜在的な事象はすでに存在している可能性が否めない」と指摘。中国や北朝鮮などの練度が低いサイバー攻撃ではない「高度な攻撃がすでに起こっている」という。ただ、どこの組織の攻撃か特定するにはエビデンス(証拠)に乏しいとしており、今後さらなる分析が必要だと話す。「決してロシアに限った話ではなく、他の国や個々人から日本政府に対する攻撃は存在している。今回のサイバー攻撃については、会社の枠を超えて情報共有をセキュリティベンダー同士が行っている。ただ、経済的利益が得られるような攻撃ではなく、政府の機密情報を狙った攻撃は、官民連携だけではなく、官官連携(政府や省庁同士の連携)が必要」(名和氏)とのことで、民間企業を狙う「数撃ちゃ当たる戦法ではない慎重に時間をかけて侵入する」という攻撃の対策の重要性を説いていた。
2014年11月25日独立行政法人情報処理推進機構(IPA)は21日、標的型サイバー攻撃の手口の一つ「やり取り型」攻撃が国内の複数の組織で確認されたとして、注意を喚起した。2014年8月から10月にかけ発生したもので、従来よりウイルスに感染させるための「やり取り」が巧妙さを増しているという。「やり取り型」攻撃とは、一般の問い合わせなどを装う無害な「偵察」メールのやり取りの後で、ウイルス付きのメールを送信してくるサイバー攻撃。受信者が返信すると、辻褄を合わせた会話を続けながら、ウイルス付きの添付ファイルを送付し執拗に感染を試みることが特徴。IPAでは、「やり取り型」の攻撃手口を2011年7月に最初に確認。2012年以降も断続的に発生していたが、直近1年ほどは同様の攻撃を確認していなかった。だが、2014年8月から10月にかけ、国内の5組織に対し同等の攻撃が計7件発生したことを新たに確認した。8月に発生した攻撃では、メールの送信元IPアドレスが2012年7月の攻撃と一致しており、添付ウイルスも類似していたことから、IPAは同一の攻撃者が数年に渡り国内組織へ攻撃を繰り返していると推測している。8月から10月にかけ確認された「やり取り型」攻撃の特徴としては、「外部向け窓口が狙われる傾向がある」「状況に応じてウイルスの形態を変化させる」「辻褄の合う会話を行う」「少数の宛先に送る」「パスワード付き圧縮ファイルを使う」など。IPAは対策として、実行形式のファイルなど不審なファイルを開かないこと、ウイルス対策ソフトウェアを最新状態に保つことなどに加え、「攻撃の手口を企業全体で認識、注意する」「不審メール受信時の連絡や情報共有・体制を整備する」「部からの不審な添付ファイルの安全な確認方法を検討する」などを推奨している。
2014年11月21日NECは11月19日、サイバー攻撃に対して、先読みして対策を打つ「プロアクティブサイバーセキュリティ」を実現するソリューションとして、社内ネットワークに接続されているサーバやPCなどの機器をリアルタイムで集中管理する「セキュリティ統合管理・対処ソリューション」と、サイバー攻撃に関する情報とその対処法などを即座に提供する「脅威・脆弱性情報管理ソリューション」という2つのソリューションを2015年度第1四半期から販売すると発表した。「セキュリティ統合管理・対処ソリューション」では、リアルタイムでの「構成管理」「対象特定」「対策実施」という3つのステップの自動化が可能だという。構成管理では、個々のICT機器の脆弱性の有無をリアルタイムに把握し、構成情報として、見える化を実現。対象特定では、脆弱性などが顕在化した場合、構成情報をもとに対策が必要な機器を即時に特定。対策実施では、対象特定で特定された機器に対して、必要に応じて「対策方法の通知」「修正ファイル適用」「ネットワーク切断」などの対策を実施する。一方、「脅威・脆弱性情報管理ソリューション」では、NECの専門家による分析に加え、世界各地で検知された脅威情報や発見された脆弱性情報などを迅速に収集し、NECの経験に基づく対処情報を加え、即座に提供する。
2014年11月19日Trend Microは11月4日(米国時間)、「脆弱性「Shellshock」を利用した新たな攻撃を確認。SMTPサーバを狙う|トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)」において、bashのセキュリティ脆弱性(通称:Shellshock)を悪用したSMTPサーバの攻撃を確認したと伝えた。件名、送信者、宛先、CCなどにShecllshock脆弱性を利用する不正コードを指定することで、攻撃が行われると説明されている。SMTPサーバが脆弱性を抱えていない場合でも、SMTPサーバ経由で実行されるソフトウェアとしてbashが利用されるなどしてShellshockが悪用される可能性もあるという。Trend Microは、今回の攻撃に関連したすべてのIPおよびドメインをブロックすることを推奨している。Shellshockはbashにおいて発見された脆弱性だ。環境変数に特定のコードを指定するだけで、bash起動時に任意のコマンドが実行されるという脆弱性で、システムシェルとしてbashが使われている場合など、広範囲にわたって影響があると見られている。環境変数はプロセスのfork(3)によってコピーされるため、間接的に問題のある動作が発動する可能性がある時は注意が必要。
2014年11月06日シマンテックは10月23日、この1月~8月の間、DDoS攻撃(分散サービス拒否)が増えているとブログで明らかにした。DNSサーバーを踏み台にしてDDoS攻撃を仕掛ける「DNS増幅攻撃」の数は、前回の調査より183%増加しており、シマンテックが運営するセキュリティ動向を調査する「Global Intelligence Network」で最も多く確認された手口だったという。第1四半期に多かったのは、NTP(Network Time Protocol) を利用した手口。これは、対象となるサーバーの多くでアップグレードや設定変更が実施されたためだと考えられるという。現在は減少傾向にあり、被害は沈静化している。また、「SNMP v2(簡易ネットワーク管理プロトコル)」「SSDP(簡易サービス発見プロトコル」など、攻撃者が新たなプロトコルを試すケースが増えているという。さらに、UnixサーバーではBashのShellShock脆弱性を悪用した攻撃が増えている。攻撃者は、UnixサーバーにDDoS スクリプトをインストールしておくことで、DDoSスクリプトや悪質なELFファイルがダウンロードされるとDDoSボットネットが構築される。DDos攻撃は複雑化し、複数の手法を組み合わることが多い。例えば、特定の標的を狙う際に、DDoS攻撃をして注目を集めさせている間に、本来の目的である別の攻撃をする事例もあったという。今後もDDos攻撃が減少する見通しはない。アンダーグラウンドのフォーラムでは、DDoS攻撃サービスが10ドル未満で取り引きされているのが現状だ。11月5日のガイフォークスデイには、サイバー犯罪集団のアノニマスが「Operation Remember」と称して攻撃活動を行うと発表しているなど、多数のDDoS攻撃が実行される可能性があるとしている。
2014年10月24日米Appleのクラウドサービス「iCloud」がサイバー攻撃を受けたことが確認された。New York TimesやWall Street Journalなどの複数の海外メディアがこれを報じる一方、Appleも同社のWebサイトで声明を発表している。報道によると、iCloudの中国ユーザーが中間者攻撃(Man-In-the-Middle)を受けて、不正アクセスを受けたという。Appleは同社のiCloudのサポートページで、「われわれは、ユーザーの情報を得ることを目的とした、不正な認証を悪用した組織的な攻撃を認識している」と述べている。同社によると、iCloudのサーバはこの攻撃の影響を受けておらず、OS X YosemiteでSafariによってiCloudにサインインすれば問題ないという。さらに、iCoudのサイトはデジタル証明書で保護されているので、Webブラウザに無効な証明書の警告が出た場合はApple IDとパスワードを入力しないよう警告している。正規のiCloudのサイトにアクセスしている場合、Webブラウザのアドレスバーの左端に表示される鍵マークが緑色になっている。中国の監視団体「GreatFire.org」は、中国政府がiCloudiCloudに保存されているデータを窃取するため、中間者攻撃を行っていると指摘しており、Appleにコメントを求めるためメッセージを送っているという。なお、Appleは攻撃者について触れていない。
2014年10月23日NTTソフトウェアは、Webサイトをサイバー攻撃の脅威から守るセキュリティサービス「TrustShelter(トラストシェルター)」の発売を11月4日から開始すると発表した。近年、改ざんやウイルスの埋め込みなど、Webサイトに対する攻撃が増加しており、2014年上半期で2000件を超すWebサイト改ざんの被害届けがJPCERTコーディネーションセンターに提出されている。特に、最近のサイバー攻撃は技術的に複雑化・巧妙化が進み、次々と新しい攻撃が出現し、IT担当者には大きな負担となっている。このような背景から、NTTソフトウェアは「TrustShelter」として、Webサイトのセキュリティ対策に必要なサービスの販売を開始する。このサービスは、Webサイトの「攻撃遮断」と「改ざん検知」「セキュリティ診断」をクラウドサービスとして提供。サービスで用意している3つの対策メニューの中から、セットでの利用または必要なメニューを選択する。
2014年10月17日bashのセキュリティ脆弱性(通称:Shellshock)の影響はいまだとどまることなく、さらに広がりを見せている。この脆弱性を攻撃する手法としてすでにHTTPやDHCPが知られているが、新たにDNSの逆引きを利用する方法が発見された。さまざまなメディアで報道されているが、例えばFull Disclosureに掲載された「Full Disclosure: CVE-2014-3671: DNS Reverse Lookup as a vector for the Bash vulnerability (CVE-2014-6271 et.al.)」などが興味深い。スレッドで、この問題について詳しく解説されている。DNSの逆引きの結果として「() { :;}; echo CVE-2014-6271, CVE-201407169, RDNS」といったShellshockを悪用する文字列を返すようにDNSサーバを設定した場合、システムおよびDNSソフトウェアの実装の組み合わせによっては、逆引きを実施したソフトウェアにこの文字列がそのまま返ってくるものがある。逆引きを利用したソフトウェアが、例えばこの文字列をREMOTE_HOSTといった環境変数として設定し、そのあとでexec系のシステムコールが実行された場合、Shellshockを突いてこのコマンドが実行されることになる。公開されたドキュメントでは、Mac OS XがShellshockの影響を受ける可能性があると指摘している。Red Hat Enterprise Linux、CentOS、FreeBSDといったOSはこうした影響を受けないといった指摘もあるが、今後影響を受けるシステムは増える可能性があり、関連したベンダーやプロジェクトの発表は気にかけておく必要があるだろう。
2014年10月16日ラックが9月29日に、自社へのサイバー攻撃・ウイルスの侵入状況を「脅威分析情報」として公開すると発表した。企業では隠されることが多いサイバー攻撃の被害状況・ウイルスの侵入ルートを、積極的に公開する新しい試みだ。会見では、まず緊急情報として、GNU Bashの脆弱性(Shell Shock)をとりあげた。ラック取締役最高技術責任者の西本逸郎氏は「GNU Bashの脆弱性は、最高ランクの脅威度。Linuxの基本システムで利用されているシェルであり、ほぼすべてのディストリビューションが影響を受ける。サーバーはもちろんのこと、組み込み機器、ルーターなどにも組み込まれている可能性があるので注意が必要だ」と述べた。世界的に問題になっているGNU Bashの脆弱性だが、ラックの監視センター・JSOCでも「26日の時点で、この脆弱性を狙った複数件の攻撃を確認している。Webサーバーの乗っ取りを試そうとして失敗した痕跡がある」とのこと。西本氏は「今後、攻撃が増加すると予測される。深刻な自体につながる可能性があるので、可能な限り広い範囲に対策の必要性を伝えてほしい」と注意を促した。GNU Bashuの脆弱性についての注意喚起は、IPAが最新の情報を「更新:bash の脆弱性対策について(CVE-2014-6271 等)」でまとめているので参考にしてほしい。○企業はスパイ系のセキュリティ被害を隠すことがほとんど。ラックでは公開して注意喚起へ西本氏は昨今のスパイ系セキュリティ被害の状況について「官公庁や防衛産業など以前から標的となっている組織は、対策が進んで検知・防御できるようになった。しかし中小企業・開発会社など一般的な組織はまだ甘い。官公庁や防衛産業などに進入するための手段として、中小企業が開発会社がなどがターゲットにされている」と述べた。一般企業でも、高度なスパイ対策が必要だが、意識がそこまで至っていないのが問題だとしている。スパイの実態を知らせることができれば、一般企業への啓発にもなるが、実際には「高度なセキュリティ対策を実施している組織が、その実態を世間に公開することはあり得ない」と西本氏は分析している。実際に様々な企業で不正アクセス事件が起きているが、その詳細な手口が公開されることはほとんどない。自社の信頼性やブランド価値が落ちることを恐れ、具体的な事故情報が公開されることはなかった。そこでラックでは、自社に対するサイバー攻撃の侵入方法を具体的に公開することを決めた。「失敗事例があれば学ぶことができる。しかしどの企業もも自分の『失敗』を知らせようとはしない。それならラックがやろうと。社内の反対もあったが、うちがやられなければ、どこがやるのか?と説得して公開することにした」と、西本氏は述べた。○FireEyeなどによる「脅威分析情報」をウェブサイトで広く公開具体的には以下の様な形で情報を収集・公開する。ラックのシステム管理部門を、今までの運用保守だけでなく、新事業サービス化への実験台として検証評価をする「スマート・ビジネス・ファクトリ」として強化するサイバー攻撃への防衛体制としては、高度なマルウェア対策ができる「FireEye」、IDS/IPS、ファイアウォールの活用による出口対策などを行う侵入監視を国内最大級のセキュリティ監視センターJSOCが行う検知したサイバー攻撃を、ラックのサイバー救急センターが分析・公開する一言でまとめるとすれば「ラックの社内システムを実験台として動かし、サイバー攻撃の被害状況を公開する」。この中でも特に注目なのは、FireEyeによる監視だろう。新設されたラックのスマート・ビジネス・ファクトリで統括マネージャを務める犬塚正典氏は「8月からFireEyeを導入した。ふるまい検知でマルウェアを発見できるFireEyeを活用して、侵入方法などを知らせていく」と語る。FireEyeは大企業や官庁などで導入されているマルウェア対策システムで、シグネチャ方式ではなく、疑わしいふるまいを検知し防御するもの。FireEyeによる具体的な検知結果が公開されることはあまりないため、他の企業にも参考になりそうだ。○スパイウェア感染・水飲み場攻撃の事例を公開今回の発表に合わせて、2件の具体的な被害の事例が公開された。ラックのウェブサイト「注意喚起情報・脆弱性情報」で見ることができる。社内のPCでスパイウェア感染。外部への通信を捕捉ラック社内のパソコンに「SaveitKeep」というアドウェアと思われるものがインストールされており、国外のIPアドレスに向けて接続が行われていた。FireEye NXシリーズが検知したもの。PCから削除することによって事態を解決した。改ざんされたサイトでの水飲み場攻撃検知FireEye NXシリーズが不正なURLを検知。jpドメインの正規サイトが改ざんされており、不正なサイトに誘導しようとしていた。ラック社員が訪問してもおかしくないサイトで、いわゆる水飲み場攻撃の手口だった。社内PCのマルウェア感染はなかったという。これらの状況は「セキュリティ会社でさえ、PCがスパイウェアに感染していた」といえる。これを公開することは、セキュリティ企業としては勇気のいることだろうが、「ラックでも被害に遭う。一般企業ではさらに危険だ、という警鐘になればと思う」と西本氏は述べている。今後もラックの社内でサイバー攻撃の被害が出た場合は、「脅威分析情報」として公開される。マルウェアの具体的な手口や、被害の原因がハッキリとわかるので、セキュリティ担当者は注目しておきたい。。
2014年09月30日Trend Microは9月26日、「bashに存在する「Shellshock」脆弱性を利用した攻撃を確認、『BASHLITE』へ誘導」において、先日発覚し広く知られるようになったbashのセキュリティ脆弱性(通称ShellShock)を利用したマルウェアの感染を確認したと伝えた。この攻撃はShellShockの発表があってから数時間後に確認されたという。攻撃者はShellShockのセキュリティ脆弱性を利用してマルウェアをサーバに感染させる。マルウェアは「ELF_BASHLITE.A」または「ELF_FLOODER.W」として検出されるとされており、DDoS攻撃に使用されるという。またこれらマルウェアは総当たり攻撃でパスワードを推測する機能も備えているとされている。Trend Microの報告は多くの示唆に飛んでいる。今回のbashのセキュリティ脆弱性ShellShockを使って実際にWebサーバにマルウェアを感染させることが確認されたのは、今後広域に渡ってこの攻撃が使われる可能性を示唆している。Linuxディストリビューションの多くはbashを/bin/shとして使っていたりユーザのログインシェアとして使っているため、進入される危険性が高い。古いバージョンのまま運用されているLinuxサーバはかなりの数になることから、ボットネットの構築や踏み台としての利用など、セキュリティ脅威で利用されるプラットフォームとしての利用が推測される。bashや、bashを利用したソフトウェアを動作させているオペレーティングシステムを使っている場合には、ベンダやプロジェクトの発表に注目するとともに、アップデート版が提供された場合には迅速にアップデートを適用することが推奨される。また、回避方法やセキュリティの強化方法などが提示された場合には、そういった手法の適用検討を実施することも推奨される。
2014年09月29日シマンテックは9月25日、都内で「Webサイト攻撃の傾向と対策に関する記者説明会」を開催した。説明会では、シマンテックのTrust Servicesプロダクトマーケティング部上席部長の安達 徹也氏が、増え続けるWebサイト攻撃の手口と、対策としてクラウド型のWAF(ウェブアプリケーションファイアウォール)のレクチャーを行った。安達氏によると、個人情報漏えい事件が多発しているものの、最近目にすることの多い内部犯行よりも、ハッカーによる外部犯行が多いという。そのため、「企業にとっては、外部からのWebアプリケーションに対する攻撃対策を再優先にすべき」と話す。Webサイトへの攻撃は上のグラフのように年々増えている。理由はWebサイトが脆弱性を抱えているため。シマンテックの調べによれば、77%のWebサイトには何らかの脆弱性があり、そのうち8サイトに1サイトはパッチ未適用の重大な脆弱性があった。犯人の攻撃の目的は、政治目的などの「ハクティビズム」、技術力のある人物による「愉快犯」もあるものの数は限られており、もっとも多いのは「金銭目的」となっている。○WAFによる攻撃検知シマンテックでは、国内657サイトに設置したクラウド側WAF(ウェブアプリケーションファイアウォール)での攻撃データを分析している。攻撃の手口は複数あるものの、いずれも2013年後半から攻撃数が上昇している。これは犯人側の狙いもあるだろうが、安達氏は「Webアプリが増えているのに対して、開発者は足りない状況。手が回らずに作りが甘いものがあり、結果として攻撃が多くなっているのかもしれない」と述べた。犯人がWebサイトを改ざんする理由は、不正送金などのマルウェアを埋め込むため。脆弱性を突く攻撃で改ざんし、オンラインバンキングなどの不正送金マルウェアを埋め込む。ドライブ・バイ・ダウンロードで被害者が感染し、オンラインバンキングが乗っ取られて不正送金されてしまう。安達氏は「Webサーバー側が被害を受けるだけでなく、閲覧者・利用者も被害を受ける。Webサーバー側が攻撃に加担することになるので、対策が重要だ」と述べた。○もっとも目立つのは「SQLインジェクション」と「PHP脆弱性」Webサイト攻撃で、もっとも多いのは「SQLインジェクション攻撃」だ。SQLインジェクション攻撃とは、入力欄に特殊な構文を入れることで、本来見せてはいけない部分を見せてしまう脆弱性を狙ったもの。本来ではデータであるはずの文字列が、SQL文として認識されて、不正ログインが可能になってしまう。SQLインジェクション攻撃は古くからある手法だが、Webアプリが増えたことからSQLインジェクション攻撃も増えている。データベースのすべて情報が漏れる可能性があり、顧客情報だけでなく、管理者情報(パスワード)を入れていた場合は、サーバー全体を乗っ取られる危険性もある。犯人にとって、SQLインジェクション攻撃は効率的な攻撃方法だ。と言うのは、検索エンジンで脆弱性のあるサイトを探せるため。具体的にはPHPエラーメッセージを検索することで、脆弱性があるサイトかどうか推測できる。エラーメッセージ自体は脆弱性ではないが、作りが甘いことがわかるために攻撃の手がかりとなってしまう。またSQLインジェクション攻撃のツールは、ネット上で配布されており、簡単に入手できることも攻撃が多い要因となっている。次に目立つ手口は「PHP脆弱性」だ。Webページに特化したスクリプト言語・PHPの脆弱性を狙ったもので、古いバージョンが使われている、エラーメッセージが拾える、技術者レベルのばらつきが多いことなどが、狙われる理由となっている。PHPは世界中でで使われているため、日々新たな脆弱性が発見されていることも理由の一つだ。この他、外部からファイル名を細工して攻撃する「ディレクトリトラバーサル」、データ入力時のパラメータに命令文を紛れ込ませる「コマンドインジェクション」などの攻撃を検知している。Webアプリへの攻撃では、「Apache Strutsの脆弱性」を狙うものが、2014年4月以降増えている。安達氏は「お客様からの問い合わせでもっとも多いのが、『Apache Strutsの脆弱性は、WAFで対策できるのか?』というもの。Apache Strutsの脆弱性への対策に困っている担当者が多いようだ」と述べた。Apache Strutsは、JavaでWebアプリケーションを開発する際に用いられるアプリケーション・フレームワーク。Webアプリの基盤となるものだけに、脆弱性の解消がとても難しくなっている。安達氏は「脆弱性を解消するのが難しい場合は、WAFによる対策が有効だ」と説明している。○WAFの利点は「設置が簡単で早い」「低コスト」安達氏は「Webアプリケーションの改修には、予算取得が難しい、開発者確保が困難といった事情がある。そのため危険性の高い脆弱性でも放置されていることが多い」とした。IPAに調査によれば、脆弱性の修正に91日以上かかったサイトが、全体の3分の1にものぼっている。そこでシマンテックが勧めているのが、クラウド型WAFの導入だ。Webアプリケーションをそのままに、攻撃の検知・防御ができるため、サーバー側のシステムは変更する必要はない。また、短期間で導入が可能となっている。例えば、シマンテックのクラウド型WAFでは、DNSを書き換えて、すべての通信をシマンテックのセンターを通す形にする。この方法では、DNSを書き換えるだけで済むので短期間で導入できる。最短で1週間程度とのことだ。また、WAFの運用や、不正な攻撃を検知するシグネチャ更新は、クラウド側で対応できるケースが多く、専任の運用担当者を置く必要がない。このメリットは、攻撃の検知・防御面でも生かされており、SQLインジェクションや、Apache Struts脆弱性、ディレクトリトラバーサル、XSS脆弱性やパスワードリスト攻撃といった多岐にわたる攻撃を検知・防御が可能となる。クラウド型のメリットは、当然のことながらアプライアンス型のWAFよりもシンプル、低コストである点も挙げられる。クラウドサービスなどにサービス運用を分散させている場合でも、その手前にWAFを置くことになるためシンプルになる。安達氏はこれらのクラウド型WAFのメリットを挙げた上で、「Webアプリケーションの開発者が枯渇しているため、開発者をセキュリティ対策に向けられないという事情がある。クラウド側WAFを入れれば、開発者を動かさずにセキュリティ対策ができる」とした。○改ざんされた「はとバス」はクラウド型WAF導入により17日で復旧クラウド型WAFの利用事例がいくつか紹介された。その中で注目すべき点は「はとバス」の事例だ。はとバスのWebサイトは、3月にサイト改ざんの被害を受け、閲覧者にウイル感染被害が出た。はとバスではサイトを閉鎖し、早急なセキュリティ対策を検討する中で、シマンテックのクラウド型WAFを導入した。このクラウド型WAFによって、はとバスのWebサイトは17日後に再開している。短期間で導入できるクラウド型WAF導入によって、サイト閉鎖での収益低下を抑えることができた。この他、自由民主党のWebサイトは、2013年6月のネット選挙解禁での参議院選挙に向けてクラウド型WAFを導入している。またスマートフォンアプリ大手の株式会社エムティーアイでもクラウド型WAFを導入。1ヶ月未満で50サイトの対策を行うという厳しい物だったが対応できている。安達氏は最後に「日本の企業は『うちは大丈夫』という根拠のない自信を持っているところが多い。これがWebアプリケーションの甘さの原因となっている。脆弱性と攻撃の手口を理解した上で、クラウド側WAFでしっかり守ってほしい。クラウド型WAFは、ハードウェアのWAFよりもコストを抑えられるので中小企業にも向いている」と語った。
2014年09月26日AIU保険は、5月17日に販売を開始した個人情報漏洩保険の「サイバー攻撃対応費用特約」の契約者がサイバー攻撃を受けた際の初期対応の支援を目的として、情報セキュリティの専門会社であるサイバーディフェンス研究所(以下CDI)と業務提携契約を締結したことを発表した。同特約は、個人情報漏洩が発覚する前のサイバー攻撃を受けた段階から補償を開始し、セキュリティ専門機関による迅速な初期対応をサポートすることにより、情報漏洩、信用失墜、システム停止などの被害を抑え、賠償リスクの軽減を図るというもの。今回の提携により、顧客が被害に遭った際には同社がCDIを紹介し、初期の「ダメージコントロール」を支援、被害の最小化と速やかな復旧、賠償リスクの軽減が確保されるとしている。CDIが提供する初期対応は、被害状況の把握、証拠保全、被害拡大防止、保全された証拠の調査(デジタル・フォレンジック)の4つ。なお、AIU保険が認定した、CDI以外のセキュリティ専門機関についても特約の補償対象とする。AIU保険は、多様性を増すサイバー攻撃のリスクに対して、リスクマネジメントに役立てるよう保険会社としての社会的な責任を果たしていくとしている。【拡大画像を含む完全版はこちら】
2012年06月25日AIU保険会社は17日、企業が外部から不正アクセスなどのサイバー攻撃による被害を受けた際、その初期対応に要した費用を補償する保険商品『サイバー攻撃対応費用特約』を新たに開発し、同日から販売すると発表した。同商品は、企業が標的型メール攻撃、不正アクセス、DoS攻撃などのサイバー攻撃に遭った時に、セキュリティ専門機関が行う被害状況の把握、証拠保全、被害拡大防止、保全された証拠の調査(デジタル・フォレンジック)などの初期対応に要した費用を補償する保険で、個人情報漏洩保険の特約として開発したもの。日本の大手企業や官公庁を狙ったサイバー攻撃による個人情報流出の事例、機密情報が狙われるといった報道が多くみられる。また、大手企業のみならず中小企業もサイバー攻撃の標的となり、今日の日本企業や組織が深刻な情報漏洩のリスクに晒されていることが浮き彫りとなっている。特に最近では、人や組織を信じ込ませるために関係者を装い、ウィルス対策を回避して標的ごとに作成したマルウェア(ウィルスなど)を仕込んだ電子メールを送りつけピンポイントで攻撃してくるサイバー攻撃、いわゆる『標的型メール攻撃』が大きな脅威となっている。AIU保険会社ではこのような状況を受け、サイバー攻撃によるリスクを軽減するニーズに応え、被害時の初期対応に要する費用を補償する同特約を開発した。従来の個人情報漏洩保険では、個人情報が漏洩した場合に要した危機管理実行費用や法律上の損害賠償責任が補償の対象だったが、この特約をセットすることで、情報漏洩が発覚する前のサイバー攻撃を受けた段階から補償を開始し、セキュリティ専門機関による迅速な初期対応をサポートすることにより、情報漏洩、信用失墜、システム停止などの被害を抑え、賠償リスクの軽減を図る。サイバー攻撃によるセキュリティ上の事故とは、以下の通り。コンピュータなどへの不正アクセス・不正使用コンピュータシステムの安全対策上の不備(セキュリティ・ホールなど)を利用してネットワークを経由してアクセスする行為他人のIDやパスワードなどをネットワークを経由してコンピュータに入力することで他人になりすましてアクセスする行為悪性コードの送付DoS攻撃補償の対象となる費用は、セキュリティ専門機関が行う初期対応に要する費用で、(1)被害状況の把握、(2)証拠保全、(3)被害拡大防止対応、(4)保全した証拠の調査、以上の対応に要した費用となる。【拡大画像を含む完全版はこちら】
2012年05月17日