NICTは6月8日、FFRI及びディアイティの協力を得て、標的型攻撃等のサイバー攻撃に対抗するための統合分析プラットフォーム「NIRVANA改(ニルヴァーナ・カイ)」で機能追加を行ったと発表した。追加された機能は、エンドホスト(PC)の集中制御やマルウェア感染プロセスの特定が可能な「エンドホスト連携機能」、ネットワーク機器と連動して異常な通信の遮断や感染ホストの隔離が可能な「自動防御機能」。これらの機能により、ネットワーク系とエンドホスト系の2系統のセキュリティ対策が統合されるとともに、自動的な防御策の展開が可能となり、組織内における情報セキュリティインシデントの詳細な原因究明と迅速な対応の実現が期待できるという。エンドホスト連携機能は、FFRIの標的型攻撃対策ソフトウェア「FFR yarai」と連動し、組織内のエンドホスト群の各種情報を収集するとともに、マルウェアプロセスを特定し、そのプロセスの親子関係や通信履歴等をリアルタイムに導出するだけでなく、エンドホスト群のマルウェア検出感度の一斉変更などの集中制御もできるもの。また、ディアイティの協力で開発した自動防御機能は、インシデント発生時に、事前定義したアクチュエーション(動作)ルールに従って、ファイアウォールやスイッチ等のネットワーク機器を自動的に制御し、感染ホストの隔離や異常通信の遮断等が可能とするもの。エンドホスト連携機能と連動し、エンドホスト内の特定プロセスの停止等の精緻な制御もできる。さらに、「NIRVANA改」の可視化機能も強化し、ネットワーク系のドリルダウンに加え、エンドホスト内部にまでシームレスに没入できるようになり、セキュリティオペレーションがより円滑になったという。
2015年06月09日サイバーセキュリティ領域において国内で研究開発活動を展開しているFFRIは6月4日、標的型攻撃対策ソフトウェア「FFR yarai」シリーズのVersion 2.6をリリースしたとを発表した。FFR yaraiは、従来のセキュリティ対策で用いられているシグネチャやパターンファイルなどに依存せず、標的型攻撃で利用される攻撃の特徴を複数のプログレッシブ・ヒューリスティック技術を採用。様々な角度から分析し、未知の脅威に対して高い精度で攻撃を検知・防御する。最新版では、同社が2015年4月にリリースした個人PC向けセキュリティソフト「FFRIプロアクティブ セキュリティ」と同等のエンジンを搭載し、未知マルウェア対策を強化した。さらに、ネットバンキングの不正送金を行うMITB(Man in the Browser)マルウェアに特有の特徴を検知するロジックを追加。その他にもユーザビリティや管理機能の強化・改善を図っているという。
2015年06月05日情報処理推進機構(IPA)は5月27日、メールを利用した標的型攻撃の分析結果を発表した。IPAでは国内のインフラ関連組織を対象に、2012年4月から標的型攻撃メールなどの情報共有を相互に行い、高度な対策に繋げる取り組み「サイバー情報共有イニシアティブ(J-CSIP)」を3年前から運用している。これまでIPAに提供された情報は1,257件で、そのうち標的型攻撃メールとみなしたものは939件であった。分析結果によると、IPAでは攻撃メールの12%に相当する114件が同一の攻撃者(またはグループ)による攻撃と推定した。114件の攻撃メールは、2012年9月から2015年3月まで、31カ月の長期にわたり観測された。また、2014年度は標的型攻撃とみなしたメールの送信元が初めて日本最多であったことや、これまでの観測データは日本国内に重要産業を標的とした攻撃インフラが着々と築かれつつある可能性を示した。IPAでは、J-CSIPの一連の情報共有によって、攻撃者像の推定・攻撃手口の解明など一定の成果を得られたと説明。成果は、今後参加組織での対策として活用される。なお、詳細な分析結果と2014年度の情報共有の運用状況などをまとめた2014年度(2014年4月~2015年3月)の活動レポートをWebページ上で公開した。活動レポートでは、2014年度の年間報告に加え、この推定に至った一連の攻撃を仕掛けている攻撃者の手口などを解説している。
2015年05月28日トレンドマイクロは5月25日、「家庭用ルータを狙って偽の警告文を表示する新たな攻撃を確認|トレンドマイクロ セキュリティブログ」において、自宅のルータのDNSの設定が変更されたという個人的な経験を引き合いに出し、家庭向けのルータをターゲットとした攻撃が実際に起こっていることを明らかにした。書き換えられたDNSサーバのIPアドレスが不正なIPアドレスであったこと、どのような経路でDNSの設定が変更されたかはわからないことなども説明されている。以前から、複数の研究者が家庭向けルータに不正アクセスし、DNSサーバの設定を変更することでサイバー攻撃を実施できるとことを指摘していた。DNSサーバの設定を不正な目的でセットアップされたDNSサーバへ向けられると、このルータ経由でインターネットにアクセスしているユーザはフィッシング詐欺などの被害にあう危険性が出てくる。トレンドマイクロは2014年にルータを悪用した攻撃を確認したと指摘。今年に入ってからは家庭向けルータを攻撃してネットワークを探索する不正プログラムに関しても言及している。今後、サイバー犯罪者はさまざまな方法でルータを狙った攻撃を仕掛けてくるだろうとしたうえで、ルータのログインパスワードを推測されにくいものへ変更すること、セキュリティ・ソフトウェアを使用してマルウェアの感染を防止することなどを推奨している。
2015年05月26日ESETは5月21日(現地時間)、「DDoS attacks have doubled in a year, says Akamai」において、分散型サービス拒否攻撃(DDoS; Distributed Denial of Service attack)が増加傾向にあることを伝えた。Akamaiの発表を引き合いに出し、報告されるDDoS攻撃がこの1年で前年の2倍を超えていると説明している。攻撃方法も変化しており、より長期にわたってDDoS攻撃を実施できるようになってきているほか、これまでよりも大きなダメージを与えられるようになってきていると指摘。先年は短期間で大量のバンド幅を消費するようなDDoS攻撃がメインだったものが、2015年は小さいバンド幅でより長期にわたって攻撃を継続する傾向を示しているという。増加傾向を見せているDDoS攻撃は3つの国からの攻撃開始が全体の過半数を占めているという説明もある。中国が23%で最も多く、これにドイツの17%、米国の12%が続いている。DDoS攻撃の52%が中国、ドイツ、米国から始まっていることになる。
2015年05月23日トレンドマイクロは5月19日、標的型攻撃を防ぐためにはネットワークの「セグメント化」が重要であるとセキュリティブログで解説している。標準的攻撃の手法は、サイバー犯罪者が企業のネットワークに侵入し、1台の端末を足掛かりにして次々と端末を乗っ取るケースが多い。より多くのPCを侵害して情報を引き出すことが成功へのカギとなっている。逆に考えれば、標的型攻撃を防ぐには、乗っ取られる端末を最小限に抑えればよい。セグメントは、ネットワークをアクセスする端末をグループ化できる。セグメント化をしておくことで、特定の端末が乗っ取られた場合でも、同一のセグメント以外に端末が乗っ取られるリスクを減らせる。ブログでは、セグメント化は自社の端末を守るだけではなく、取引先を守る手法でもあると述べられている。最近では、取引先の企業がFTPなどのネットワークを介して、データをやり取りするケースは多い。容量が大きいファイルのやり取りには最適な手段だ。ネットワークを利用するのは自社の社員だけではなく、取引先の企業が自社のネットワークにアクセスすることも多い。ネットワークのセグメント化によって、取引先が必要とするITネットワークだけにアクセスを制限することが重要であるとしている。セグメント化は、社員などからの内部犯行を防ぐ手段としても有効だ。内部犯行の場合、高いアクセス権限がなくても、ネットワーク内の機密事項にアクセスできる可能性がある。また、特定の端末内に保存されている情報を狙うなど、外部からの攻撃とは目的が異なる場合も多い。ネットワーク管理者は、ユーザ権限やネットワークトラフィックを適切に分割することが重要なセキュリテイ対策となる。それにより、企業の機密情報にアクセスする社員を制限できる。セグメント化は、環境構築の難しさが課題となっている。構築方法を誤ると、セグメント化によるセキュリティ効果が望めないだけでなく、ネットワークの利便性が損なわれる恐れもある。そのためには、企業内のネットワークの利用目的を改めて整理しなければならないという。具体的には、企業内の資産がどういった経路でアクセスされているか(HTTP、HTTPS、SMBなど)、どのように保存されているか(SQLデータベース、平文、NSAやSANなど)を特定する。また、過去から現在で確認された攻撃を特定し、現在の脅威活動の基準を確立する必要があるとも指摘している。
2015年05月22日JPCERT/CCは5月13日、Adobe Flash Playerに複数の脆弱性があるとして注意を呼びかけた。発表によると、Webを閲覧することでDoS攻撃や任意のコード(命令)を実行されるおそれがあるという。一方、米Adobe Systemsは5月12日(現地時間)、CVE番号ベースで18件の脆弱性(CVE-2015-3044, CVE-2015-3077, CVE-2015-3078, CVE-2015-3079, CVE-2015-3080, CVE-2015-3081, CVE-2015-3082, CVE-2015-3083, CVE-2015-3084, CVE-2015-3085, CVE-2015-3086, CVE-2015-3087, CVE-2015-3088, CVE-2015-3089, CVE-2015-3090, CVE-2015-3091, CVE-2015-3092, CVE-2015-3093)を修正する「Adobe Flash Player」のセキュリティアップデートを公開した。対象となる製品とバージョンは以下のとおり。Adobe Flash Player 17.0.0.169 およびそれ以前のバージョンAdobe Flash Player 13.0.0.281 およびそれ以前の 13.x のバージョンAdobe Flash Player 11.2.202.457 およびそれ以前の 11.x のバージョンAIR Desktop Runtime 17.0.0.144 およびそれ以前のバージョンAIR SDK and SDK & Compiler 17.0.0.144 およびそれ以前のバージョン今回発表された脆弱性の深刻度は同社の基準において最高の「Critical」となっている。Adobe Flash Player Desktop Runtime、Adobe Flash Player Extended Support Release、Adobe Flash Player for Google Chrome、Adobe Flash Player for Internet Explorer 10 and Internet Explorer 11については、72時間以内に更新プログラムを適用することが奨励されている。Adobe Flash Playerが標準で同梱されているWindows 8用Internet Explorer 10、Windows 8.1用Internet Explorer 11は、Windows Updateなどで最新のFlash Playerが更新プログラムとして提供される。同様に、Flash Playerが標準で同梱されているGoogle Chromeでは、Google Chromeのアップデート時にAdobe Flash Playerが更新される。
2015年05月13日カスペルスキーは5月1日、小規模企業がサイバー攻撃を受けた2種類の事例を同社のブログ「Kaspersky Daily」に公開した。○競合企業からマルウェア攻撃を受け、瀕死の状態にとある宝石を販売する企業は、外部からセキュリティ侵害を受け、自社サイトの訪問者が次々とマルウェアに感染する事態に陥った。企業内にマルウェアを対策できるスタッフがいなかったため、外部のITスペシャリストに問題を解決してもらうように依頼した。マルウェアはWebサイトから駆除できたがすぐに復活した。犯人はサイトへのアクセス権を持っていたため、コードを消されても復活できたためだ。そのため、企業は完全復旧までに多くの時間がかかった。検索エンジンのインデックスや検索結果の表示順位を取り戻す必要があったためだ。Googleはこの企業のサイトをマルウェア感染サイトとしてブラックリストに載せ、インデックスから削除した。別の検索エンジンでも同じことが行われていた。その間、企業の業績は大きく落ち込み、感染前まで回復するまでは1年ほどかかったという。調査の結果、最初に感染したのは経営者のPCだったことがわかった。経営者が使っていたのは無料のアンチウイルスソフトで、十分に機能していなかったという。ハッカーは経営者のPCにマルウェアを埋め込み、会社のサイトのアクセス情報を盗み出した。経営者は、競合からの標的型攻撃だと確信していた。経営者はこの経験を通じ、企業データのセキュリティに直接関係すること(パスワードの安全な管理、トラッキングやキー入力監視を行うマルウェアの存在)を数多く学ばならけばならなかった。○暗号化マルウェアに攻撃され、すべてのデータを失うとある会計事務所がランサムウェア「CryptoLocker」の攻撃を受け、すべてのデータに強力な暗号がかけられた。これによりデータにアクセスできなくなり、事業が継続が困難になった。CryptoLockerは、侵入したPCのデータを手当たり次第に暗号化し、暗号解除と引き換えに巨額の身代金を要求してくる。非常に強力な暗号化技術が使われているため、身代金を支払うか、それがダメなら暗号化前のデータをバックアップから復元するしかない。事務所のIT管理者は、ランサムウェアが見つかった途端に社内サーバーのデータをすべて削除した。これにより、ランサムウェアウェアを消去できたものの、重要なデータも一緒に削除されてしまった。結果的に重大なミスをした管理者はクビになってしまった。その後、データ復旧を試みたがすべて失敗に終わり、最終的には事務所は倒産したという。これらのケースはいずれも欧米諸国だが、日本でも中小企業を狙ったサイバー攻撃は増加している。対岸の火事と思わず、対策を講じることが最善の方法だろう。
2015年05月05日トレンドマイクロは4月16日、WebサイトをOSごと強制終了させる攻撃コードを確認したとセキュリティブログで明かした。攻撃は、Windowsの脆弱性を悪用したもので、すでに実証コード(PoC : Proof of Concept)が公開されている。実証コードは、数十文字程度の攻撃コードでWebサーバーをBSOD(Blue Screen of Death)状態で強制終了させることができる。脆弱性は、WindowsでHTTPプロトコルの処理を行う「HTTP.sys」に存在している。攻撃対象は、MicrosoftのWebサーバーのIIS(Internet Information Services)が稼働している場合、「HTTP.sys」を使用するWebサーバーが稼働していることが条件となる。攻撃者は脆弱性を利用し、遠隔からシステムアカウントの権限で任意のコードを実行する。それにより、Webサーバーに不正プログラムを感染させたり、コンテンツを改ざんするためのバックドアを設置される恐れがあるという。Microsoftでも脆弱性を認識しており、「緊急」と位置づけ、更新プログラムを4月15日より配布を開始した。更新プラグラムをインストールすることで、今回の攻撃を完全に防げるという。トレンドマイクロは、Windows OS上でWebサーバーを運用する管理者は速やかにアップデートすることを強く推奨している。
2015年04月20日Kasperskyは4月15日、サイバー犯罪者同士が対立し、互いの組織を攻撃し合うケースを確認したと発表した。対立しているのは「Hellsing」と「Naikon」という二つのサイバー犯罪グループ。Hellesingは主にアジアの政府組織や外交機関を攻撃対象とし、一方のNaikonは主にアジア太平洋地域の組織のスパイ活動を行っている。サイバー犯罪者が標的とするのは通常、大企業や金融機関、政府などの巨大な組織。サイバー犯罪者同士が憎み合い、互いに攻撃を繰り返すケースは例がないという。前代未聞のこの珍事、Kasperskyのセキュリティ研究を進める「Kaspersky Lab」がNaikonを調査する上で偶然見つけた。Hellsingが2014年に、とあるサイバー犯罪グループからサイバー攻撃を受けたことがすべての始まりだった。突然の攻撃に対しHellsingは応戦の構え。とはいえ、自分たちを攻撃した相手を正確に掴めなかったため、スピア型フィッシングメールで20の組織に攻撃した。具体的な攻撃は、マルウェアを添付したメールを各組織に送り、組織がそのメールを開封するとマルウェアがPCに侵入し、バックドアに感染させるというもの。感染したPCの制御権を奪い、外部からのリモート操作でファイルのダウンロード/アップロード、マルウェアの更新などを行ったという。Hellsingから不審なメールが届いたと判断したNaikonは、メールの意図を確認する返信を行ったが、納得のいく回答が得られなかっため、添付ファイルを開くことはなかった。その後、Naikonは独自のマルウェアをメールに添付しHellsingに送信した。Kaspersky Labのディレクターであるコスティン・ライウ氏は、HellsingによるNaikonへの攻撃に対して「ある意味で復讐心を持った『帝国の逆襲』スタイル」だとコメントし興味を示した。続けて「これまでもAPT(標的型攻撃)グループ同士が誤って互いを攻撃したことはあった。今回は攻撃対象の選択や発生源を考えると、故意の攻撃であるという可能性が高い」と述べた。Kaspersky Labでは、これがサイバー犯罪活動における新たなトレンド「標的型攻撃戦争」の兆しだとも分析している。
2015年04月16日カスペルスキーは4月8日、公式ブログ「Kaspersky Daily」でFacebookアカウントをフィッシング攻撃から守る7つの対策を解説している。フィッシングは個人情報を狙った攻撃の一種で、一見本物のように見える偽のメールまたはWebサイトといった手口が使われる。SNSプラットフォームは近年、フィッシングの道具として使われることが増えており、詐欺師はあたかもFacebookが発信したかのような偽メールでパスワードのリセットを促し、データを奪う。フィッシング対策はいくつかあるが、共通するのは、オンラインで個人情報の入力を求められた場合に、フィッシングを疑うということ。ブログでは以下の7つのポイントを注意するよう説明している。これらの注意点は、Facebookに限らず、他サイトでも有効な対策となりうるため、気を配るに越したことはない。個人情報の入力を求めるメールが届いても、その指示に従わない個人情報を入力するのは、安全で保護されたWebサイトだけにするURLが「https」で始まっていて、インターネットブラウザーのアドレスバーに錠前のアイコンが表示されているWebサイトは安全。錠前のアイコンをクリックすると、そのサイトのセキュリティ証明書が表示される。個人情報を要求するメールが届いたら、誤字脱字など、詐欺メールとわかる特徴がないか確認データを入力するWebページのリンクが思っていたサイトのURLと異なる場合は、確実にフィッシング攻撃だという。個人情報入力用のリンクはクリックせず、代わりにURLを手動でブラウザーに入力してサイトへアクセス.使用しているコンピューターのアンチウイルス製品にフィッシング詐欺対策機能が備わっていることを確認するWebブラウザーやアンチウイルスなど、あらゆるソフトウェアを常にアップデート怪しいメッセージを受け取ったら、すぐに該当する銀行やSNS運営会社に連絡する
2015年04月13日パロアルトネットワークスとNECは3月30日、不正端末の通信を自動で検知し、サイバー攻撃を抑止する「サイバー攻撃自動防御ソリューション(次世代ファイアウォール連携)」をNECが販売すると発表した。新ソリューションは、NECのSDN対応製品「UNIVERGE PFシリーズ」のネットワーク制御機能と、エンタープライズセキュリティプラットフォームの一部であるパロアルトネットワークスの次世代ファイアウォール製品による未知・既知の脅威抑止機能を連携。サイバー攻撃の検出精度の向上に加え、自動で攻撃を検知し防御する。パロアルトネットワークスのエンタープライズセキュリティプラットフォームの検知機能により、サイバー攻撃を受け不正通信を行う端末に加え、不正通信を疑われる端末を検出し、動作を抑止する。これにより、未知のウイルス感染の場合でも外部との疑わしい通信や挙動を検知できる。さらに、疑わしい通信に対して、SDNコントローラからネットワーク全体を制御することで、精度の高い検知ネットワークへの切り替えやネットワーク上での隔離を実現し、被害拡大を防止する。また、検知した不正通信端末や、不正通信が疑われる端末に対し、SDNコントローラが端末情報をもとにネットワーク制御を行い、通信経路の遮断や隔離を自動化できる。これまでのセキュリティ対策では問題が発生した際の対応には最低でも数分、長い場合は数日かかっていたが、新ソリューションは、検知からの初動対応を数秒に短縮することが可能で、2次感染等の被害拡大リスクを低減する。さらに、ユーザのポリシーに従い、特定のIPアドレス(スパイウェアサイト)へ頻繁にアクセスしていたり、実行ファイルを頻繁にダウンロードしていたりする疑わしい端末の通信を遮断できるほか、経路変更により自動で精度の高い検疫ネットワークを通せる。価格は1100万円からで、最小構成は、SDNコントローラ×1台/SDNスイッチ×2台/次世代ファイアウォール×1台/SDN連携アダプタ×1。なお、4月9日に米Paloalto NetworksのCMO レネー・ボンバニー氏が来日し、最新セキュリティプラットフォーム戦略について解説するセミナーが行われる。
2015年03月31日ファイア・アイは3月24日、クライアントへのFREAK攻撃に対するiOS/Androidアプリのセキュリティ脅威について検証し、その結果を発表した。FREAK攻撃では、脆弱なクライアント・サーバー間のHTTPS接続を傍受され、攻撃者が脆弱な暗号化技術の使用を強制することで、これを突破して機密データの窃取・操作が可能になるという。FREAK攻撃が成功するには、サーバーがRSA_EXPORT暗号スイート(輸出用RSA暗号)を受け入れるとともに、クライアントが輸出用ではない暗号スイートで一時RSAキーを許可する必要がある。これにより攻撃者は接続の暗号強度を弱め、データを窃取しやすい状態にできる。3月4日時点で、AndroidとiOSのいずれの最新版プラットフォームについても、FREAKへの脆弱性が認められる。また、iOSとAndroidのいずれもアプリも、OpenSSLライブラリそのものの脆弱版を含む可能性があることから、FREAKはプラットフォームの脆弱性であり、アプリの脆弱性でもあるといえる。そのため開発メーカーによってAndroidやiOSのパッチが公開された後でも、RSA_EXPORT暗号スイートを受け入れたサーバーに接続すれば、こうしたアプリは引き続きFREAKに脆弱な状態になる。FireEyeでは、Google Playでのダウンロード数が100万回を超える人気Androidアプリ1万985種類について解析した結果、脆弱なHTTPSサーバーへ接続する脆弱なOpenSSLライブラリの使用により実に1228種類(全体の11.2%)のアプリがFREAK攻撃に対して脆弱であることがわかったという。これら1228種類のアプリのダウンロード回数は、合計すると63億回以上にのぼる。1228種類のAndroidアプリのうち、Androidのバンドル版OpenSSLライブラリを使用しているものは664種類、自社コンパイルのOpenSSLライブラリを採用しているものは564種類。こうしたOpenSSLバージョンはすべて、FREAKに対して脆弱となる。次の表は、セキュリティやプライバシーの観点から機密性の高い分野におけるAndroidとiOSの脆弱なアプリの数を示したもので、スポーツやゲームといった、機密性が比較的低い分野については、表には含まれていない。赤い部分で示される通り、FREAKの脆弱性はアプリ開発者によって修正が進められている。攻撃のシナリオの一例として、攻撃者は人気のショッピングアプリにFREAK攻撃を用いることで、ユーザーのログイン情報やクレジットカード情報を盗むことが可能で、また、医療アプリや生産性アプリ、金融アプリなど、機密性の高いアプリが狙われることもある。
2015年03月25日カスペルスキーは3月17日、ボードゲーム形式でサイバー攻撃を体験・学習できる対サイバー攻撃演習サービス「Kaspersky Industrial Protection Simulation(KIPS、キップス)」の国内提供を3月20日より開始すると発表した。製造業や重要インフラ事業者などを対象に販売する。所要時間は約2時間で、最小催行人数10名、価格は30万円(税別)~。KIPSは、サイバー攻撃による重要インフラへの影響をボードゲーム形式で体験しながら、システムの運用上のリスクや投資に見合った有効な対策を学習できるサービス。これまでに米国、ロシア、マレーシア、英国など10カ国以上で提供しており、2015年2月には欧州原子核研究機構(CERN)で利用された。参加者は数名ずつのグループに分かれ、条件や指示が書かれた30枚のカードと決められた予算、作業時間を有効に使いながら、サイバー攻撃を受けている水処理施設を守るための効果的な対抗策を実施する。5週間の仮想期間内で最も高い生産高を維持したチームが勝ちとなる。ゲーム終了後には、どのような対応が適切だったのか、攻撃者のシナリオと各チームの打ち手を比べながら、参加者全員がゲーム上で発生した事象に対する考察と理解を深められる。試験提供での利用者からは「ゲーム形式で楽しく学ぶことができた」などのフィードバックがあったという。今後、発電施設などへのサイバー攻撃のシナリオを用意し、より専門性の高い重要インフラ事業者に演習の提供を拡大する予定だ。
2015年03月18日NECと同社の子会社であるインフォセックは3月16日、サイバー攻撃情報サービス会社の米Norse Corporation(以下、Norse)と提携し、サイバー・セキュリティ事業における重要な情報(サイバー・インテリジェンス)を強化すると発表した。NECは、情報とスピードを重視し先読みして対策を打つ「プロアクティブサイバーセキュリティ」の実現に向けて、攻撃者からの攻撃を先読みするサイバー・インテリジェンスの強化を進めているという。今回、Norseが独自に世界中に配置した数百万のセンサーからの情報を分析しリアルタイムに提供されるサイバー攻撃情報を、NECの収集情報に組み入れる。これにより、世界の幅広い攻撃者の行動パターンを分析し攻撃プロセスなどをいち早く検知する情報を提供する。インフォセックはNorseと全世界対象の1次代理店契約を締結し、まず、国内及びASEAN各国にNorseのサービスを3月16日から販売する。
2015年03月17日Googleのゼロデイ攻撃の対策を行う専門チーム「Project Zero」はこのほど、「Exploiting the DRAM rowhammer bug to gain kernel privileges|News and updates from the Project Zero team at Google」において、いくつかのノートPCにおいて「Rowhammer」と呼ばれるメモリの物理的な脆弱性を悪用して特権昇格の実行を確認できたと伝えた。この脆弱性を悪用されると、一般ユーザ権限で動作しているプロセスが物理メモリの任意のデータにアクセスできるといった状況が発生する危険性がある。実験にはLinuxが使われているが、この問題はオペレーティングシステムに特化したものではなく、最近のDRAMに存在しているハードウェア上の脆弱性だという。具体的には、特定の命令を実行することで隣り合った列のメモリデータをビットフリップさせることができるという問題が見つかったが、使用するオペレーティングシステムやソフトウェアの脆弱性に関係なく出現する可能性があるため注意が必要。Project Zeroの報告では、影響範囲はわからないとされており、今後の動向に注目する必要がある。特権昇格を引き起こすおそれがある脆弱性はソフトウェアの不具合が原因であることが多く、今回示されたようにハードウェアの問題でこうした脆弱性が出現することは珍しい。エラーチェックをしないタイプの最近のDDRメモリを使用している場合は注意が必要。ハードウェアレベルで対応できるのか、オペレーティングシステムレベルで対応できるのか、今後追加で発表されると思われる情報に注意しておく必要がある。
2015年03月14日サイバー攻撃は近年ますます巧妙になってきており、攻撃者は対策の隙を突き、ユーザーのシステムや端末に悪質なプログラムを潜ませるようになっている。攻撃側の地政学的な動機に加えて、データ主権やデータローカライゼーション、暗号化に関して各国の法規制が課す要件の食い違いが絡むことで、昨今のセキュリティ対策は国を越えてさらに複雑な様相を呈している。シスコシステムズは3月10日、こうした現状を踏まえ、高度化するサイバー攻撃から組織や企業を守るサイバーセキュリティ対策の現状と、最新のセキュリティソリューションについて、報道関係者に向けた説明会を開催した。○ますます高度化するIoT時代のサイバー攻撃とその対策企業は近年、セキュリティ対策への投資を強化しており、自社の策定したセキュリティ・ポリシーに多くの企業が自信を持っているという。一方で、実際にセキュリティ・ポリシーを運用していくうえではさまざまな困難があり、54%の企業が自社のシステムに公開されている脆弱性を引き続き抱えているという現実がある。さらに端末に関して言えば、Internet of Things(IoT:モノのインターネット)が進化を続けており、「つながっている」ことが当たり前の環境になってきている。デジタルインフラの成長はさらに加速し、2015年で約250億、2020年には約500億のスマートオブジェクトがネットワークにつながった状態になると予想されている。さまざまなサービスや機能が提供され利便性が増す一方で、これらのすべてが攻撃の対象となってくるため、時代に沿ったセキュリティ対策を講じていくことが急務である。こうした状況を踏まえて、シスコシステムズのセキュリティ事業部長 桜田仁隆氏は、今日のセキュリティ課題として、「急速に変革していくビジネスモデルへの追随」「新たな脅威への継続的な対応」「多様化する攻撃に対するさまざまな環境への適応」の3つを挙げた。また、「問題の本質を把握すること」「組織としてリスクを理解すること」「守るべき対象を明確にすること」「準拠すべき法令を理解していくこと」「どこに投資するべきか理解すること」といったサイバーセキュリティに関して重要となる5つの項目を挙げ、組織を上げてセキュリティ問題を解決していくことの必要性を説明した。○シスコが提言する新しいセキュリティモデルとその実現そうしたなか、シスコシステムズは、セキュリティの整備・堅牢化から、攻撃者侵入の防御・検知、侵入を許した際の対応までを包括的にサポートする新しいセキュリティモデルとして「BEFORE DURING AFTER」を提案。このモデルをベースとした多層制御を実現するセキュリティ製品群を用意している。BEFORE(整備・堅牢化)とAFTER(対応)のフェーズでは、ユーザーにとっての可視性を重視。セキュリティ・ポリシーの管理および制御プラットフォームである「Identity Services Engine(ISE)」を中心としたデバイスのネットワーク接続時点での状況を把握し、誰が何を使ってどこに行こうとしたのかを精査しつつ、マルウェアすらも見える化することで、次のセキュリティ投資に備えていくことができる。DURING(防御・検知)のフェーズにおいては、できるだけ未知の脅威を把握するための仕組みが必要となる。シスコシステムズでは、メールセキュリティアプライアンス「ESA」、Webセキュリティアプライアンス「WSA」、次世代ファイアウォール製品である「ASA with FirePOWER Service」、サンドボックスの機能を備えたマルウェア解析アプライアンス「ThreatGRID」のハードウェアに加え、マルウェア防御ソリューション「AMP」などのクラウドベースのソリューションも提供している。ISEを含め、これらの製品を連携させることで、多層制御の実現が可能となる。シスコシステムズ セキュリティ事業 テクニカルソリューションズアーキテクト 西原敏夫氏は、「こうしたさまざまなセキュリティ対策が1つの製品に集約されていればよいが、それは現実的に不可能。よって、複数の製品を併せて使っていくことになるが、管理の複雑さを軽減するために、できるだけプラットフォームをそろえ、単一の画面で管理できるような製品を開発していきたい」と述べた。
2015年03月11日カスペルスキーはこのほど、主要な標的型攻撃を視覚化するオンラインサービス「Targeted Cyberattacks Logbook」をWebサイト上で公開した。Targeted Cyberattacks Logbookは、カスペルスキーのグローバル調査分析チーム(GReAT)が調査、分析した29の主要なサイバー攻撃をブラウザで閲覧できるサービス。攻撃の関連性を画面上で把握できるほか、感染の地理的分布、マルウェアの拡散方法、サイバー犯罪者の標的、各攻撃の特徴など詳細な情報を表示できるのが特徴だ。攻撃は1つひとつが船の形で表示される。船の全長が長いほど活動期間が長い。船の航行によって生じる波は、カスペルスキーがマルウェアの検体を検知してから調査プロジェクトの結果を公開するまでの期間を現すほか、船の色は標的の数を示している。分類項目に該当する攻撃のみを表示するフィルターを搭載。例えば、民間企業の情報だけを狙った攻撃、特定の国で発生した攻撃、ある特定の手法を使った攻撃などに絞り込むことができる。サービス公開の経緯についてカスペルスキーは、「標的型攻撃のセキュリティインシデントが増加し、特別な注意が必要」と説明している。標的型攻撃の被害を受けた企業は、2014年に4400社(カスペルスキー調査)に上るという。
2015年02月13日トレンドマイクロは5日、同社のセキュリティブログで「Internet Explorerのゼロデイ脆弱性を確認、Universal XSS攻撃の危険性」を公開した。「いつ攻撃が始まってもおかしくない状況」とも述べ、警戒を呼びかけている。今回確認された脆弱性は、ユニバーサルクロスサイトスクリプティング(Universal XSS、UXSS)という攻撃を可能にするもの。不正に細工したURLにユーザーをアクセスさせることで、正規サイトの改変、認証情報の搾取、不正スクリプトの実行、別の不正サイトへ誘導、といった攻撃ができるという。具体例としては、「より巧妙なフィッシングサイト」を挙げている。攻撃用のURLにアクセスすると、ネットバンキングなど正規ドメインにアクセスしているように見せかけつつも、攻撃者に対して認証情報などを送信してしまう。通常のフィッシングサイトは「偽ドメイン」上で行われるのに対し、ユニバーサルクロスサイトスクリプティングを悪用した攻撃は「正規ドメイン」上で成立する。トレンドマイクロによれば、2015年2月4日の時点では、今回のIEゼロデイ脆弱性を用いた攻撃は確認されていないとのこと。ただし攻撃に応用できる「概念実証コード」はすでに出回っており、冒頭のように「いつ攻撃が始まってもおかしくない状況」としている。また、攻撃者は「ユーザーに不正なURLをクリックさせる」必要があるため、不審なメールやWeb上の書き込みにあるURLを安易にクリックしないことが重要と、警戒を呼びかけている。なお、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」を使用中のユーザーは、以下のフィルタを適用することによって、今回のIEゼロデイ脆弱性を悪用した攻撃から保護されるとしている。1006472 - Microsoft Internet Explorer Same Origin Policy Bypass Vulnerability
2015年02月06日これまで、DNSキャッシュポイズニング攻撃やDNSサーバーを踏み台にしたDDoS攻撃について個別に説明してきました。今回は連載の最後として、その他の注目すべき攻撃について解説していきます。○DNSサーバーの乗っ取り問題2013年8月に、シリアのアサド大統領を支持するハッカー集団「シリア電子軍」が、Twitterを含む大手WebサイトのDNSサーバーの情報を書き換えて、サービスを停止させるという事件がありました。この事件では、シリア電子軍が直接サイトを狙ったわけではなく、各サイトが利用していたドメイン登録業者(レジストラ)へ不正アクセスを行い、DNSサーバーの情報を書き換えました。シリア電子軍は、2014年11月にも類似した手法を用いて日本も含む大手サイトで共通で利用されていたソーシャル構築サービスを狙い、各サイトに「シリア電子軍」の画像をリダイレクトさせるという事件を起こしています。また、日本レジストリサービスが2014年9月~10月にかけて、国内で複数の「.comサイト」がドメイン名の登録情報を不正に書き換えられた「ドメイン名ハイジャック」の被害を受けたと注意喚起を行いました。このドメイン名ハイジャックもシリア電子軍と同様で、直接攻撃対象のサイトを狙っていません。ドメイン名を運用するための一連の仕組みのどこかで不正を行って、攻撃対象のDNSサーバーの情報を書き換え、さらに悪意のある偽サイトへユーザーを誘導しています。これまでのサイト乗っ取りや偽サイトへの誘導は、「シリア電子軍」のように特定のメッセージを発信することを目的するケースが一般的でした。しかし、ドメイン名ハイジャックのように誘導先の偽のサイトから閲覧者に対してマルウェアを配布するケースなど、悪意を持った攻撃も今後増えてくることでしょう。こうした間接的なDNSサーバーの乗っ取りを防ぐことは困難を極めます。その上でIT担当者は、なりすまし被害により間違った情報をドメイン登録業者に送らないようにセキュリティ対策を万全にすることが求められます。また、一部のドメイン登録業者では、「レジストリロック」という意図しない情報の書き換えを防ぐシステムも利用できます。○トップレベルドメインの名前衝突問題日本ネットワークインフォメーションセンター(JPNIC)は2014年6月、トップレベルドメイン(gTLD)の急増に伴って、DNSにおける「名前衝突」と呼ばれるセキュリティリスクについて注意を呼びかけました。トップレベルドメインとは、DNSの仕組みにおけるドメイン名をドットで区切った際の最後のコードを指します。トップレベルドメインは、世界で共通で登録できる分野別のドメイン「gTLD(ジェネリックトップレベルドメイン)」と、全世界250以上の国や地域に割り当てられる「ccTLD(国コードトップレベルドメイン・日本の場合は「.jp」)」に分けられます。現在、世界のトップレベルドメインを管理するICANNが、企業・組織からの申請を受け、新しいgTLDの追加を進めています。日本でも「.tokyo」や「.みんな」などの新しいドメインが運用開始されました。新しいgTLDは最終的に1000以上追加されるとみられていますが、それに伴って新たに発生した問題が「名前衝突」です。「名前衝突」とは、組織などの閉じられた内部ネットワーク内で運用していた「存在していないと思っていたドメイン(この内々で使われているドメインを勝手gTLDと呼びます)」と、新しいトップレベルドメインが一致し、結果として通信が衝突してしまうという問題です。この名前衝突が起こると、内部ネットワークの通信が外部との通信に置き換えられて、DNSサービスが停止し、意図した相手との通信ができなくなったり、意図しない相手と通信をしてしまい、情報漏えいを引き起こす可能性があります。こうした名前衝突の問題を回避するためには、企業のネットワーク管理者が内部利用目的のドメイン名を使わずに、公開されたドメイン名を利用するよう、ネットワークの設定やシステムを修正することが求められます。また、エンドユーザーがプライベートなネットワーク内で内部目的用に勝手gTLDを使用していたり、ネットワーク機器でもアクセス誘導目的で勝手gTLDが利用されていることもあるため、ISP事業者やネットワーク機器のベンダーも注意する必要があります。○DNS ソフトウェアの脆弱性を突く攻撃BINDというDNSサーバーを実装、運用するための有名なソフトウェアがあります。BINDはフリーソフトウェアとしてソースコードが公開されており、世界のDNSサーバーの大半で用いられているとみられています。このBINDは影響力の高い脆弱性がたびたび発見されています。そして、つい先日の2014年12月9日にもBINDを含むDNSソフトウェアにDoS攻撃を引き起こす脆弱性が見つかっています。対策としてはOSなどと同様に、脆弱性が修正された最新バージョンに都度アップデートを行うことです。○DNSサーバーへの攻撃に対抗するにはこれまでの連載で様々なDNS関連の攻撃について解説してきました。いかにDNSサーバーへの攻撃が多彩で影響力が大きいか、分かっていただけたでしょうか。これらの攻撃は、DNSの仕組みにおける多くの脆弱性を利用した、比較的技術レベルが高くない攻撃者であっても容易に攻撃できるものが多く見られます。ただ、危険だからといってDNSを切り捨てるかというと、DNSはインターネットを支える重要なインフラとして既に根付いているため難しいでしょう。これからもDNSを狙った新しい攻撃は次々と出てくると思われます。それを防ぐにはまず、DNSサーバーを管理するネットワーク管理者のみならず、ユーザーにおいてもDNSが狙われやすい仕組みと認識して、日々セキュリティトピックについて目を光らせ、素早く対応することです。また、DNSへの攻撃に対抗するためのセキュリティソリューションを構築することも重要です。DNSを狙った攻撃は次世代ファイアウォールやエンドポイントのセキュリティソリューションでは対応しきれないことが多いため、DNSに特化したセキュリティソリューションや、DNS関連の攻撃も防ぐことができるソリューションを利用することが求められます。また、DNSソフトウェアの最新のバージョンアップに保つことも重要です。商用DNSベンダーの中には、DNSのセキュリティ機能を独自に提供している所もあります。管理がし易く、高度なセキュリティ機能を持った専用アプライアンスを検討しても良いでしょう。繰り返しとなりますが、DNSの情報を扱う各システムにおいては、通常よりもより強固な脆弱性対策・情報漏えい対策が必要となります。○三好 慶太 Infoblox トレーナーSEDNSやDHCP、IPアドレス管理の専用アプライアンスを提供するInfobloxでプリセールス支援とトレーニングを担当するトレーナーSE。航空会社や通信事業者でのプロジェクトマネージャー、外資ストレージベンダーを経て2010年7月より現職。現在は自社のDNSセキュリティ製品を広く知ってもらうべく奔走中。
2015年01月09日ラックは12月16日、「日本における、標的型サイバー攻撃の事故実態調査レポート」を公開した。レポートは、特定の企業や組織を狙った「標的型攻撃」について、国内で実際に発生した約80件の実例を調査・分析し、判明した事実を解説したもの。併せて、複数の標的型攻撃の関連性についても解明を紹介している。具体的には、ラックが調査した約80件の標的型サイバー攻撃の被害事案をもとに、技術的なポイントと攻撃者の攻撃手法の傾向、事案間に共通して見られる事実を解説している。攻撃に使われるツールは、一般的に流通していないものや流通するツールをカスタマイズしたもので、ウイルス対策ソフトによる検出を回避しようとする意図が見て取れる。また、最新の攻撃手法も常に取り込んでいることがうかがえるという。また、複数の標的型サイバー攻撃の痕跡から、同一の攻撃者が異なる企業を同時に狙っている傾向がある。標的型攻撃を受けた複数の企業を調査することでわかった。発見したマルウェアは、通信先コンピュータのIPアドレスなどが、既に調査済みの事案のものと同一だったことから、感染原因も同一であると類推。早期解明につながったケースもあったという。
2014年12月18日アカマイ・テクノロジーズは12月16日、グローバルネットワーク拡張の一環として、日本に新たなスクラビングセンターを開設したと発表した。DDoS攻撃の発生源に近い位置で大容量のリージョナルDDoSスクラビングセンターを運営することは、アカマイの対DDoS戦略の基盤となっている。過去18か月間に渡り、アジア太平洋地域を発生源とするDDoS攻撃が増加しており、10月23日に発表されたアカマイの「インターネットの現状」セキュリティレポートに記載されているように、2014年第3四半期もこの傾向が続いた。クライアントのウェブサイトに対する分散型サービス妨害(DDoS)攻撃が検出されると、そのサイトの全トラフィックが1か所以上のアカマイのグローバル展開されたスクラビングセンターに転送され、悪質なトラフィックが「スクラビング(除去)」された後、クリーンなトラフィックがクライアントのネットワークに転送される。このクラウドベースのシステムを使用して、アカマイはDDoS攻撃を軽減し、業務を大きく混乱させることなくクライアントのウェブサイトを正常な状態に戻すことができる。アカマイのセキュリティビジネス部門バイスプレジデントであるジョン・サマーズ(John Summers)氏は、「10月初旬に日本に開設された新たなスクラビングセンターはすでに多くのDDoS攻撃トラフィックを除去し続けている。日本にこの新たなスクラビングセンターを配置することにより、より多くのクライアントがアカマイのスクラビングセンターでDDoS対策をとることができるようになる」と述べている。同社は、2015年に2か所の新たなリージョナルスクラビングセンターの運用を開始することにより、ネットワーク容量の拡張を続ける。1つはアジア太平洋地域、もう1つはヨーロッパ、中東、およびアフリカ地域での開設を行なう。
2014年12月17日SCSKは12月8日、Lastlineの標的型攻撃対策サービス「Lastline」を同日から提供開始すると発表した。「Lastline」は高度な攻撃を検知し、外部との不正な通信をブロックする標的型攻撃対策サービス。標的型攻撃に使われる高度なマルウェアを独自のナレッジによって分析し、その挙動を高精度に把握することができる。主な特徴として、マルウェアそのものを詳細に分析する「Full System Emulation」により、標的型攻撃に利用される複雑な攻撃手法を高精度に把握する。導入形態はクラウド型、オンプレミス型から選択が可能で、「Lastline」のクラウド版は、接続しているユーザー数に対する課金のみで、オンプレミス版もユーザー数課金と分析エンジンの初期ライセンス費用のみで、次年度以降の保守費用は発生しない。なお、価格は個別見積りとなっている。
2014年12月08日ファイア・アイは11月25日、ロシアのハッカー集団による高度なサイバー攻撃「APT28」の説明会を東京都内で開催した。APT28のターゲットはロシア当局にとって利益となるような相手国の政府や軍、安保組織で、それらの内部情報を収集していた。具体的には、ジョージア国(旧グルジア)やポーランド、NATO、欧州安全協力機構(OSCE)などが挙げられる。これらの攻撃者は日本での展開が多く見られる「経済的利益」を目的としている標的型攻撃とは異なり、従来の「インテリジェンス活動」と同じスパイ活動を行っている。マルウェアは長期間にわたって計画的に進化、発展しており、古くは2007年から活動。感染したシステムの環境に最適な外部との通信を行っており、マルウェア解析を回避する技術も実装していたという。多くのマルウェアは、コア部分がロシア語環境で作成されたとみられる痕跡があり、作成された作業時間もロシアの業務時間であったケースが多かった。このことから、モスクワを拠点としており、政府の支援を受けている可能性が高いとファイア・アイは分析している。同社はまた、「具体例として挙げた各国と武力衝突があった時期にサイバー攻撃も活性化している」とする。これは2008年8月のロシアとグルジアの武力衝突や、2014年6月のバルト海域におけるNATOとロシア双方の軍事演習、同6月~9月におけるウクライナやジョージア、モルドバにおける連合協定やロシアの軍事行動など、それぞれのタイミングでスピア・フィッシングメール攻撃や偽造ドメインの展開などが積極的に行われていた点を理由としている。具体的な攻撃では、軍組織の偽サイトを構築し、ログイン情報を盗み取ろうとしたほか、軍事行動の内情を伝えるジャーナリストすらもターゲットになっていたという。こうした地政学的な問題を誘発する出来事に合わせて、APT28のマルウェアは進化・発展を遂げており、ファイア・アイは「日本周辺でもこの種の攻撃が表面化していない潜在した状態で存在している可能性を否定できない」としている。実際に、緊急対処支援において表面化したサイバー攻撃への対処として現場で事実解明を行うと、その攻撃に関係する潜在化している事象を数多く確認できるようになっているという。今後のサイバー攻撃では、消極的な姿勢が検知に繋がることは難しいため、「これまで以上に積極的な姿勢で検知することが求められる」としている。○綿密に攻撃計画を練る政府を狙った攻撃説明会にはファイア・アイの最高技術責任者(CTO)の名和 利男氏が登壇。名和氏は11月1日付でCTOに就任しており、以前は航空自衛隊でセキュリティ担当として業務に従事していた。名和氏は欧州側で地政学的な動きが起きるたびにサイバー攻撃が活発化している状況を踏まえ「日本でも潜在的な事象はすでに存在している可能性が否めない」と指摘。中国や北朝鮮などの練度が低いサイバー攻撃ではない「高度な攻撃がすでに起こっている」という。ただ、どこの組織の攻撃か特定するにはエビデンス(証拠)に乏しいとしており、今後さらなる分析が必要だと話す。「決してロシアに限った話ではなく、他の国や個々人から日本政府に対する攻撃は存在している。今回のサイバー攻撃については、会社の枠を超えて情報共有をセキュリティベンダー同士が行っている。ただ、経済的利益が得られるような攻撃ではなく、政府の機密情報を狙った攻撃は、官民連携だけではなく、官官連携(政府や省庁同士の連携)が必要」(名和氏)とのことで、民間企業を狙う「数撃ちゃ当たる戦法ではない慎重に時間をかけて侵入する」という攻撃の対策の重要性を説いていた。
2014年11月25日人前でのスピーチで一番難しいのは、質問への回答かもしれない。スピーチの内容は事前に準備できるが、スピーチを聞いている人が何を質問するのかは予測できないからだ。難しい質問にどう対応するか、できる準備は何か、Open Forumの記事「難しい質問に対応する6つの方法(原題:Getting Grilled:6 Ways to Handle the Tough Questions)」が伝えている。大勢を前にしたスピーチでは、質問にどのように対応するのかでそれまでの流れが変わってくる。記事では次の6つの方法を伝授している。○下準備時間に余裕があるなら、できるだけ綿密に想定される質問を洗い出しておきたい。洗いだしたらその次に「カテゴリ化」すると良いだろう。「売り上げに関すること」なのか「組織に関すること」なのか、はたまた「製品に関すること」なのかなどだ。そして最善の答えを用意する。そうすれば、質問の内容がどのようなものであれカテゴリに落とし込んで自分が用意した言葉での回答が可能になる。大切なことは、各カテゴリに伝えるべきポイントがきちんと入っていること。そうすれば、質問に対する答えとして言いたいことを再度強調できる。○回答する前に実際に質問があったら、慌てて回答する必要はない。落ち着いて次の2つを考えよう。質問者は誰か?顧客か従業員、提携先、投資家なのかという点だ。観客は誰か?スピーチ、そして質疑応答を聞いている観客は誰であるのかに注意しよう。それぞれを見極めた上で適切な言葉を使い分けたい。○虚偽は禁物想定外の質問であったり、弱みを突かれる内容であっても、嘘を伝えるのはNG。即座に答えられないなら、質問の内容を繰り返して確認した後に、「正確を期すために後で回答する」と答えよう。自分の担当外であればそれを伝え、担当者がコンタクトすると約束して誠意を見せよう。○信頼を構築する質疑応答は質問者の回答に答えることだけではない。質問者と会場にいる人の信頼を得ることも大きな目的だ。観客は自分に向かって話しているという感覚が欲しいし、大切にされていると感じたい。質問者の名前を聞いて、その名前を繰り返すだけでも、印象が変わってくることだろう。○間を置く矢継ぎ早に質疑応答を進めないように。質問が発せられたら少しの間を置いてから回答しよう。質問を繰り返してもよいし、出された質問に対してさらに明確すべく、こちらから聞き直すのもよいだろう。○終わりよければ全て良し?無事に質疑応答が終わったら、質問に対して感謝の言葉を述べたい。そして、「これ以外に質問があれば気軽に連絡して欲しい」と伝えよう。オープンな姿勢を見せれば、その場にとどまらない関係を構築できることだろう。
2014年11月25日独立行政法人情報処理推進機構(IPA)は21日、標的型サイバー攻撃の手口の一つ「やり取り型」攻撃が国内の複数の組織で確認されたとして、注意を喚起した。2014年8月から10月にかけ発生したもので、従来よりウイルスに感染させるための「やり取り」が巧妙さを増しているという。「やり取り型」攻撃とは、一般の問い合わせなどを装う無害な「偵察」メールのやり取りの後で、ウイルス付きのメールを送信してくるサイバー攻撃。受信者が返信すると、辻褄を合わせた会話を続けながら、ウイルス付きの添付ファイルを送付し執拗に感染を試みることが特徴。IPAでは、「やり取り型」の攻撃手口を2011年7月に最初に確認。2012年以降も断続的に発生していたが、直近1年ほどは同様の攻撃を確認していなかった。だが、2014年8月から10月にかけ、国内の5組織に対し同等の攻撃が計7件発生したことを新たに確認した。8月に発生した攻撃では、メールの送信元IPアドレスが2012年7月の攻撃と一致しており、添付ウイルスも類似していたことから、IPAは同一の攻撃者が数年に渡り国内組織へ攻撃を繰り返していると推測している。8月から10月にかけ確認された「やり取り型」攻撃の特徴としては、「外部向け窓口が狙われる傾向がある」「状況に応じてウイルスの形態を変化させる」「辻褄の合う会話を行う」「少数の宛先に送る」「パスワード付き圧縮ファイルを使う」など。IPAは対策として、実行形式のファイルなど不審なファイルを開かないこと、ウイルス対策ソフトウェアを最新状態に保つことなどに加え、「攻撃の手口を企業全体で認識、注意する」「不審メール受信時の連絡や情報共有・体制を整備する」「部からの不審な添付ファイルの安全な確認方法を検討する」などを推奨している。
2014年11月21日NECは11月19日、サイバー攻撃に対して、先読みして対策を打つ「プロアクティブサイバーセキュリティ」を実現するソリューションとして、社内ネットワークに接続されているサーバやPCなどの機器をリアルタイムで集中管理する「セキュリティ統合管理・対処ソリューション」と、サイバー攻撃に関する情報とその対処法などを即座に提供する「脅威・脆弱性情報管理ソリューション」という2つのソリューションを2015年度第1四半期から販売すると発表した。「セキュリティ統合管理・対処ソリューション」では、リアルタイムでの「構成管理」「対象特定」「対策実施」という3つのステップの自動化が可能だという。構成管理では、個々のICT機器の脆弱性の有無をリアルタイムに把握し、構成情報として、見える化を実現。対象特定では、脆弱性などが顕在化した場合、構成情報をもとに対策が必要な機器を即時に特定。対策実施では、対象特定で特定された機器に対して、必要に応じて「対策方法の通知」「修正ファイル適用」「ネットワーク切断」などの対策を実施する。一方、「脅威・脆弱性情報管理ソリューション」では、NECの専門家による分析に加え、世界各地で検知された脅威情報や発見された脆弱性情報などを迅速に収集し、NECの経験に基づく対処情報を加え、即座に提供する。
2014年11月19日Trend Microは11月4日(米国時間)、「脆弱性「Shellshock」を利用した新たな攻撃を確認。SMTPサーバを狙う|トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)」において、bashのセキュリティ脆弱性(通称:Shellshock)を悪用したSMTPサーバの攻撃を確認したと伝えた。件名、送信者、宛先、CCなどにShecllshock脆弱性を利用する不正コードを指定することで、攻撃が行われると説明されている。SMTPサーバが脆弱性を抱えていない場合でも、SMTPサーバ経由で実行されるソフトウェアとしてbashが利用されるなどしてShellshockが悪用される可能性もあるという。Trend Microは、今回の攻撃に関連したすべてのIPおよびドメインをブロックすることを推奨している。Shellshockはbashにおいて発見された脆弱性だ。環境変数に特定のコードを指定するだけで、bash起動時に任意のコマンドが実行されるという脆弱性で、システムシェルとしてbashが使われている場合など、広範囲にわたって影響があると見られている。環境変数はプロセスのfork(3)によってコピーされるため、間接的に問題のある動作が発動する可能性がある時は注意が必要。
2014年11月06日シマンテックは10月23日、この1月~8月の間、DDoS攻撃(分散サービス拒否)が増えているとブログで明らかにした。DNSサーバーを踏み台にしてDDoS攻撃を仕掛ける「DNS増幅攻撃」の数は、前回の調査より183%増加しており、シマンテックが運営するセキュリティ動向を調査する「Global Intelligence Network」で最も多く確認された手口だったという。第1四半期に多かったのは、NTP(Network Time Protocol) を利用した手口。これは、対象となるサーバーの多くでアップグレードや設定変更が実施されたためだと考えられるという。現在は減少傾向にあり、被害は沈静化している。また、「SNMP v2(簡易ネットワーク管理プロトコル)」「SSDP(簡易サービス発見プロトコル」など、攻撃者が新たなプロトコルを試すケースが増えているという。さらに、UnixサーバーではBashのShellShock脆弱性を悪用した攻撃が増えている。攻撃者は、UnixサーバーにDDoS スクリプトをインストールしておくことで、DDoSスクリプトや悪質なELFファイルがダウンロードされるとDDoSボットネットが構築される。DDos攻撃は複雑化し、複数の手法を組み合わることが多い。例えば、特定の標的を狙う際に、DDoS攻撃をして注目を集めさせている間に、本来の目的である別の攻撃をする事例もあったという。今後もDDos攻撃が減少する見通しはない。アンダーグラウンドのフォーラムでは、DDoS攻撃サービスが10ドル未満で取り引きされているのが現状だ。11月5日のガイフォークスデイには、サイバー犯罪集団のアノニマスが「Operation Remember」と称して攻撃活動を行うと発表しているなど、多数のDDoS攻撃が実行される可能性があるとしている。
2014年10月24日米Appleのクラウドサービス「iCloud」がサイバー攻撃を受けたことが確認された。New York TimesやWall Street Journalなどの複数の海外メディアがこれを報じる一方、Appleも同社のWebサイトで声明を発表している。報道によると、iCloudの中国ユーザーが中間者攻撃(Man-In-the-Middle)を受けて、不正アクセスを受けたという。Appleは同社のiCloudのサポートページで、「われわれは、ユーザーの情報を得ることを目的とした、不正な認証を悪用した組織的な攻撃を認識している」と述べている。同社によると、iCloudのサーバはこの攻撃の影響を受けておらず、OS X YosemiteでSafariによってiCloudにサインインすれば問題ないという。さらに、iCoudのサイトはデジタル証明書で保護されているので、Webブラウザに無効な証明書の警告が出た場合はApple IDとパスワードを入力しないよう警告している。正規のiCloudのサイトにアクセスしている場合、Webブラウザのアドレスバーの左端に表示される鍵マークが緑色になっている。中国の監視団体「GreatFire.org」は、中国政府がiCloudiCloudに保存されているデータを窃取するため、中間者攻撃を行っていると指摘しており、Appleにコメントを求めるためメッセージを送っているという。なお、Appleは攻撃者について触れていない。
2014年10月23日