サイバー犯罪者はどのような手口で口座情報やクレジットカード情報を狙っていて、私たちは何に気をつけなければならないのだろうか。本稿では、シマンテックのノートンビジネスユニット プリンシパルプロダクトマネージャーであるJordan Blake氏が、個人を標的としたサイバー攻撃の動向とその対策について、シドニーでのメディアツアーで語った内容についてご紹介する。○日本は世界2位のトロイの木馬感染国、年末はランサムウェアに注意Blake氏が近年の動向としてまず挙げたのは口座やカードの情報を狙ったトロイの木馬が増えている点。正規の手続きの中に偽の記入フォーマットを紛れ込ませ、それに個人情報を打ち込ませるMan in the Browserと呼ばれる攻撃や、パスワードを入力する際にスクリーンを撮影することで仮想キーボードでの入力情報を盗み見るなど、攻撃方法の巧妙化・多様化が進んでいる。国別で見ると日本はアメリカに次いで2番目に感染数が多く、以下英国、ドイツ、カナダと続く(2013年Q1時点)。また、近年話題となっているランサムウェアについて同氏は「これまで偽アンチウイルスを好んでいたサイバー犯罪者がランサムウェアへと移行している」と分析。2013年は感染数500%増と急速に拡大しており、「年末に感染数が増加傾向にあるので、これから注意が必要となる」と語った。さらにBlake氏はグレイウェアについても言及。この攻撃はユーザーにインターネットからフリーソフトをダウンロードさせ、インストールする際に手順をわかりづらくして、有害なオプションプログラムをインストールさせるというもの。一度インストールしてしまうとアンインストールが非常に難しく、同氏は「アプリケーションは信用できるサイト以外からダウンロードしない方が良い」とコメントした。○自分の身を守るには注意を怠らないことが大切サイバー犯罪者の攻撃から個人が身を守るには、Eメールに貼られたURLや知らない添付ファイルに触れない、検索エンジンで上位に現れるサイトをむやみに信用しないなどを心がける必要がある。OSやアプリケーションのアップデートを怠らないことや、Mozilla Firefoxなど比較的標的となりにくいブラウザを使うことなども有効だという。Blake氏はさらに、パスワードの自動生成ツールや、包括的なセキュリティスイートの利用を薦めている。現在シマンテックは日本で個人向けに「ノートンセキュリティ」を展開している。同製品は細分化していた製品ポートフォリオを統合し、複数のパソコン、スマートフォン、タブレットをまとめて保護できるようにしたものだ。この製品、実は他国に先駆けて日本でテストを行い販売が開始された。Blake氏は「製品の種類が少なくなるので、売り上げに対して多少不安もあったが、予想以上の好評を得て驚いている」とコメント。今後他国へも展開していく予定だという。
2014年12月17日シマンテックは12月15日、アンダーグラウンドの市場取引に関するセキュリティブログ記事を公開した。これによると、休暇シーズンには、多くのサイバー犯罪者が、他人のお金で買い物をするとともに、アンダーグラウンド市場を利用して違法な商品やサービスを売買しようとしている。さらに、盗難データや侵害されたアカウントは、1ドル未満で入手可能なものから、攻撃インフラなど大規模なサービスは、100ドルから数千ドルで売買されているものもあることもわかった。過去12カ月に発生したさまざまなデータ侵害や店頭レジ端末(POS)マルウェアの事案を考えると、アンダーグラウンド市場には盗難データがあふれていて、価格が下落するように見えるが、市場で売買されている違法な商品の場合は事情が異なるという。また、公衆インターネットで閲覧できる違法市場がある一方、2014年はアンダーグラウンドのサイトに関する報道が増えたため、多くの詐欺師たちがインターネットの暗部に移動することを余儀なくされた。例えば、一部のフォーラムは隠しサービスとして匿名のTorネットワーク上でホストされている。また、招待者のみがアクセス可能で、かつ最近盗まれたばかりのクレジットカード情報100件など、金銭や商品の取引実績が必要とされる市場がある。このような閉じたサークル内では通常、多くの商品やサービスがより安い価格で取引されている。販売されている盗難データには、電子メールアカウント(1000件が0.50ドル~10ドル)、クレジットカード情報(0.50ドル~20ドル)などがある。多くのアンダーグラウンド市場では、データの新鮮さも保証しており、クレジットカードが利用停止になっていた場合には購入後15分以内で交換することも可能だという。シマンテックでは、アンダーグラウンド市場が活況を呈していることから、自分自身のデータやIDを保護することが一層重要になり、次の基本的なセキュリティ対策を講じることを勧めている。
2014年12月16日カスペルスキーは12月12日、Kaspersky Labのグローバル調査分析チームによる2015年のサイバー犯罪の傾向と予測を発表した。調査によると、2015年は、まず第一に、金融機関を狙ったサイバー犯罪が増加すると予測。これまで金融機関の利用者がセキュリティの弱点として標的になっていたが、今後は、銀行自体を対象とした高リスクの標的型サイバー攻撃が増えると見ている。また、今年に入ってATMに対する攻撃が爆発的に増加したが、大半のATMが脆弱なシステムであるWindows XPで稼働しているため、今後さらに巧妙な攻撃が行われるだろうと予測している。ほかにも、個人情報が盗まれる被害がさらに拡大。Apple端末のセキュリティに対する懸念が高まる可能性もあり、インターネットに接続したさまざまな機器に対する新たな脅威が出現するという。特にネットワークプリンターなどを悪用して企業のネットワークに侵入するといったケースも想定されている。215年に起こりうる脅威のリストは次のとおり。新サービスのApple Payを含む、仮想決済システムへの攻撃ATMを直接狙った攻撃標的型サイバー攻撃を踏襲した手法により、銀行に侵入するマルウェアインターネットプロトコルに関する問題が増加。古いコードに新たな脆弱性が見つかり、インターネット基盤が危険にさらされるネットワークプリンターで顕在化した、インターネット接続機器への攻撃OS X向けの悪意あるソフトウェアが、トレントに代表されるP2Pや海賊版ソフトウェアパッケージによって拡散巨大なサイバー犯罪者集団が小規模な組織に分裂し、個別に活動を開始。攻撃の発信源の増加、攻撃の多様化、攻撃範囲の拡大が発生
2014年12月15日カスペルスキーは12日、Kaspersky Labの調査分析チームによる2015年のサイバー犯罪の傾向を発表した。同社は、2015年には特に金融機関を狙ったサイバー犯罪が増加すると見込む。従来は金融機関の利用者が標的になっていたが、2015年以降は銀行自体を対象とした高リスクの標的型サイバー攻撃が増え、ATMから直接現金を引き出す新たなマルウェアも開発されると予測する。金融機関への攻撃に関しては、直接銀行を狙う新たな標的型攻撃の傾向が見られ、例えば「遠隔操作でATMにコマンドを送り、現金を不正に引き出す」「顧客口座から不正なSWIFT送金を実行する」「オンラインバンキングシステムを不正に操作して、バックグラウンドで送金を実行する」といったサイバー攻撃の可能性を指摘。また、大半がWindows XPで稼働する銀行ATMに対する攻撃が2014年に入ってから爆発的に増加したとし、巧妙な手口で銀行のネットワークに侵入しATMをリアルタイムで不正操作する攻撃の可能性に警鐘を鳴らしている。
2014年12月12日トレンドマイクロは11月28日、Webサイトの改ざんを起点とするサイバー攻撃について、最新情報をブログで公開した。トレンドマイクロは、2014年10月の1カ月間に国内のIPアドレスからアクセスされた攻撃サイトのURLを抽出。その結果、攻撃サイトとして1200以上のドメインに対し、日本国内から約3万8000件のアクセスがあった。また、攻撃サイトで使用されている脆弱性攻撃キットを分類したところ約80%が「Rig Exploit Kit」が使われていた。同社は「Rig Exploit Kit」を使用した攻撃サイトに対し、その攻撃手法の解析。「Rig Exploit Kit」に限らず、多くの脆弱性攻撃キットではアクセスしてきた利用者の環境をJava Scriptによる判定で確認し、攻撃可能な脆弱性の攻撃コー(EXPLOIT)を送り込む機能を持っていることがわかった。脆弱性攻撃キットが複数の脆弱性を攻撃する仕組みを確認したところ、IE、Java、Silverlight、Adobe Flash といったWebの利用時によく使われる技術の脆弱性を一通り狙う。そして、1つでもクライアント側でアップデートが行われていなかった場合には、攻撃が発動して不正プログラムが侵入する。また、脆弱性の有無だけが攻撃の基準ではなく、ウイルス対策製品が導入されている環境には攻撃を行わないという条件も入っていた。ウイルス対策製品を入れていないセキュリティ意識の甘い環境を狙うという意図に加え、セキュリティベンダーに対し攻撃が発覚しないようにという意図もあるものと推測されるという。明確にセキュリティベンダーによる調査の妨害を狙った活動としては、同じ IPアドレスからのアクセスについて最初の 1回のみ攻撃スクリプトが実行される条件があることを確認した。どの脆弱性攻撃キットを使用しているかに関わらず、攻撃者は IE、Java、Silverlight、AdobeFlash と言ったインターネット上でよく使用される製品の脆弱性をすべて攻撃する。1つの製品でもアップデートが行われていなかった場合には、脆弱性攻撃が成功し不正プログラム感染被害に遭うため、インターネット利用者はこれらすべての製品のアップデートする必要がある。特に、IE以外の Java、Adobe Flash、Silverlight はネット利用者にとって使用している意識が薄いものであり、アップデートが行われていない可能性が高いという。Javaと Flash Player の自動更新するように呼びかけた。
2014年12月02日ファイア・アイは11月25日、ロシアのハッカー集団による高度なサイバー攻撃「APT28」の説明会を東京都内で開催した。APT28のターゲットはロシア当局にとって利益となるような相手国の政府や軍、安保組織で、それらの内部情報を収集していた。具体的には、ジョージア国(旧グルジア)やポーランド、NATO、欧州安全協力機構(OSCE)などが挙げられる。これらの攻撃者は日本での展開が多く見られる「経済的利益」を目的としている標的型攻撃とは異なり、従来の「インテリジェンス活動」と同じスパイ活動を行っている。マルウェアは長期間にわたって計画的に進化、発展しており、古くは2007年から活動。感染したシステムの環境に最適な外部との通信を行っており、マルウェア解析を回避する技術も実装していたという。多くのマルウェアは、コア部分がロシア語環境で作成されたとみられる痕跡があり、作成された作業時間もロシアの業務時間であったケースが多かった。このことから、モスクワを拠点としており、政府の支援を受けている可能性が高いとファイア・アイは分析している。同社はまた、「具体例として挙げた各国と武力衝突があった時期にサイバー攻撃も活性化している」とする。これは2008年8月のロシアとグルジアの武力衝突や、2014年6月のバルト海域におけるNATOとロシア双方の軍事演習、同6月~9月におけるウクライナやジョージア、モルドバにおける連合協定やロシアの軍事行動など、それぞれのタイミングでスピア・フィッシングメール攻撃や偽造ドメインの展開などが積極的に行われていた点を理由としている。具体的な攻撃では、軍組織の偽サイトを構築し、ログイン情報を盗み取ろうとしたほか、軍事行動の内情を伝えるジャーナリストすらもターゲットになっていたという。こうした地政学的な問題を誘発する出来事に合わせて、APT28のマルウェアは進化・発展を遂げており、ファイア・アイは「日本周辺でもこの種の攻撃が表面化していない潜在した状態で存在している可能性を否定できない」としている。実際に、緊急対処支援において表面化したサイバー攻撃への対処として現場で事実解明を行うと、その攻撃に関係する潜在化している事象を数多く確認できるようになっているという。今後のサイバー攻撃では、消極的な姿勢が検知に繋がることは難しいため、「これまで以上に積極的な姿勢で検知することが求められる」としている。○綿密に攻撃計画を練る政府を狙った攻撃説明会にはファイア・アイの最高技術責任者(CTO)の名和 利男氏が登壇。名和氏は11月1日付でCTOに就任しており、以前は航空自衛隊でセキュリティ担当として業務に従事していた。名和氏は欧州側で地政学的な動きが起きるたびにサイバー攻撃が活発化している状況を踏まえ「日本でも潜在的な事象はすでに存在している可能性が否めない」と指摘。中国や北朝鮮などの練度が低いサイバー攻撃ではない「高度な攻撃がすでに起こっている」という。ただ、どこの組織の攻撃か特定するにはエビデンス(証拠)に乏しいとしており、今後さらなる分析が必要だと話す。「決してロシアに限った話ではなく、他の国や個々人から日本政府に対する攻撃は存在している。今回のサイバー攻撃については、会社の枠を超えて情報共有をセキュリティベンダー同士が行っている。ただ、経済的利益が得られるような攻撃ではなく、政府の機密情報を狙った攻撃は、官民連携だけではなく、官官連携(政府や省庁同士の連携)が必要」(名和氏)とのことで、民間企業を狙う「数撃ちゃ当たる戦法ではない慎重に時間をかけて侵入する」という攻撃の対策の重要性を説いていた。
2014年11月25日NECは19日、サイバーセキュリティ事業における新たな取り組みを発表した。サイバー攻撃を受ける前にプロアクティブ(先読み)に対策を行うという考え方で、2つのソリューションを提供する。同社では、今後セキュリティ事業を強化し、2017年度には売上2,500億円を目指す考えだ。○「サイバー攻撃は他人事ではない」NEC・清水氏新しいソリューションは、企業内などにあるサーバや各クライアント端末を個別にみるのではなく、1) 全体として集中管理し、2) 適切な対策情報をリアルタイムに提供するという2つの仕組みを提供する。新規に立ち上げた「セキュリティ統合管理・対策ソリューション」と「脅威・脆弱性情報管理ソリューション」の2種類のソリューションで、上記の仕組みを提供する。2015年度第1四半期に販売を開始し、セキュリティ統合管理・対策ソリューションは製品またはクラウドサービスとして、脅威・脆弱性情報管理ソリューションはクラウドサービスとして提供する。NECは、昨年の中期経営計画で新たなビジョンを打ち出した。「社会価値創造テーマ」として7分野を示し、そのテーマを支える4つの技術として「SDN」「クラウド」「ビッグデータ」「サイバーセキュリティ」を挙げ、事業として注力していく計画。サイバー攻撃は、「多くの企業ではまだまだ他人事に思われているのが現状」とNEC取締役執行役員常務兼CMOの清水隆明氏は指摘。清水氏は、2013年度に日本の政府機関がサイバー攻撃を受けた件数が508万件にも上り、オンラインバンキングの不正送金、企業の情報窃取といった攻撃の例を挙げ、「我々の生活を、企業を、国を守るためにも、サイバーの脅威に対応するようなサイバーセキュリティのソリューションを強化していきたい」と強調する。○数千億円規模の「サイバー闇市場」サイバー攻撃には、数千億円規模という「サイバー闇市場」の存在が影響しており、攻撃が巧妙化、高度化している。いったん攻撃に遭うと、機密情報の漏えいや業務・サービスの停止による信用の失墜、そしてそれにともなう巨額の賠償や損失といった影響が起こりえる、と同社サイバーセキュリティ戦略本部の松尾好造本部長は言う。JPCERT/CCのレポートでは、2011年から13年にかけて、国内のインシデント報告件数は約3倍に増加したが、それは氷山の一角だと松尾氏は指摘する。セキュリティの問題は「ICTのみの問題ではなく、社会全体の問題」と松尾氏。自社が長年培ってきた他社にはない世界最先端レベルのセキュリティ技術とノウハウ、そしてユーザーに対するICTベンダーとしての役割を提供することで、社会全体への貢献をしたいと松尾氏は語る。NECは、90年代からファイアウォール関連技術を開発し、セキュリティ関連では20年の実績がある。14年でも、内部犯行対策ソリューションや地方自治体向けマイナンバー制度対応ネットワーク・セキュリティソリューション、SDNセキュリティソリューションを発表しており、今回の2つのソリューションはそれに続くものとなる。○「プロアクティブ」(先読み)で攻撃から発見までの時間差を解消これまでのセキュリティ対策では、新たな脆弱性やマルウェア、サイバー攻撃が発見されて、その対策が提供されるまでの時間差がセキュリティリスクとなっていた。今回のソリューションの「プロアクティブ」(先読み)は、この時間差を埋めてリアルタイムに対策を行おうというもの。セキュリティ統合管理・対策ソリューションは、通常時に社内などのシステムの構成を管理してデータベース化。いざ脆弱性が発見された場合、対策が必要な機器をすぐに特定でき、その特定した機器への対策を実行できる。この脆弱性情報を即座に把握するために、脅威・脆弱性情報管理ソリューションを提供。世界各地で検知された脅威情報や脆弱性情報などを収集し、NECの専門家が分析を加えてリアルタイムで提供する。これによって、早期に問題に対処できるようになる。情報を早期に受信できることで、多くの攻撃の「先読み対策が可能」と松尾氏。実際、昨年末に脆弱性が発見された際には、NECグループ内のサーバや端末約18万台の中から、脆弱性のある端末を1時間で特定できたという。機器の集中管理をしていない場合、この特定には「2~3週間が必要」(松尾氏)という。NECでは、今後も商品を強化していき、ビッグデータ技術やSDN技術も組み合わせ、「制御システム」「IoT」といった分野でもサイバーセキュリティ対策を拡大していきたい考え。これにともなってサイバーセキュリティ専任の人員強化も図り、2017年度には現在の倍となる約1,200人に体制を拡大する。そして、サイバーディフェンス研究所やインフォセックのような買収、シンガポール政府との共同人材開発、国際刑事警察機構(インターポール)との提携や日本サイバー犯罪対策センター(JC3)への参加といった各機関との連携も進め、今後も幅広くビジネスを強化。2017年度には13年度の1,100億円から2倍以上となる2,500億円の売上を目指す考えだ。
2014年11月20日NECは11月19日、サイバー攻撃に対して、先読みして対策を打つ「プロアクティブサイバーセキュリティ」を実現するソリューションとして、社内ネットワークに接続されているサーバやPCなどの機器をリアルタイムで集中管理する「セキュリティ統合管理・対処ソリューション」と、サイバー攻撃に関する情報とその対処法などを即座に提供する「脅威・脆弱性情報管理ソリューション」という2つのソリューションを2015年度第1四半期から販売すると発表した。「セキュリティ統合管理・対処ソリューション」では、リアルタイムでの「構成管理」「対象特定」「対策実施」という3つのステップの自動化が可能だという。構成管理では、個々のICT機器の脆弱性の有無をリアルタイムに把握し、構成情報として、見える化を実現。対象特定では、脆弱性などが顕在化した場合、構成情報をもとに対策が必要な機器を即時に特定。対策実施では、対象特定で特定された機器に対して、必要に応じて「対策方法の通知」「修正ファイル適用」「ネットワーク切断」などの対策を実施する。一方、「脅威・脆弱性情報管理ソリューション」では、NECの専門家による分析に加え、世界各地で検知された脅威情報や発見された脆弱性情報などを迅速に収集し、NECの経験に基づく対処情報を加え、即座に提供する。
2014年11月19日日本電気(NEC)とトレンドマイクロは11月18日、SDN対応製品とセキュリティ製品を連携し、サイバー攻撃を自動防御するソリューションを共同開発したと発表した。2015年3月よりNECが提供を開始する。両社は、NECが培ってきたSDNの技術とトレンドマイクロのセキュリティ脅威検知・解析技術を連携させることで、顧客のシステム全体を俯瞰し、セキュリティリスクやサイバー攻撃を早期に特定し、SDNによって迅速な初動対応の自動化を実現するソリューションを共同で開発。顧客のセキュリティリスクの最小化と安全なシステム運用を実現していくことを目指す。NECは、SDNの普及促進を図るため、2014年10月にSDNパートナーシッププログラム、NEC SDN Partner Spaceを開始。トレンドマイクロでは、SDN等の仮想化技術と連携した次世代セキュリティアーキテクチャの開発を進めており、NEC SDN Partner Spaceにも参加。今回発表する連携ソリューションは、両社によるSDNパートナーシップ連携による成果の第一弾となる。具体的には、トレンドマイクロの「Deep Discovery Inspector」「Trend Micro Deep Security」による、ネットワーク上のふるまい監視、不正プログラム感染や改ざんの検知などに基づき、NECのSDNコントローラ「UNVIVERGE PF6800」がSDNネットワークを動的に制御することで、不正なPC端末やサーバなどの隔離・遮断、検疫、監視、および通信経路変更によるサービスの切り替えが自動化。その結果、標的型攻撃などの高リスクなセキュリティインシデントに対して迅速な初動対応が可能になり、また検知から処置までを自動化することによって、人的な操作ミスの削減が可能になるとともに、運用者のスキルに頼らない運用レベルの均一化が可能になる。NECはこのソリューションを、2015年3月より、850万円~の価格で、主に個人情報を取り扱う官公庁や自治体、ならびに民間企業向けに提供を行う。今後両社において、高度な相関分析機能を実装し、仮想ネットワークに限らず、ITシステムを構成する仮想サーバやセキュリティ機器等の自動制御を行うソリューションを順次共同で開発していくことにより、企業のITシステム全体の運用継続や可用性の維持を実現する。
2014年11月19日NECとトレンドマイクロは18日、サイバー攻撃を自動防御するソリューションを共同開発したと発表した。2015年3月からNECが提供開始する。個人情報を取り扱う官公庁や自治体、民間企業向けに提供する。価格は850万円から。開発したソリューションは、トレンドマイクロのセキュリティ製品「Deep Discovery Inspector」「Trend Micro Deep Security」によるネットワーク上のふるまい監視、不正プログラム感染や改ざんの検知などに基づき、NECのSDN(Software-Defined Networking)に対応する「UNIVERGE PF」シリーズがSDNネットワークを動的に制御することで、不正なPCの端末やサーバなどの隔離、通信の遮断、検疫などを自動で行う。なお、SDNとはネットワークをソフトウェアで制御する仕組みのこと。両社は、サイバー攻撃の巧妙化が進む中で、未然の侵入対策だけでなく侵入された場合の被害範囲の最小化も重要な課題だとし、NECが培ってきたSDN技術と、トレンドマイクロのセキュリティ脅威検知技術を連携させることで、セキュリティインシデントの迅速な初動対応や人的な操作ミスの削減が可能となり、運用レベルの均一化が図れるとする。
2014年11月18日日本版NCFTAとしてサイバー空間の脅威に対処するための非営利団体「一般財団法人日本サイバー 犯罪対策センター(JC3:Japan Cybercrime Control Center)」が11月13日から業務を開始した。昨今、標的型攻撃などを中心としたサイバー攻撃による情報流出の被害が拡大しており、特に公的機関の機微情報、企業の最新技術、個人情報などが組織的なプロ集団に狙われている。こうした被害によって、企業の社会的信用の失墜、事業停止、場合によっては企業活動の継続が困難になるなど、情報セキュリティ対策強化の必要性がますます高まっている。JC3は、産業界、学術研究機関、法執行機関それぞれが持つサイバー空間の脅威への対処経験等を全体で蓄積・共有するとともに、警察による捜査権限のより効果的な行使をはじめとする脅威への先制的・包括的な対応を可能とする産学官の新たな連携の枠組み。国内はもとより、例えば米国のNCFTA(National Cyber-Forensics & Training Alliance)などの海外の関係機関との情報共有および協力関係を構築し、深刻化・複雑化するサイバー空間の脅威の大本を特定し、被害を軽減、無効化することを目指す。賛同している企業・機関・研究者は、NECやNRIセキュアテクノロジーズ、セコム、デロイトトーマツリスクサービス、トレンドマイクロ、日立製作所、ラック、みずほ銀行、三井住友銀行、ゆうちょ銀行、楽天、インフォセック、S&J コンサルティグ、FFRI、サイバーディフェンス研究所、情報セキュリティ大学院大学、首都大学東京 教授 星 周一郎、東京電機大学 教授 安田 浩、警察庁などとなっている。
2014年11月14日米Appleのクラウドサービス「iCloud」がサイバー攻撃を受けたことが確認された。New York TimesやWall Street Journalなどの複数の海外メディアがこれを報じる一方、Appleも同社のWebサイトで声明を発表している。報道によると、iCloudの中国ユーザーが中間者攻撃(Man-In-the-Middle)を受けて、不正アクセスを受けたという。Appleは同社のiCloudのサポートページで、「われわれは、ユーザーの情報を得ることを目的とした、不正な認証を悪用した組織的な攻撃を認識している」と述べている。同社によると、iCloudのサーバはこの攻撃の影響を受けておらず、OS X YosemiteでSafariによってiCloudにサインインすれば問題ないという。さらに、iCoudのサイトはデジタル証明書で保護されているので、Webブラウザに無効な証明書の警告が出た場合はApple IDとパスワードを入力しないよう警告している。正規のiCloudのサイトにアクセスしている場合、Webブラウザのアドレスバーの左端に表示される鍵マークが緑色になっている。中国の監視団体「GreatFire.org」は、中国政府がiCloudiCloudに保存されているデータを窃取するため、中間者攻撃を行っていると指摘しており、Appleにコメントを求めるためメッセージを送っているという。なお、Appleは攻撃者について触れていない。
2014年10月23日NTTソフトウェアは、Webサイトをサイバー攻撃の脅威から守るセキュリティサービス「TrustShelter(トラストシェルター)」の発売を11月4日から開始すると発表した。近年、改ざんやウイルスの埋め込みなど、Webサイトに対する攻撃が増加しており、2014年上半期で2000件を超すWebサイト改ざんの被害届けがJPCERTコーディネーションセンターに提出されている。特に、最近のサイバー攻撃は技術的に複雑化・巧妙化が進み、次々と新しい攻撃が出現し、IT担当者には大きな負担となっている。このような背景から、NTTソフトウェアは「TrustShelter」として、Webサイトのセキュリティ対策に必要なサービスの販売を開始する。このサービスは、Webサイトの「攻撃遮断」と「改ざん検知」「セキュリティ診断」をクラウドサービスとして提供。サービスで用意している3つの対策メニューの中から、セットでの利用または必要なメニューを選択する。
2014年10月17日資産高で米最大の金融機関であるJP Morgan Chaseが、先に明らかになったサイバー攻撃の被害規模について最新情報を報告した。約7600万世帯・700社分の顧客データが影響するという大規模なもので、同社が10月2日に証券取引委員会(SEC)に提出したForm 8-K書類により明らかになった。この事件はJP Morganが8月に明らかにしていたもので、今回の書類でその規模について最新情報を公開した。それによると、不正アクセスを受けたのはWebサイト(Chase.comとJPMorganOnline)、それにChaseとJ.P. Morganの両モバイルアプリの利用者の顧客情報。流出したのは名前、住所、電話番号、電子メールアドレスなどの連絡先情報で、ユーザーが関連するJPMorgan Chaseの内部の情報で、約7600万世帯と小規模企業700万社が影響していると報告している。口座番号、パスワード、ユーザーID、生年月日、社会保障番号などの情報については、流出した形跡がないと述べている。このサイバー攻撃により流出した情報を利用した詐欺などの不正行為については、観測されていないとのことだ。これは米国の約3分の2の世帯に相当する規模となるが、すべてが米国の世帯かどうかなどは明かしていない。Wall Street Journalでは、攻撃者は6月から8月にかけて定期的に攻撃を繰り返していたと情報筋の話を紹介している。JP Morgan側が攻撃に気がついたのは8月中旬で、攻撃を阻止する対策を取ったという。このサイバー攻撃の犯人などはまだわかっておらず、JP Morganは警察と協力して調査を続けているところだという。
2014年10月03日トレンドマイクロは10月1日、国際刑事警察機構(インターポール)と3年間にわたる協定を結び、同組織と190の加盟国・地域が、世界規模でサイバー犯罪を削減するために必要な新しい知識、リソースおよび戦略を獲得できるよう支援していくと発表した。トレンドマイクロは、今後3年間にわたり、Trend Micro Threat Intelligence Serviceを通じ、インターポールに対し脅威情報分析を提供。この新しい取り組みにおいて、サイバー犯罪を調査、および抑止し、最終的にはサイバー犯罪の発生を防止することを目指し、公的機関と民間企業における情報共有のギャップを埋める上でも重要な役割を果たすことが期待されている。また、今後ますます多くの調査実施を余儀なくされる加盟国・地域に対し、サイバー犯罪調査における技術改善と能力向上を目的とするトレーニングプログラムを提供。その準備のために、同社のセキュリティリサーチャーが、シンガポールに新たに設立されたサイバー攻撃の国際研究センターであるINTERPOL Global Complex for Innovation(以下、IGCI)に常駐を開始した。さらに、インターポールは、ポータルサイトやエンドポイントを保護するOfficeScan(コーポレートエディション)、InterScan Web SecurityおよびPortalProtect、セキュアなコミュニケーションを提供するScanMail SuiteやInterScan Messaging Security、Webベースのアプリケーションを保護するDeep Securityなどの同社製品をIGCI内で活用していく。
2014年10月02日ラックが9月29日に、自社へのサイバー攻撃・ウイルスの侵入状況を「脅威分析情報」として公開すると発表した。企業では隠されることが多いサイバー攻撃の被害状況・ウイルスの侵入ルートを、積極的に公開する新しい試みだ。会見では、まず緊急情報として、GNU Bashの脆弱性(Shell Shock)をとりあげた。ラック取締役最高技術責任者の西本逸郎氏は「GNU Bashの脆弱性は、最高ランクの脅威度。Linuxの基本システムで利用されているシェルであり、ほぼすべてのディストリビューションが影響を受ける。サーバーはもちろんのこと、組み込み機器、ルーターなどにも組み込まれている可能性があるので注意が必要だ」と述べた。世界的に問題になっているGNU Bashの脆弱性だが、ラックの監視センター・JSOCでも「26日の時点で、この脆弱性を狙った複数件の攻撃を確認している。Webサーバーの乗っ取りを試そうとして失敗した痕跡がある」とのこと。西本氏は「今後、攻撃が増加すると予測される。深刻な自体につながる可能性があるので、可能な限り広い範囲に対策の必要性を伝えてほしい」と注意を促した。GNU Bashuの脆弱性についての注意喚起は、IPAが最新の情報を「更新:bash の脆弱性対策について(CVE-2014-6271 等)」でまとめているので参考にしてほしい。○企業はスパイ系のセキュリティ被害を隠すことがほとんど。ラックでは公開して注意喚起へ西本氏は昨今のスパイ系セキュリティ被害の状況について「官公庁や防衛産業など以前から標的となっている組織は、対策が進んで検知・防御できるようになった。しかし中小企業・開発会社など一般的な組織はまだ甘い。官公庁や防衛産業などに進入するための手段として、中小企業が開発会社がなどがターゲットにされている」と述べた。一般企業でも、高度なスパイ対策が必要だが、意識がそこまで至っていないのが問題だとしている。スパイの実態を知らせることができれば、一般企業への啓発にもなるが、実際には「高度なセキュリティ対策を実施している組織が、その実態を世間に公開することはあり得ない」と西本氏は分析している。実際に様々な企業で不正アクセス事件が起きているが、その詳細な手口が公開されることはほとんどない。自社の信頼性やブランド価値が落ちることを恐れ、具体的な事故情報が公開されることはなかった。そこでラックでは、自社に対するサイバー攻撃の侵入方法を具体的に公開することを決めた。「失敗事例があれば学ぶことができる。しかしどの企業もも自分の『失敗』を知らせようとはしない。それならラックがやろうと。社内の反対もあったが、うちがやられなければ、どこがやるのか?と説得して公開することにした」と、西本氏は述べた。○FireEyeなどによる「脅威分析情報」をウェブサイトで広く公開具体的には以下の様な形で情報を収集・公開する。ラックのシステム管理部門を、今までの運用保守だけでなく、新事業サービス化への実験台として検証評価をする「スマート・ビジネス・ファクトリ」として強化するサイバー攻撃への防衛体制としては、高度なマルウェア対策ができる「FireEye」、IDS/IPS、ファイアウォールの活用による出口対策などを行う侵入監視を国内最大級のセキュリティ監視センターJSOCが行う検知したサイバー攻撃を、ラックのサイバー救急センターが分析・公開する一言でまとめるとすれば「ラックの社内システムを実験台として動かし、サイバー攻撃の被害状況を公開する」。この中でも特に注目なのは、FireEyeによる監視だろう。新設されたラックのスマート・ビジネス・ファクトリで統括マネージャを務める犬塚正典氏は「8月からFireEyeを導入した。ふるまい検知でマルウェアを発見できるFireEyeを活用して、侵入方法などを知らせていく」と語る。FireEyeは大企業や官庁などで導入されているマルウェア対策システムで、シグネチャ方式ではなく、疑わしいふるまいを検知し防御するもの。FireEyeによる具体的な検知結果が公開されることはあまりないため、他の企業にも参考になりそうだ。○スパイウェア感染・水飲み場攻撃の事例を公開今回の発表に合わせて、2件の具体的な被害の事例が公開された。ラックのウェブサイト「注意喚起情報・脆弱性情報」で見ることができる。社内のPCでスパイウェア感染。外部への通信を捕捉ラック社内のパソコンに「SaveitKeep」というアドウェアと思われるものがインストールされており、国外のIPアドレスに向けて接続が行われていた。FireEye NXシリーズが検知したもの。PCから削除することによって事態を解決した。改ざんされたサイトでの水飲み場攻撃検知FireEye NXシリーズが不正なURLを検知。jpドメインの正規サイトが改ざんされており、不正なサイトに誘導しようとしていた。ラック社員が訪問してもおかしくないサイトで、いわゆる水飲み場攻撃の手口だった。社内PCのマルウェア感染はなかったという。これらの状況は「セキュリティ会社でさえ、PCがスパイウェアに感染していた」といえる。これを公開することは、セキュリティ企業としては勇気のいることだろうが、「ラックでも被害に遭う。一般企業ではさらに危険だ、という警鐘になればと思う」と西本氏は述べている。今後もラックの社内でサイバー攻撃の被害が出た場合は、「脅威分析情報」として公開される。マルウェアの具体的な手口や、被害の原因がハッキリとわかるので、セキュリティ担当者は注目しておきたい。。
2014年09月30日AIU保険は、5月17日に販売を開始した個人情報漏洩保険の「サイバー攻撃対応費用特約」の契約者がサイバー攻撃を受けた際の初期対応の支援を目的として、情報セキュリティの専門会社であるサイバーディフェンス研究所(以下CDI)と業務提携契約を締結したことを発表した。同特約は、個人情報漏洩が発覚する前のサイバー攻撃を受けた段階から補償を開始し、セキュリティ専門機関による迅速な初期対応をサポートすることにより、情報漏洩、信用失墜、システム停止などの被害を抑え、賠償リスクの軽減を図るというもの。今回の提携により、顧客が被害に遭った際には同社がCDIを紹介し、初期の「ダメージコントロール」を支援、被害の最小化と速やかな復旧、賠償リスクの軽減が確保されるとしている。CDIが提供する初期対応は、被害状況の把握、証拠保全、被害拡大防止、保全された証拠の調査(デジタル・フォレンジック)の4つ。なお、AIU保険が認定した、CDI以外のセキュリティ専門機関についても特約の補償対象とする。AIU保険は、多様性を増すサイバー攻撃のリスクに対して、リスクマネジメントに役立てるよう保険会社としての社会的な責任を果たしていくとしている。【拡大画像を含む完全版はこちら】
2012年06月25日人気海外ドラマ『CSI:マイアミ9』に新米刑事ウォルター・シモンズ役で出演中のオマー・ベンソン・ミラーが、“世界で最も視聴者が多いテレビドラマ”と呼ばれた同シリーズの魅力や、主人公の“鬼チーフ”を演じるデヴィッド・カルーソーの熱い人柄について語った。その他の写真同シリーズは『パイレーツ・オブ・カリビアン』シリーズのヒットメーカー、ジェリー・ブラッカイマーが製作総指揮を務め、全米屈指の犯罪都市マイアミを舞台に、マイアミ=デイド郡警察CSI(科学捜査班)のメンバーが巨悪と戦う犯罪捜査ドラマ。陽気な新人シモンズ役で前シーズンより出演中のミラーは、「特にシーズン9はアクションだ。すごいことになっているよ(笑)」と最新シーズンでは活劇面に注力していると言い、「ホレイショ(カルーソー)を筆頭にCSIチームは、それまでとは違う型破りな捜査を始める。それがアクションを誘発して、しかも善と悪に分かれていた人間関係がグレーになってくる。映像的にもより映画的アプローチで見ものだよ」とアップグレードを遂げた世界観を力説した。“マイアミの顔”と言えば、そのCSIの“鬼チーフ”ホレイショ・ケインだ。悪人には容赦しない正義感や名ゼリフを決める硬派なスタイルが人気で、あのジム・キャリーがモノマネをしているほど!実は、演じるカルーソーと会った人間は終始ホレイショのままという彼の入れ込みように圧倒されるそうだが、その伝説の真偽をミラーに聞くと、「確かに!」と大爆笑!「最初に会った時、脅威に感じる人がいるって聞いたことがある(笑)。彼は何をするにも真剣で、根を詰めているように見えるからね」とカルーソーの真面目な性格を説明した上で、「でも、彼ほどファニーな男はいない。ユーモアにあふれていて、僕に対しても初対面から優しかった」と途中参加のミラーを気遣ったエピソードも教えてくれた。また、今シーズンではシモンズ刑事も、「今までのようなただの新人というわけにはいかなくなる」と劇的な変化に直面する。「冒頭の彼は友人でもある人間とお別れをしなければならず、その悲しみを乗り越えて成長していく」と、陽気な彼にもシリアスな設定が加味されるほか、「より責任も大きくなって、より信頼もされていくので、犯人を追いかけるアクションにも参加するようになるよ」と、1人の科学捜査官としても成長することを明かしたミラー。番組史上最大限に進化と深化を遂げた印象の最新シーズン。発売が待ちきれない!『CSI:マイアミ9』6月9日(金)、コンプリートDVDBOX-1リリース13440円(税込)発売・販売:角川書店取材・文・写真:鴇田 崇
2012年06月05日AIU保険会社は17日、企業が外部から不正アクセスなどのサイバー攻撃による被害を受けた際、その初期対応に要した費用を補償する保険商品『サイバー攻撃対応費用特約』を新たに開発し、同日から販売すると発表した。同商品は、企業が標的型メール攻撃、不正アクセス、DoS攻撃などのサイバー攻撃に遭った時に、セキュリティ専門機関が行う被害状況の把握、証拠保全、被害拡大防止、保全された証拠の調査(デジタル・フォレンジック)などの初期対応に要した費用を補償する保険で、個人情報漏洩保険の特約として開発したもの。日本の大手企業や官公庁を狙ったサイバー攻撃による個人情報流出の事例、機密情報が狙われるといった報道が多くみられる。また、大手企業のみならず中小企業もサイバー攻撃の標的となり、今日の日本企業や組織が深刻な情報漏洩のリスクに晒されていることが浮き彫りとなっている。特に最近では、人や組織を信じ込ませるために関係者を装い、ウィルス対策を回避して標的ごとに作成したマルウェア(ウィルスなど)を仕込んだ電子メールを送りつけピンポイントで攻撃してくるサイバー攻撃、いわゆる『標的型メール攻撃』が大きな脅威となっている。AIU保険会社ではこのような状況を受け、サイバー攻撃によるリスクを軽減するニーズに応え、被害時の初期対応に要する費用を補償する同特約を開発した。従来の個人情報漏洩保険では、個人情報が漏洩した場合に要した危機管理実行費用や法律上の損害賠償責任が補償の対象だったが、この特約をセットすることで、情報漏洩が発覚する前のサイバー攻撃を受けた段階から補償を開始し、セキュリティ専門機関による迅速な初期対応をサポートすることにより、情報漏洩、信用失墜、システム停止などの被害を抑え、賠償リスクの軽減を図る。サイバー攻撃によるセキュリティ上の事故とは、以下の通り。コンピュータなどへの不正アクセス・不正使用コンピュータシステムの安全対策上の不備(セキュリティ・ホールなど)を利用してネットワークを経由してアクセスする行為他人のIDやパスワードなどをネットワークを経由してコンピュータに入力することで他人になりすましてアクセスする行為悪性コードの送付DoS攻撃補償の対象となる費用は、セキュリティ専門機関が行う初期対応に要する費用で、(1)被害状況の把握、(2)証拠保全、(3)被害拡大防止対応、(4)保全した証拠の調査、以上の対応に要した費用となる。【拡大画像を含む完全版はこちら】
2012年05月17日