海の向こうの“セキュリティ”

　3月11日に発生した東北地方太平洋沖地震に世界の注目が集まる中、さまざまなインシデントが発生していました。

1）義援金詐欺フィッシング

　大きな自然災害が発生すると必ず起こるものですが、今回の震災に対しても、地震後のかなり早い段階でフィッシングサイトが立ち上がっていたようです。

■URL
　JPCERT/CC Official Blog（2011年3月14日付記事）
　Beware of fake Japanese earthquake donation sites
　http://blog.jpcert.or.jp/2011/03/beware-of-fake-japanese-earthquake-donation-sites.html
　JPCERT/CC Official Blog（2011年3月18日付記事）
　More fake earthquake charities
　http://blog.jpcert.or.jp/2011/03/more-fake-earthquake-charities.html

2）RSA、サイバー攻撃によりRSA SecureIDに関する情報が盗難

　この件に関し、RSAは「SecureIDを利用しているユーザーに対する直接の攻撃が成功することはない」としています。

■URL
　Open Letter to RSA Customers
　http://www.rsa.com/node.aspx?id=3872

3）中国政府によるGmail妨害

　中国でGmailによるメールの送受信に問題が発生したのは、中国政府によるGmailサービスへの妨害であるとGoogleが公式に声明を出しました。「Google vs 中国政府」の緊張関係はますますシビアなものになっていきそうです。

■URL
　The Guardian（2011年3月20日付記事）
　Google accuses China of interfering with Gmail email system
　http://www.guardian.co.uk/technology/2011/mar/20/google-gmail

4）SSL認証局Comodo、アカウント盗用で偽証明書を発行

　Stuxnetによるイランの原発への攻撃に対する報復でイラン政府が関与している可能性があるとの報道がある一方で、21歳のイランの学生がイラン政府は無関係として自ら犯行声明を出すなど、本稿執筆時点では情報が錯綜しています。

　「認証局が……」という衝撃はありますが、各ブラウザーベンダーの対応は実に素早く、適切でした。ただ、日本の今の状況を考えると日本国内でブラウザーの更新作業が適切に行なわれたのか、少々不安が残ります。

■URL
　The Wall Street Journal Blog（2011年3月28日付記事）
　Hacker in Iran Claims Responsibility for Attack
　http://blogs.wsj.com/digits/2011/03/28/hacker-in-iran-claims-responsibility-for-attack/

■関連記事
　SSL認証局がGoogleなどの偽証明書を発行、ブラウザーベンダーが対策を公開
　http://internet.watch.impress.co.jp/docs/news/20110324_434729.html

　それでは今回は、3月初旬に韓国で発生した大規模DDoS攻撃や、同じく韓国のゲーム中毒予防基金強制徴収法案などの話題について紹介していきます。

●韓国で大規模DDoS攻撃、活かされた「7・7大乱」の経験

　韓国では3月4日の午前10時と午後6時30分の2回に渡り、韓国内の政府系サイトやポータルサイトなどを対象にした大規模なDDoS攻撃が発生しました。

　結論から言えば、一昨年7月に発生した「7・7大乱」に比べると実際の被害は少なかったようです。これは「7・7大乱」での経験が活かされ、対応が速やかかつ的確だったからだと言われており、事実、攻撃発生の前日3月3日の時点でDDoS攻撃を行なうマルウェアが発見され、すでに対応が始まっていたことが大きかったのではないかと思われます。

　さて、今回の攻撃については当然のことながら韓国メディアがさまざまに報道しています。

　まず細かい点では、今回の攻撃の名称。実際の攻撃は3月4日に発生しましたが、攻撃を行なったマルウェアが3月3日に発見されていたことから、この攻撃全体を「3・3攻撃」と呼ぶケースもあれば、「3・4攻撃」と呼ぶケースもあるなど、メディアの表現はまちまちです。

　また、一昨年の「7・7大乱」との比較もなされています。

　「自画自賛」の好きな韓国らしいところで言えば、「7・7大乱」の教訓が活きたおかげで、今回は被害が少なかったとの「賞賛」「絶賛」の報道。「教訓が活きた」だけではないのですが、今回に関しては確かにその通りと言えなくもないでしょう。

　その一方で、今回攻撃対象となったような政府系サイトやポータルサイトなどはDDoS対策が進んでいたが、それ以外の一般企業におけるDDoS対策はお粗末なものであるとの調査結果も報道されています。

　比較で興味深いのは技術的な面です。セキュリティベンダーのアンラボなどの調査分析によれば、今回の攻撃は「7・7大乱」に比べてかなり「進化」しているようです。

　マルウェア（ボット）を一般ユーザーのパソコンに感染させ、攻撃を行ない、最終的には感染パソコンのハードディスクの内容を破壊するという大まかな流れはほぼ同じ。また、攻撃に使われたマルウェア感染パソコンの台数は前回とほぼ同じ11万強。

　ところが今回は、まずマルウェアのコードが難読化されており、分析を難しくしている点が特徴として挙げられます。

　また、前回の攻撃は特定の攻撃プログラムによる1パターンの攻撃でしたが、今回は攻撃ごとに内容（構成ファイル）が変更され、分析と対応を難しくしていたのです。これにより、攻撃プログラムを分析しても攻撃終了日時が分からなかったという点は、実際の対応に当たっては非常に大きな問題になったようです。そのため、実際の攻撃は最初の数日でほとんど終了していたにもかかわらず、韓国政府による「サイバー危機注意警報」が解除されたのは3月15日午後6時でした。

　さらに、hostsファイルを改ざんすることでウイルス検知ソフトによる更新サーバーへのアクセスを妨害していた点も悪質です。

　そしてパソコン利用者にとって最も深刻だったのは最終的なファイル破壊。「7・7大乱」ではパソコンの時計を前の日に変えるなどして回避することが可能でしたが、今回はそのような回避方法が全く機能しないばかりか、それがトリガーとなって破壊が行なわれるような仕組みになっていたようです。ただ、実際に破壊されたとの被害届出件数は前回の半分程度の756件（3月15日時点）だったようです。

　これは韓国国内のワクチンソフトメーカーや韓国インターネット振興院（KISA）などが専用のワクチンをかなり早い段階で無料配布したことが功を奏したものと思われます。ちなみにワクチンのダウンロード件数は全体で1151万3951件でした（韓国の人口は約4900万人）。

　このように、「7・7大乱」に比べて攻撃の規模は同程度、攻撃手法は巧妙化していたにもかかわらず、実際の被害を少なく抑えられたのは、さまざまな要因が考えられますが、お隣の国の国民としては素直に「良かった」と思っています。

■URL
　デジタルタイムス（2011年3月7日付記事）
　3.3 DDoS攻撃と7.7 DDoS攻撃の差・類似点は
　http://www.dt.co.kr/contents.html?article_no=2011030702019960746008
　etnews.co.kr（2011年3月15日付記事）
　政府、サイバー危機注意警報解除
　http://www.etnews.co.kr/201103150228

■関連記事
　海の向こうの“セキュリティ”
　第35回：韓国での大規模DDoS攻撃、技術的側面とその後の影響
　http://internet.watch.impress.co.jp/docs/column/security/20090804_306868.html
　韓国で政府系サイトなどにDDoS攻撃、ボットPCから一斉攻撃、6779台確認
　http://internet.watch.impress.co.jp/docs/news/20110304_431179.html
　アンラボ、3月4日発生のDDoS攻撃時に感染したゾンビPC治療ツールを無料配布
　http://internet.watch.impress.co.jp/docs/release/20110309_432189.html

●「ゲーム中毒予防基金」強制徴収、韓国で青少年保護法改正案

　青少年のゲーム中毒問題が深刻化している韓国では、前回の連載でも紹介したように青少年による深夜のオンラインゲーム利用を禁じる「シャットダウン制」の導入が（多くの反対意見のある中）進められています。

　そんな韓国では、オンラインゲーム中毒の予防や治療、リハビリに必要な財源として、ゲーム会社から中毒予防基金を強制徴収するという青少年保護法改正案がハンナラ党などの10名の国会議員により発議され、物議をかもしています。

　これはゲーム業者が年間収入の1％を負担金や基金の形で納付するというもので、当然のことながらゲーム業界は猛反発。ゲームが与える負の影響についての実証的な証明がないと強く反論しています。

　すでにゲーム業界では約90億ウォンの資金を使い、ゲーム文化財団を通じて中毒の予防と健全なゲーム文化の育成のためのさまざまな事業を自発的に推進していることもあって、一層強い反発を生んでいるようです。

　また、ゲーム業界のみならず、ユーザーからも反対意見が続出。シャットダウン制反対とあわせ「インターネット署名運動」が始まっています。署名活動は、Google Docsのような「オンラインワープロ」を使って、署名欄に名前などを記入するようです。

　反対運動は、関係省庁のサイト（の掲示板など）への過激な抗議の書き込みをはじめ、関係している国会議員に対する落選運動などにも広まっており、このままでは法案として議論の俎上に乗せることすら難しいかもしれません。

　また、相次ぐゲーム業界への規制が韓国国内企業のみを対象とした「逆差別」的なものであることから、規制を避けるためにゲーム会社が本社を香港や日本など国外に移転する「サイバー亡命」をすべきではとの意見も出始めており、このままでは韓国を代表する産業の1つであるゲーム産業そのものの存続の危機であると危惧する声も出ています。

　それにしてもいつもながら韓国らしい「イケイケ」な法案ですね（苦笑）。

■URL
　デジタルタイムス（2011年3月20日付記事）
　ゲーム会社から中毒予防基金強制徴収、青少年保護法改正案発議……業界強力反発予告
　http://www.dt.co.kr/contents.html?article_no=2011032102010531749001
　etnews.co.kr（2011年3月23日付記事）
　どうしようもないゲーム規制、ユーザーら角生やす
　http://www.etnews.co.kr/201103220148
　ZDNet Korea（2011年3月28日付記事）
　国内ゲーム会社ら、サイバー亡命に追いやられるか
　http://www.zdnet.co.kr/news/news_view.asp?artice_id=20110328105601

■関連記事
　海の向こうの“セキュリティ”
　第54回：韓国オンラインゲーム「シャットダウン制」導入へ　ほか
　http://internet.watch.impress.co.jp/docs/column/security/20110307_431186.html

●毎年恒例のクラッキングコンテスト「Pwn2Own 2011」

　今回で12回目となるCanSecWestの年次会合「CanSecWest Vancouver 2011」が3月9日から11日までカナダのバンクーバーで開催されました。

　今回も、いわゆる「クラッキングコンテスト」である「Pwn2Own」が並行して同じ期間（3日間）行われました。今回のターゲットは以下のウェブブラウザーと携帯電話です。

［ウェブブラウザー］
　・Microsoft Internet Explorer
　・Apple Safari
　・Mozilla Firefox
　・Google Chrome

［携帯電話］
　・Dell Venue Pro（Windows Phone 7）
　・iPhone 4（iOS）
　・BlackBerry Torch 9800（BlackBerry 6 OS）
　・Nexus S（Android）

　今回は、これまでのPwn2Ownで一度も攻撃に成功したことのないGoogle Chromeを攻略した者にGoogleが自ら2万ドルの賞金を出すことにしたことが注目されていました。これまでもChromeの脆弱性を発見した者に賞金を出していたGoogleらしいとも言えますが、要は「来るなら来い!!」の自信の現れでもあります。

　コンテストの結果は、まず初日にSafari、続けてInternet Explorer 8が陥落。2日目はiPhone 4とBlackBerryが陥落しました。3日目は何も進展はなく、このまま終了。Windows PhoneとAndroid、FirefoxとChromeは攻略されずに終わりました。しかし、この結果が、残った4つの「堅牢性」を証明したり、保証したりするものではないことに注意が必要です。

　実際には、Windows PhoneとAndroidに挑戦する予定だった参加者が姿を見せなかったり、Firefoxを攻略した参加者が「不安定である」という理由で成果を取り下げたりといった事情があったのです。

　また、注目のChromeについては、そもそも真正面から「闘った」参加者はいなかったようです。これはChromeを攻略することを最初から諦めているのではなく、他に「もっと簡単に」攻略できるブラウザーがあると分かっていながら、あえてわざわざChromeを狙わないというだけでしょう。賞金が2万ドルではなく、他のブラウザーを攻略するよりも遥かに高い金額であれば事情は違うのではないでしょうか。実際、GoogleがChromeの脆弱性を発見した者に対して賞金を払ってきたことが示すように、決してChromeに脆弱性がないわけではないのですから。

　ただ、いずれにせよ今回のコンテストの結果はさほど面白味や新鮮味のあるものではありませんでした。

　なお、今回のコンテストで使われた脆弱性の多くは、すでにベンダーが対応し、パッチなどを公開しています。

■URL
　CanSecWest
　http://cansecwest.com/
　Announcing Pwn2Own 2011
　http://dvlabs.tippingpoint.com/blog/2011/02/02/pwn2own-2011
　Pwn2Own Contest 2011
　http://en.wikipedia.org/wiki/Pwn2Own#Contest_2011
　TechCrunch（2011年2月7日付記事）
　After Failing To Get Hacked Last Year, Google Paying For Chrome To Be In Pwn2Own 2011
　http://techcrunch.com/2011/02/07/hack-google-chrome/