海の向こうの“セキュリティ”

第88回

「水飲み場型攻撃」という直訳問題など考えながら2013年を振り返る

(2014/1/10 06:00)

 2014年最初となる今回は、例年通り前年の状況を振り返ってみます。

 まず、2013年のセキュリティと言えば、6月に明らかになった米国家安全保障局(NSA)による盗聴問題に関連した話題に尽きると言っても過言ではないでしょう。元NSA局員のエドワード・スノーデン氏が告発した内容それ自体は「それくらいやってるだろうな」と思えるものもあるのですが、内部の人間が暴露したということもあり、世界中に衝撃を与えました。それからは連日のように、NSAおよび米国政府が国際的に非難されるだけでなく、NSAに「協力」していた企業の存在や米国以外の国の諜報機関による不適切な情報収集活動などがメディアで取り上げられ続けています。

 スノーデン氏が持ち出したとされる情報は、そのすべてが公になっているわけではなく、「小出し」にされている状態にあることから、2014年もまだまだこの話題は世の中の注目を集め続けることになりそうです。

 2013年に広く知られるようになった攻撃手法としては「水飲み場型攻撃」があります。攻撃対象者が日常的にアクセスする正規のウェブサイトを改ざんし、そこにアクセスして来た対象者のPCにマルウェアを感染させるというもので、メールを介した一般的な標的型攻撃に比べて対象者がだまされやすく、またマルウェア感染に気付いても、自分が「標的」とされていたことに気付きにくいという特徴があります。

 ところで、この「水飲み場型攻撃」という言葉は英語の「watering hole attack」を直訳したもので、その英語を分かっていればよいのですが、「水飲み場型攻撃」という日本語だけでは直感的に攻撃手法がイメージしにくいように感じます。ある企業では「ウェブ待ち伏せ攻撃」という表現を使っているそうですが、こちらの方が遥かに分かりやすいでしょう。海外との情報交換もあるので、直訳の「水飲み場型攻撃」という表現を完全に捨てるのは難しいかもしれませんが、せめて「水飲み場型攻撃(ウェブ待ち伏せ攻撃)」または「ウェブ待ち伏せ攻撃(いわゆる、水飲み場型攻撃)」といった表現を使って欲しいところです。

 2013年のセキュリティの話題については、さまざまなセキュリティ関連企業や組織がそれぞれの視点ですでにまとめている、または、これから「報告書」のかたちで続々と発表していくと思われます。

URL

日本のセキュリティチーム(2013年12月17日付記事)
2013年マイクロソフトのセキュリティ情報まとめ
http://blogs.technet.com/b/jpsecurity/archive/2013/12/18/3618840.aspx
ITpro(2013年12月20日付記事)
日本を標的にした攻撃が増加、シマンテックが2013年のセキュリティ脅威を総括
http://itpro.nikkeibp.co.jp/article/NEWS/20131220/526222/
INTERNET Watch(2013年12月24日付記事)
年末年始はパスワードの見直し&棚卸しを、“使い回し”狙われた2013年
http://internet.watch.impress.co.jp/docs/index/20131224_628763.html
日本ネットワークセキュリティ協会(2013年12月25日付記事)
2013 セキュリティ十大ニュース
http://www.jnsa.org/active/news10/
日本スマートフォンセキュリティ協会 (2013年12月25日付記事)
JSSEC 『2013年 スマホ五大ニュース』を選出
http://www.jssec.org/news/20131225.html

 しかし、制御系システムやスマホ/タブレットをはじめ、攻撃対象となるプラットフォームの種類と数は拡大し続けていく一方であり、サイバー(戦争|テロ|エスピオナージ)を含め、「ITセキュリティ」を取り巻く状況はますます混沌としてきています。このような中でセキュリティ全般に関して「顕著な」トピックを限られた数だけ挙げるなど、もはや無理と言うもの。

 そこで今回は、2013年の各々の月で報道されたセキュリティ関連の話題の中から、さまざまな意味で「面白い」「興味深い」話題を選んで紹介することにします。あくまで「独断と偏見」で選んでいるので、網羅性や公平性がないことはご容赦ください。「あぁ、そんなこともあったな」くらいの気持ちで読んでいただければと思います。

1月

国内

  • 元旦に報道された農林水産省へのサイバー攻撃

海外

  • Java騒動
    - ゼロデイ攻撃の発生に伴うアップデート、しかしそのアップデートが不十分
    - アップデートプログラムを偽装したマルウェア
  • 政府機関などを狙ったマルウェア「Red October」による過去5年間にわたって大規模に行われていたスパイ活動が明らかに

2月

国内

  • 遠隔操作ウイルスの容疑者逮捕、逮捕前の容疑者に関する行き過ぎた報道が問題に

海外

  • ニューヨーク・タイムズ、Twitter、Facebook、Apple、Microsoftなど米有名企業へのサイバー攻撃が立て続けに発生
  • Mandiant社によるレポート、過去数年間にわたる米企業に対するサイバー攻撃に中国人民解放軍が関与していると断定、便乗した標的型攻撃(日本を標的)が発生
  • サイバー攻撃により「ゾンビ襲来」の偽メッセージがテレビ画面に

3月

海外

  • 3月20日、韓国で報道機関や金融機関を対象にした大規模サイバー攻撃が発生
  • DNSオープンリゾルバーを悪用した「史上最大のサイバー攻撃」

4月

海外

  • 連日のようにサイバー攻撃とみられる被害が報道され続ける状況に
  • AP通信のTwitterアカウントが盗用され、偽情報の発信で株価暴落

5月

国内

  • 最大2200万件のYahoo! JAPAN IDが不正アクセスにより流出した可能性

海外

  • 2010年に明らかになったGoogleに対するサイバー攻撃「Operation Aurora」の目的が、中国情報機関の諜報員に対する米国法執行機関による監視状況を探ることだった可能性

6月

海外

  • スノーデン事件
  • 韓国で再び大規模なサイバー攻撃、青瓦台のウェブサイトが改ざんされ、政府機関や新聞社などが標的に
  • ウェブブラウザーOperaが標的型攻撃により自動更新機能で「毒入り」Operaを配布

7月

国内

  • 省庁職員が「Google グループ」を標準設定のまま使用し、内部情報を意図せず「公開」してしまった事件
  • OCN IDのサーバに対する不正アクセス事件

海外

  • Microsoftが自社のアプリストアに登録しているサードパーティの開発者に対して脆弱性の修正を180日以内に行なうことを義務付けるポリシーを発表

8月

国内

  • 2ちゃんねるの有料サービスから会員の個人情報が大量流出し、荒らし行為の常習者の身元が特定される騒動

海外

  • 毎年恒例のセキュリティ関連イベントで新たな攻撃手法、攻撃対象が紹介
    - トヨタのプリウスを運転手の意志に反して操作できてしまう攻撃手法
    - LIXIL(INAX)のトイレを遠隔操作できるAndroidアプリの脆弱性

9月

海外

  • IEを対象にしたゼロデイ攻撃(日本の組織を対象に)
  • ブラジルのハクティビスト集団がNASAをNSAと勘違いしてウェブ改ざん
  • iPhone 5sの指紋認証が複製した指紋で突破可能であることが明らかに
  • Linus Torvalds氏がかつて米国政府からLinuxにバックドアを仕掛けるように要請されたことがあったことを暗に認める

10月

国内

  • 9月に明らかになったIEのゼロデイ攻撃が、8月に日本の中央省庁や重要インフラなどを対象に「水飲み場型攻撃」としてすでに行なわれていたとの発表

海外

  • Adobe Systemsへのサイバー攻撃で3800万人分の顧客情報やソースコードが盗まれる
  • Googleがオープンソースのソフトウェアの脆弱性についても発見者に報奨金

11月

国内

  • 大手マスコミが複合機からデータが丸見えになる可能性について報道

海外

  • ビットコインに絡んだインシデント

12月

国内

  • 中国「百度」製の日本語入力ソフトが入力情報を無断送信
  • 特定秘密保護法について、サイバー攻撃を受けて「特定秘密」が外部に流出した場合に情報管理担当の職員が処罰対象になり得るとの政府見解

URL

INTERNET Watch(2013年12月26日付記事)
「Baidu IME」「Simeji」が変換文字列を無断で送信、NISCが省庁に注意喚起
http://internet.watch.impress.co.jp/docs/news/20131226_629165.html
INTERNET Watch(2013年12月26日付記事)
バイドゥ、IMEの情報送信について見解、「Simeji」には実装バグがあったと説明
http://internet.watch.impress.co.jp/docs/news/20131226_629229.html
INTERNET Watch(2013年12月26日付記事)
バイドゥ「Simeji」新バージョン公開、入力内容を送信していた“バグ”を修正
http://internet.watch.impress.co.jp/docs/news/20131227_629351.html
IIJ Security Diary(2013年12月17日付記事)
IMEのオンライン機能利用における注意について
https://sect.iij.ad.jp/d/2013/12/104971.html
47NEWS(2013年12月31日付記事)
秘密法、サイバー攻撃流出も処罰 職員に過失責任
http://www.47news.jp/CN/201312/CN2013123001002011.html

海外

  • NSAがCisco、Juniper、Huawei、Dellなどさまざまなベンダーの機器にもバックドアを仕掛けて情報収集していた(しようとしていた)疑い
  • Windows Error Reporting(Dr. Watson)で送信される情報の悪用の危険性
  • SDカードのプログラム自動実行による危険性

URL

Spiegel(2013年12月29日付記事)
Shopping for Spy Gear: Catalog Advertises NSA Toolbox
http://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors-for-numerous-devices-a-940994.html
CNET(2013年12月29日付記事)
NSA reportedly planted spyware on electronics equipment
http://news.cnet.com/8301-1009_3-57616334-83/nsa-reportedly-planted-spyware-on-electronics-equipment/
CNET(2013年12月31日付記事)
NSA spyware gives agency full access to the iPhone -- report
http://news.cnet.com/8301-13579_3-57616409-37/nsa-spyware-gives-agency-full-access-to-the-iphone-report/
Websense Security Labs Blog(2013年12月29日付記事)
Are Your Windows Error Reports Leaking Data?
http://community.websense.com/blogs/securitylabs/archive/2013/12/29/dr-watson.aspx
Forbes(2014年1月1日付記事)
1 Billion PCs At Risk As Windows Error Reporting Sends Reports In Clear
http://www.forbes.com/sites/timworstall/2014/01/01/1-billion-pcs-at-risk-as-windows-error-reporting-sends-reports-in-clear/
bunnie:studios(bunnie's blog)(2013年12月29日付記事)
On Hacking MicroSD Cards
http://www.bunniestudios.com/blog/?p=3554
TechCrunch(2013年12月29日付記事)
SD Cards Aren’t As Secure As We Think
http://techcrunch.com/2013/12/29/sd-cards-arent-as-secure-as-we-think/

 最後に、自称「CSIRT研究家」としてどうしても言及しておきたいのが、2013年が日本における「CSIRT(シーサート、Computer Security Incident Response Team)の歴史」に大きな足跡を残した1年だったという点です。

 2013年春には各府省庁にCSIRTの設置が完了し、政府からは各企業に対してCSIRTの設置が呼び掛けられたこともあり、CSIRTへの関心は以前に比べて非常に高まっています。そのような中、国内CSIRTのコミュニティである「日本シーサート協議会(NCA)」への加盟チームは飛躍的に増えており、2013年の1年間で17チームが新規に加盟しています。2013年末時点での全加盟チーム数が47ですから、3分の1以上が2013年の1年間で加盟したことになり、2007年の協議会発足以来、最も新規加盟数が多かった1年だったのです。

 2013年に加盟した17チームは、以下のようになります。

  1月:KDDI
  2月:ベライゾンジャパン
    NHN Japan(現:LINE)
  3月:大成建設
    トレンドマイクロ
  4月:NTTデータ先端技術
  8月:デロイトトーマツリスクサービス
    セキュアブレイン
  9月:アラタナ
    サイボウズ
    第一生命保険
    GMOインターネット
 10月:ANAシステムズ
    ジャパンネット銀行
    三井住友フィナンシャルグループ
 11月:メットライフアリコ生命保険
    トヨタ自動車

 これを見ても明らかなように、ITを主たる業務としない企業の加盟が珍しくなくなってきています。2014年は、この傾向がますます強くなると予想しています。

 なお、日本シーサート協議会では国内外のCSIRT関連ドキュメントを整理してまとめたページを用意しています。CSIRT構築の際の参考資料としてご利用ください。

URL

日本シーサート協議会
http://www.nca.gr.jp/
CSIRT構築に役立つ参考ドキュメント類
http://www.nca.gr.jp/activity/build-wg-document.html

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。