西本逸郎氏のセキュリティコラム「第1クールのまとめと年末年始に向けた対策のポイント(執筆日2013年10月10日)」

まずは、今年の9月18日の結果について報告します。以前のコラムで紹介しましたが、2010年に尖閣諸島周辺で中国漁船と海上保安庁の巡視船が衝突し中 国漁船の船長を逮捕したことに端を発して、2010年からの3年間は、中国からと推測される攻撃により、特に官公庁を対象とした業務妨害やサイト改ざんが 発生しました。また、昨年は、官公庁だけではなく一般の民間企業にも攻撃対象が拡大しました。

そのため、今年も警戒をしていましたが、さて、どうだったのでしょうか。

結 論からお話しますと、今年は大きな騒ぎにはなりませんでした。攻撃を呼びかけるネットの書き込みはいくつかのあったようですが、すぐに削除されていたよう です。また、多くの掲示板でも関連する「板」は、会員制になっているところも多く、監視されていることを意識し情報交換を行うように変化したと推測されま す。

改ざん被害はどうだったのでしょうか。今年は、官公庁・公共機関や有名企業で被害が起きなかったために、大きく報道されることはありませんでしたが、数十サイトの民間企業や団体などのホームページが改ざんされました。

laccolumn04_zu

最 初は、単に改ざんだけでしたが、後には、閲覧者にウイルスを感染させる細工を施した改ざんも見られました。政治的抗議行動に関連した改ざんでは、私は初め て確認しました。単なる、脅しかもしれませんが、改ざん事件に興味を持っている誰かに遠隔操作ウイルスなどを送り込みたいと仕組んでいるのかもしれませ ん。

このように今年は、騒ぎにはなりませんでしたが、手口はより悪質になりました。また、不都合な書き込みを効果的に削除することで、炎 上をコントロールできるようになったように推測されます。逆に言えば、ネットでの議論をコントロールする術を身に着けたのではないかとも考えられます。

今後も、油断できません。

さて、次はリスト型攻撃といわれているものも、話題になりました。

それは、ECサイトなどで、他で入手したと考えられるアカウント情報(ログインIDとパスワードのセット)の束(=アカウントリスト)を試し、不正ログインを試みる攻撃です。

3 月頃から、有名サイトを含む数多くのサイトで不正アクセスの報告といった形で告知されているので、目にした方も多いと思います。この、リスト型攻撃におけ る不正アクセスは、本来は利用者側の責任です。一般的な個人情報窃取事件とは異なり、刑事罰に相当し、やった側が犯罪者です。それでも、多くのサイトで 「今回の事象の発生を厳粛に受け止めて再発防止に努めます」としている点は、驚きです。

ところが、誰かが一度こういうことを言い出すと、 こういう対応を行うことが当たり前になってしまうのも危険なことだと思っています。もちろん、お客様の財産を取り扱うサイトなどでは、理解できますが成り すましが大きな脅威になるとも思えないところでも同じように告知しているのは、「多くの利用者がパスワードを使いまわしている」がごとく「被害サイトも告 知分を使い回ししている」と推測されます。

個々のサイトで性質は異なり脅威も異なります。それを考慮し関係者を守る姿勢でことにあたる必要がありますが、それができていない証左である可能性も高いと思います。

ち なみに、リスト型攻撃の狙いには大きく二つがあると推測しています。一つ目は、ポイントの換金など直接的な金銭目的、もうひとつは、単なるアカウントの有 効性確認です。多くの被害報道を見る限り、多くのところで単にログインのみ行っていると推測されるところも多いからです。実際、私たちが以前から目にして いる事件でも、ログインだけ行い、その後何もしない攻撃というのは多いものです。サイトごとの有効なアカウント情報の束を、何らかの理由で必要としている 人に販売する目的ではないかと、推測はしていますが、実際のところは、わかりません。

会員向けサイトの運用、社外からのVPNなどを利用しているところでは、このリスト型攻撃を受けていても不思議ではありません。実態調査を適当な時期に時々実施してみることをお勧めします。

最後に、サイト改ざんの話です。

今年は、閲覧者のパソコンにコンピュータウイルス(以降、単にウイルス)を感染させることが目的のホームページ改ざん事件が多発しています。

警察庁:
外見上変化のないウェブサイト改ざん事案の多発について
http://www.npa.go.jp/cyberpolice/detect/pdf/20130607.pdf

独立行政法人情報処理推進機構:
「ウェブサイトが改ざんされないように対策を! 」
http://www.ipa.go.jp/security/txt/2013/06outline.html

閲 覧者から「ホームページを表示しようとしたらウイルス対策ソフトが反応した。」との連絡を受け、改ざん実態の調査を始めることが典型的なパターンです。多 くの場合、管理者が閲覧し改ざんを確認、改ざん内容や原因を突き止め、対策を講じるという流れです。しかし、サイトの管理者が、いくら調べても、閲覧する だけではその事実を見つけることは出来ず、サーバなどのハードディスクや蓄積されている膨大な記録から時間をかけて、より詳細に調査を行い、初めてその事 実を確認できるということもあります。

というより、私たちに依頼がある場合の多くはこのタイプです。つまり、外から閲覧するだけでは分からないような仕掛けが施されていることも多いのです。

ま た、多くの改ざん事件をウォッチしていると、閲覧者に改ざんの事実も伝えることなくこっそり修正を行い再開しているケースも良く見かけます。また、事件報 告の大半も、1.改ざんされたが現在は大丈夫。2.閲覧するとウイルスに感染する可能性があった。対策は、ウイルス対策ソフトでチェックを。3.このサイ トにおけるウイルス感染や個人情報の漏えいはなかった。の、3点セットで終わりの場合がほとんどです。

つまり、従業員などが閲覧したかも しれない企業側が、自組織で感染しているかどうかの見分け方などは明らかにされないことがほとんどです。実際、そういうことにわざわざお金と手間をかけ深 堀する被害企業はほとんどありません。逆に言えば、詳細に調査を行い、情報を提供してくれる被害企業は、本当にありがたい存在なのです。万一、改ざんされ た場合、閲覧者へ適切なアドバイスが行えるようにどのような情報を公開すべきか考えておきましょう。

さて、改ざんを直ぐに確認できないタイプのものを、ウイルス対策ベンダーなどが「水飲み場攻撃」と呼び始めています。水飲み場(オアシス)に集まって来る獲物を待ち伏せし、相手を選別して襲い掛かって仕留めるような攻撃だからです。

しかし、農耕民族である私たちが「水飲み場攻撃」と聞くと、多くの人が集まる「水飲み場」に毒を蒔くような攻撃を想像してしまいます。私たちにはどうもピンとこない表現ですが、狩猟民族にとっては「狩り」の一つとして、すごくわかり易い表現なんだろうと思います。

私はこの種の攻撃を「標的待ち伏せ式」攻撃と呼ぶようにしています。標的型攻撃と言えば「標的型メール攻撃」が有名ですが、これは狩りにたとえると「標的追い回し式」攻撃ということができます。

こ の「標的追い回し式」攻撃は、例えると草原を歩き回り獲物を見つけ、追い掛け仕留める方法です。体力を使う割に効率が悪く、ここぞと仕掛けても、必ず仕留 められるわけではありません。むしろ、取り逃がすことも多いものです。その為、獲物のほうも学習し、仲間内で攻撃内容を共有され対策されてしまいます。 メールも同じように、必ず引っかかって開いてくれるわけではなく、不審に思われるとウイルス対策ベンダーに送られ「指名手配」を受けてしまいます。攻撃者 からすると、折角、ウイルス対策ソフトに見つからない標的型メールを作成しても、「とほほ」となってしまうのです。

ところが「標的待ち伏 せ式」は、水飲み場など必ず獲物が来るところで待っておけばいいのです。様々な獲物が集まってきたところで、特定の獲物に狙いを定め、悟られずに襲うこと で確実に仕留めるのです。その為、他の動物は危険な水飲み場であると認識することも出来ません。つまり、改ざんされたサイトを閲覧しても標的となっていな い一般の閲覧者には何事も起きないし、ましてや当局やセキュリティ企業などのパトロールに発見されることもない、極めて安全で効率の良い「狩り」なので す。

しかも、この待ち伏せ攻撃では、仕留めるときに「ゼロデイ」と言われる攻撃コードが使用されることが多いと推測しています。「ゼロデ イ:0day」とは、端的に言うと誰も知らない脆弱性への攻撃です。その為、ゼロデイが行使されると、攻撃を受けたことさえ気づくことができません。つま り、「標的待ち伏せ式」と「ゼロデイ」はセットと考えた方がよさそうです。

さて、こういう非常に厄介な時代に差し掛かってきた今年です。 ブラックシンジケート(極めて高度な犯罪組織)との戦いが始まったということが言えます。一組織で太刀打ちすることはできません。恐らく対抗にはホワイト シンジケート(極めて高度に対応できる共同体)の編成が必要かと思いますが、ブラック側に比べ、目標、意思、資金、技術開発意欲、組織間連系のどれをとっ ても現状では足元に及ばないと思います。しかし、一歩一歩進んでいくしかないでしょう。

逆に言えば、現状では誰も守ってくれないということです。

最後に、年末年始に向けた対策ポイントをいくつか紹介します。

Web改ざんへの対策は怠れません。

自分のサイトに赤ペンキを塗られたら、あるいはウイルスをばら撒くような改ざんを受けたらどうなるのか、想像していてください。単にバックアップから戻すという策は、泥沼への第一歩です。

改 ざんされた原因をつぶさないと必ず短期間のうちに再発します。また、改ざんされたときに遠隔操作できるバックドアを入れられていることも良く見られます。 その場合、原因をつぶしても再開します。さらに、改ざんは多くの人の目に触れ、多くの場合掲示板などでも騒動になることも良く見られます。そのため、取引 先などからの問い合わせが入ることも多く、なめた対応を行うと大怪我を負うことになります。

また、改ざんは皆さんの組織を標的にすること は少なく、検索エンジンで犯人が改ざんできるサイトを探すことが多いのです。つまりはそんなに高度な手口ではありません。よって、まずは、プラットフォー ム診断というホームページを支えているサーバ周りの診断、その後、Webアプリケーションの診断を行うことをお勧めします。

あと、定常的 に実施していただきたいのが、管理者のパソコンです。情報システムの管理を行っているパソコン、ホームページのコンテンツを管理しているパソコン。ここの パスワードの管理を行ってください。また、可能であればその管理権限の行使状況が適切か、成りすまされた・乗っ取られて行使されていないかを確認してみて ください。

今年は、めでたいニュースもありました。7年後の東京オリンピック開催決定です。東京オリンピックに向けてITの活用も大きく進歩すると思います。つまり、途中の3年後くらいをめどに従業員のIT地力をつけるための行動を起こしていくことは重要なことと思います。

Related post

更新情報

最新コラム

  1. 先日、MicrosoftウェビナーにてPowerAppsを使ったモバイルアプリケーションの作成方法に…
  2. はじめに 初夏の暑さを感じる季節になりました。早くも30℃超えを観測している所もありますね。そんな…
  3. みなさん、こんにちは! プライム・ストラテジーでコンサルタントをしております、穂苅 智哉 (ほ…

ログインステータス

You are not logged in.
Return Top