海の向こうの“セキュリティ”

第98回

ペアレンタルコントロールよりも、レジリエンスを育むべし ほか

 10月のセキュリティの話題としては、SSL 3.0の脆弱性「POODLE(Padding Oracle On Downgraded Legacy Encryption)」や、Microsoftの10月の更新プログラムに不具合が発生した件などが世界的に注目を集めました。

 一方、日本国内では、匿名内部告発サイトが12月に設立されることが発表されたほか、総務省による官公庁や大企業等を対象とした実践的サイバー演習「CYDER(CYber Defense Exercise with Recurrence)」が行なわれました。

Akamai、2014年第3四半期「インターネットの現状」セキュリティレポート

 10月23日、米Akamai Technologiesは2014年第3四半期の「インターネットの現状」セキュリティレポートを公開しました。すでに主要なポイントについては記事で紹介済みですので、今回はそれ以外の中からいくつかをピックアップして紹介します。

 DDoS攻撃において複数の攻撃ベクターを利用するマルチベクター型攻撃が全攻撃の約53%を占める中、第3四半期に実際に使われた攻撃ベクターの割合を示したのが、図7(Figure 7)です。Application Layerの攻撃が1割強であるの対し、9割近くがInfrastructure Layerの攻撃で、中でも最も多いのはSYNフラッドで全体の23%、次いでUDPフラッドとUDPフラグメントフラッドがそれぞれ15%と14%を占めています。また、2013年第3四半期以降の推移を見ると、NTPリフレクション攻撃が減少傾向にある一方、これまでほとんど観測されていなかったSSDPリフレクション攻撃が本四半期で急増し、7%を占めています。

図7(Figure 7)

DDoS攻撃の対象を業種ごとに分けて示したのが図10(Figure 10)です。

図10(Figure 10)

 最も攻撃されたのはオンラインゲームや賭博などの娯楽系で、全体の約34%を占めています。これらを対象とした攻撃はInfrastructure Layerが多く、例えばゲーム業界が受けている攻撃は、全SYNフラッドの65%、全UDPフラッドの42%、SSDPリフレクションの21%となっています。

 2番目に多く攻撃されているのはメディアで、全体の約24%を占めています。主にInfrastructure Layerの攻撃で、86%がSYNフラッドです。また、全HTTP GETフラッドの26%を受けています。

 前四半期の2番目から3番目に後退したのは、全体の約20%を占めているソフトウェア&テクノロジーで、これはSaaSをはじめとするクラウドベースのサービスです。ここでは、全ACKフラッドの20%、全SSDPリフレクションの15%、全NTP攻撃の12%、全HTTP GETフラッドの16%を受けています。

 このように攻撃対象によって攻撃ベクターにも違いがあるようです。

 DDoS攻撃の攻撃元と昨年からの推移を示したのが図11(Figure 11)と図12(Figure 12)です。昨年の第3四半期には他を圧倒して63%以上を占めていた中国が激減し、代わりに米国がトップを占めています。また、日本の変化も激しく、昨年第3四半期に2%だったものが、2014年第2四半期に18%に急増、しかし同年第3四半期には4%に減少しています。一方、ブラジルの急増ぶりも目を引きます。

図11(Figure 11)
図12(Figure 12)

 あくまで観測された事実を粛々と紹介しているだけで、攻撃の傾向やその変化に対して特に深い考察や分析があるわけではないので、レポートとしては少々物足りなさを感じますが、世界規模で精緻に観測できるAkamaiによる「データ」はそれだけで十分に価値があります。考察や分析のための情報源として使うべき資料でしょう。

広告配信ネットワークを悪用した標的型Malvertising攻撃

 広告配信ネットワークを介してマルウェアをばらまく「Malvertizing」と呼ばれる攻撃手法はすでに一般的な攻撃手法と言える状況にありますが、基本的に攻撃対象は無差別です。ところが、この手法を使った標的型攻撃が確認されたとの報道がありました。

 これは米セキュリティ企業Invinceaが確認したもので、同社はこれを「micro-targeted malvertising」と呼んでいます。イメージとしては水飲み場型攻撃(ウェブ待ち伏せ攻撃)とMalvertizingを合わせたようなもので、攻撃者は攻撃対象の属性(IPアドレス、位置情報、User-Agent文字列に基づくFlash、OS、Javaおよびブラウザーのバージョン、対象者の業務上の関心事など)をもとに選択した攻撃対象が含まれるユーザー層向けの広告スペースを広告配信ネットワーク業者から購入して待ち伏せるというもの。しかも、マルウェアの拡散が目的ではない上に、攻撃活動を隠す必要があるため、長々と待ち伏せなどはせず、広告からのリダイレクトは一度に数分程度、その後、リダイレクト先の攻撃ページも捨てられてしまうため、一般的なブラックリストによる遮断が意味をなさないのです。さらに、Invinceaは、この攻撃の問題として、広告配信ネットワークの業者が、自らの利益のために、このような悪質な行為を抑えようとしない点を挙げています。

 同社のホワイトペーパーでは、この「micro-targeted malvertising」の事例として、複数の米軍需会社を対象とした「Operation DeathClick」を紹介しています。

ペアレンタルコントロールよりも、レジリエンスを育むべし

 子供のインターネット利用に対して親などの保護者が制限を加えて監視をする、いわゆる「ペアレンタルコントロール」はすでに国際的にも一般化しています。そのような中、英国のOxford Internet InstituteとParent Zoneは英国内(イングランド、スコットランド、ウェールズ)の14歳から17歳の若者(男子926名、女子1076名、平均15.63歳、標準偏差1.1)を対象とした調査研究の結果として、規制や監視よりも、ある程度の自己責任の下(Shared Responsibility)で自由に使わせることでインターネット(およびソーシャルメディア)を利用する上でのレジリエンス(自発的治癒力)を身に付けさせることが大事であるとのレポートを発表しました。

 いくら監視や規制を強化しても100%完全に子供たちを守ることなどそもそもできない以上、保護者に守られ過ぎた環境で何の抵抗力も持たずに育てられてしまった子供は、いざという時に自らの身を守ることができないという、現実の世界での子育てや躾と同じことがそのまま言えるというわけです。

 当たり前の話なのですが、調査研究に基づいた形で改めて提言することには十分に意味があるでしょう。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。