海の向こうの“セキュリティ”

日本で空前のCSIRTブーム/IoT機器ベンダーは「緊張感」を~2016年のセキュリティを振り返る ほか

マイクロソフト2016年上半期セキュリティ報告書

 「マイクロソフト セキュリティ インテリジェンス レポート」(以降、SIRと略)の2016年上半期を対象とした第21版が公開されました。今回のSIRは例年と比較して公開が少々遅かったこともあってか、メディアの注目度は決して高いとは言えませんが、これまで同様に盛りだくさんな内容(Appendixを含めて正味約160ページ)となっています。中でも、ヨーロッパの特定の地域の個人を対象とした2つの攻撃グループ「PROMETHIUM」と「NEODYMIUM」については節を1つ設けて詳細に解説しています。

1)マルウェアなどの遭遇率と感染率

 図46は2016年第2四半期の世界の状況を示しています。また、図47は遭遇率の高い国や地域の四半期ごとの変遷で、図48は感染率の高い国や地域の四半期ごとの変遷です。

図46(「マイクロソフト セキュリティ インテリジェンス レポート」第21版より)
図47(「マイクロソフト セキュリティ インテリジェンス レポート」第21版より)
図48(「マイクロソフト セキュリティ インテリジェンス レポート」第21版より)

 一般的に遭遇率の高い地域ほど感染率も高くなると思われますが、個別に見ると必ずしもそうとは限らないことが分かります。この中ではリビヤの感染率の高さが目を引きます。一方、遭遇率の低い地域の変遷を示しているのが図49で、感染率の低い地域の変遷を示しているのが図50です。いつも通りに北欧と日本が低い結果を示していますが、感染率の低い国としてドイツが入っています。

図49(「マイクロソフト セキュリティ インテリジェンス レポート」第21版より)
図50(「マイクロソフト セキュリティ インテリジェンス レポート」第21版より)

2)SmartScreen Filterによるフィッシングおよびマルウェアの検知

 インターネットホスト1000台あたりのフィッシングサイト数を示したのが図81です(全世界平均は9.1)。割合が高いのは、ウクライナの18.8、南アフリカの15.4、オーストラリアの14.5などです。逆に低いのは、台湾の1.5、韓国の2.0、中国の2.8などです。

図81(「マイクロソフト セキュリティ インテリジェンス レポート」第21版より)

 100万ページビューあたりのフィッシング攻撃数(遭遇率)を示したのが図82です(全世界平均は17.8)。遭遇率が高いのは、ナイジェリアの74.2、南アフリカの62.6、スペインの57.7などです。逆に低いのは、韓国の1.1、中国の1.6、ロシアの2.2などです。

図82(「マイクロソフト セキュリティ インテリジェンス レポート」第21版より)

 次に、インターネットホスト1000台あたりのマルウェア配布サイト数を示したのが図85です(全世界平均は36.8)。割合が高いのは、ベトナムの60.8、中国の59.6、ウクライナの53.8、タイの49.4などです。逆に低いのは、フィンランドの14.8、スウェーデンの16.4、オーストリアの16.2などです。中国については、フィッシングサイトの割合が2.8と低かったのに対し、マルウェア配布サイトの割合が59.6と高い点が目を引きます。

図85(「マイクロソフト セキュリティ インテリジェンス レポート」第21版より)

 100万ページビューあたりのマルウェア感染攻撃数(遭遇率)を示したのが図86です。この全世界平均の値は769.7で、フィッシングの平均が17.8だったことと比較すると、フィッシングよりもマルウェアによる攻撃を受ける可能性の方がはるかに高いことが分かります。なお、マルウェア配布サイトに遭遇する割合が高いのは、アイルランドの3228.9、サウジアラビアの3110.5、アラブ首長国連邦の2046.2などです。逆に低いのは、韓国の112.0、日本の206.9、スロベニアの311.3などです。

図86(「マイクロソフト セキュリティ インテリジェンス レポート」第21版より)

3)Drive-by download

 検索エンジン「Bing」によってインデックスされたDrive-by downloadページの数(1000URLあたり)を示したのが図89です。2016年第2四半期末の時点で最も多くDrive-by downloadページがインデックスされたのは、台湾の7.4、モンゴルの3.1、イランの2.6などです。

図89(「マイクロソフト セキュリティ インテリジェンス レポート」第21版より)

4)過去10年間のマイクロソフト製品の脆弱性

 今回のSIRでは、本来の調査対象期間そのものではないですが、2006年から2015年までの丸10年間に公開されたマイクロソフト製品の脆弱性に関してまとめた結果も紹介されています。

 まず、マイクロソフト製品における遠隔からのコード実行または権限昇格が可能な脆弱性のうち、セキュリティアップデートが公開される前に悪用されたもの(いわゆるゼロデイ)および公開後30日以内に悪用されたものの割合の推移を示したのが図23です。2010年をピークに数も割合も減っていることが分かります。しかし、この図では少々ミスリードされてしまう可能性もありますが、全体の数(母数)は増えていることに注意が必要です。

図23(「マイクロソフト セキュリティ インテリジェンス レポート」第21版より)

 また、脆弱性が悪用され始めた時期でまとめたのが図24です。増減はありますが、実際に悪用された脆弱性については、ゼロデイを含め、アップデート公開後30日以内に悪用されるものが多く、アップデートは速やかに適用する必要があることを示しています。

図24(「マイクロソフト セキュリティ インテリジェンス レポート」第21版より)

2016年のセキュリティを振り返る

 2016年も国内外でセキュリティにかかわるさまざまな話題が数多く報道され、セキュリティ関連の報道を見ない日はない1年でした。このような中、セキュリティベンダーを中心に多くの企業が「2016年のセキュリティ」を総括する文書などを公開しています。メジャーな話題はそちらをご覧いただくとして、ここでは筆者個人が特に強調したいものについて紹介します。

1)日本で空前のCSIRTブーム

 本連載の本来のテーマである「海の向こう」ではなく、日本国内の話題ですが、2016年は「空前のCSIRTブーム」だったと言えます。例えば、日本国内のCSIRTコミュニティである日本シーサート協議会(NCA)には、以下の図(協力会員1チームを含む)が示すように、2016年の1年間だけで2015年末時点の加盟チーム数に匹敵する90チーム近くが加盟しています。

 CSIRT構築については、2015年12月28日に経済産業省から公開された「サイバーセキュリティ経営ガイドライン」(2016年12月8日に改訂版「Ver 1.1」公開)の「重要10項目」の「指示9」に次のような文言があったことが強い後押しになったと考えられます。

指示9:サイバー攻撃を受けた場合、迅速な初動対応により被害拡大を防ぐため、CSIRT(サイバー攻撃による情報漏えいや障害など、コンピュータセキュリティにかかるインシデントに対処するための組織)の整備や、初動対応マニュアルの策定など緊急時の対応体制を整備すること。また、定期的かつ実践的な演習を実施すること。

 また、NCAへの加盟チーム数が増えた理由には、同じ「重要10項目」の中で「指示8」として次のような文言があったことも影響しているでしょう。

指示8:攻撃側のレベルは常に向上することから、情報共有活動に参加し、最新の状況を自社の対策に反映すること。また、可能な限り、自社への攻撃情報を公的な情報共有活動に提供するなどにより、同様の被害が社会全体に広がることの未然防止に貢献すること。

 このようにCSIRTが増えた一方で、CSIRTとしての最低限の機能が果たせず、いわゆる「名ばかりCSIRT」となってしまっている残念な例もありました。2017年は、「CSIRTの数」だけでなく、「CSIRTの質」が高められる1年になることを期待しています。

2)IoT機器ベンダーは「緊張感」を

 いわゆる「IoT」機器に関してはかねてよりセキュリティ上の問題が指摘されていましたが、2016年はそれが国際的な規模で顕在化し、一般のメディアでも報道されるようになった年でもありました。しかし、多くのメディアが注目したセキュリティ上の問題は、OSを含めたソフトウェアの脆弱性や、利用者がパスワードを標準設定のまま変更していなかったといったもので、確かにこれは重要な点ではありますが、これだけでは十分とは言えません。

 まず、ソフトウェアの脆弱性について、それを修正したバージョンのファームウェア等を公開しているベンダーもあり、それ自体は全く対応しようとしないベンダーに比べればはるかに良いことなのですが、それでも次のような問題があります。

  • パソコンやスマホで使われているような自動更新の仕組みがない製品が多く、手動による更新作業が必要であり、その方法は一般の利用者にとって決して容易とは言えない。実際に全く更新をしない利用者は少なくないとの調査結果もある。
  • 機器によってはパソコンやスマホよりもはるかに長い期間の使用が期待されているものがあるにもかかわらず、一般的には数年でサポートが終了してしまう(脆弱性を修正してもらえなくなる)。

 また、パスワードを標準設定のままにしているという点について利用者に全面的に責任を負わせるのはおかしな話。そもそも標準設定のままでも使えてしまうことが問題ですし、利用者の利便性を考えてのことならば、パスワードの設定方法を容易にする、もしくは別の方法で容易かつ安全に認証するなどの仕組みを導入すべきでしょう。

 このようなベンダー側の問題とは別に、インターネットから直接アクセスできるような環境(ネットワーク構成)に機器を設置する必要が本当にあるのかなど、利用者側で本来は考えなければいけない点も多々あるのですが、いわゆる「IoT」機器の場合、利用者層や利用形態を考えると、利用者側に「考えろ」と要求することには限界があります。少なくとも一般的に想定されうる利用環境においては最低限の安全(これをどのレベルに設定するかは難しいところがありますが……)を期待できる製品を作ることがベンダーに求められるているのではないでしょうか。

 少々極端で厳しい表現になってしまいますが、インターネットを使用する製品を安易に作って世に出すのは、サイバー攻撃を幇助する行為と見なされても仕方のないものであるという意識、もっと言えば「緊張感」を、IoT機器のベンダーは持つべきでしょう。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。