海の向こうの“セキュリティ”

2014年のセキュリティ関連の話題を振り返る〜今こそ(昔ながらの)基本を忘れずに〜

 12月のセキュリティ関連の話題と言えば、何と言っても、11月末に発生した米映画製作会社Sony Pictures Entertainment(SPE)に対する、史上最悪とも言われるサイバー攻撃に伴う大規模な情報流出事件でしょう。この事件は、単なる一私企業の「セキュリティ」問題を超え、国家間の政治問題にまで広がりました。

 一方、このSPEの件があまりに大きな注目を集めたため、少々印象が薄くなってしまいましたが、インターネットのドメイン管理組織ICANNが偽メールによる標的型攻撃でシステムに不正アクセスを受けた件は、インターネットの根幹を揺るがす大事件につながった可能性もありました。また、イランのグループによる世界16カ国の重要インフラに対するサイバー攻撃「Cleaver作戦」に関する報告書が公開されたほか、韓国の原発運営会社にサイバー攻撃があり、図面など機密資料が流出した事件や、ドイツのある製鉄所がサイバー攻撃で操業停止したことがドイツ連邦電子情報保安局の報告書で明らかになったとの報道もありました。

 このような中、日本発の情報セキュリティ国際会議「CODE BLUE」の第2回が東京で開催されました。その基調講演で示された「世界には、攻撃を受けたことに気付いている組織と、まだ気付いていない組織の2つの組織しか存在しない」とのフレーズは、今年のセキュリティを端的に表現したものと言えるでしょう。

 2015年最初、そして記念すべき本連載の通算100回目となる今回は、流出した個人情報の取引価格の相場について調査した報告書を紹介するとともに、例年通り、前年の状況を振り返ります。

2014年の地下マーケットの現況、競争激化で「サービス向上」

 流出した個人情報の取引やサイバー攻撃代行など、いわゆる「地下マーケット」の現況を調査した結果が、DELL SecureWorksから公開されました。報告書では2013年と比較するかたちで紹介されており、2014年は偽造ID(社会保障カードや運転免許証、パスポートなど)のマーケットが活況を呈したほか、攻撃方法に関するチュートリアルが売られるようになった点などが際立った傾向として挙げられています。また、サービスを提供する「ベンダー」間の競争が激化し、「サービス向上」が進んでいる状況も紹介しています。

 以下にいくつかの金額を紹介します。

商品・サービス 2013年の金額 2014年の金額
Visa / Master Card(US) $4 $4
American Express(US) $7 $6
Visa / Master Card
(UK、Australia、Canada)
$7〜$8 $8
American Express
(UK、Australia)
$12〜$13 $15
American Express
(Canada)
$12〜$13 $12
Visa / Master Card
(EU、Asia)
$15 $18〜$20
Remote Access Trojan(RAT) $50〜$250 $20〜$50
偽造パスポート
(Non US)
N/A $200〜$500
偽造社会保障カード N/A $250〜$400
偽造運転免許証 N/A $100〜$150
Hacking Website
(情報窃取)
$100〜$300 $100〜$200
DDoS Attacks $3〜$5/時
$90〜$100/日
$3〜$5/時
$60〜$90/日
Infected Computers
(US)
N/A 1000:$140〜$190
5000:$600〜$1000
10000:$1100〜$2000
(unique installs)
Infected Computers
(UK)
N/A 1000:$100〜$120
5000:$400〜$500
10000:$700〜$1100
(unique installs)
Infected Computers
(Asia)
N/A 1000:$4〜$12
5000:N/A
10000:N/A
(unique installs)

2014年のセキュリティ関連の話題を振り返る〜今こそ(昔ながらの)基本を忘れずに〜

 2014年は潮目が変わった年と言えるでしょう。「プロ」に狙われたら最後、どんなに頑張っても、「やられるしかない」という事実に昔も今も変わりはありませんが、そのような「プロ」による事案はかつては限定的なものでした。ところが2014年はそのような事案が頻発し、現在は冒頭で紹介したCODE BLUEの基調講演でのフレーズ「世界には、攻撃を受けたことに気付いている組織と、まだ気付いていない組織の2つの組織しか存在しない」という状況なのです。

 しかし、ここに1つの落とし穴があります。このような「プロ」による攻撃が頻発する中で、最新の攻撃手法や最新の防御技術に関心が向かうのは当然のことで、それ自体は何ら問題はありません。むしろ好ましいことと言えます。ところが、このような最先端のものばかりに目を奪われるあまり、昔ながらの基本を疎かにし、「頭隠して尻隠さず」の状態にしていては意味がありません。

 例えば、不要なサービスが管理されないまま有効になっていた、脆弱性を修正するためのパッチを適用し忘れていた、パスワードの管理がいい加減だった、アクセス制御などの各種セキュリティ設定が想定通りになされていなかった――など、基本に忠実に小まめにチェックしていれば気付くはずの「穴」が放置され、それがために攻撃を受けてしまうことは、今でも決して珍しくはないのです。むしろ件数そのもので言えば、そのような「やられて当然」の被害の方が多いと言えるでしょう。

 最先端を追いかけることも重要ですが、どんなに最先端の防御技術を導入しても、攻撃者側が一歩も二歩も先を行く状況を変えることは基本的にできません。「やられる」ことを前提に、それでも最悪の事態を回避できるように多段での防御を行なうとともに、外部との通信の監視、異常発見時の対応手順や体制の整備といった「現実的な対策」を行ない、それらが想定通りに機能するようにこまめにチェック(演習の実施など)することが大事です。

 当たり前のことを言っているだけですが、当たり前であるが故に疎かにされがちである今だからこそ「基本を忘れずに」と強調したいのです。

 さて、以下に2014年の各月で報道されたセキュリティ関連の話題の中から、特に印象に残った「興味深い」話題を選んで紹介します。あくまで「独断と偏見」で選んだものなので、網羅性や公平性がないことはあらかじめご容赦ください。何かの報告書などを作成する際の参考に使っていただければ幸いです。

1月

(海外)

  • 米小売大手のTargetでマルウェア感染したPOS端末からカード情報が漏えいした事件
  • BIND 9の脆弱性
  • NTPサーバーの状態確認機能を悪用したDDoS攻撃
  • Google Chromeの拡張機能を開発者から購入し、自動アップデート機能でマルウェアを配布する悪質業者
  • 半導体チップに盗聴機能が組み込まれる危険性

(国内)

  • もんじゅ職員用PCのウイルス感染で情報漏えいの可能性、後に韓国製動画再生ソフト「GOM Player」の自動更新機能を悪用した攻撃だった可能性が判明
  • KADOKAWAのサイトにマルウェアを送り込むiframeが仕込まれていたことが判明、あらためて「正規サイトも危険である」との注意喚起

2月

(海外)

  • ヨーロッパで「NTP増幅攻撃」による400Gbpsを超える過去最大規模のDDoS

(国内)

  • フィッシングが多発
  • Internet Explorer 9/10を対象としたゼロデイ攻撃、特に日本を標的に

3月

(海外)

  • 米国家安全保障局(NSA)による「TURBINE」作戦

(国内)

  • 「SECCON 2013」全国大会CTF(Caputure The Flag)開催、学生チーム「0x0」が2年連続で優勝
  • OWASP(Open Web Application Security Project)が主催する国際会議「AppSec APAC 2014」が東京で開催
  • 3月18日の「サイバーの日」に全省庁参加によるサイバー攻撃対処訓練

4月

(海外および国内)

  • Windows XPおよびOffice 2003のサポート終了
  • OpenSSLによる深刻な脆弱性「Heartbleed」
  • DNSキャッシュポイズニング攻撃の危険性が増大
  • Apache Strutsの脆弱性、サポートが終了したバージョン1にも影響
  • Internet Explorer、Flash Playerを対象としたゼロデイ攻撃

5月

(海外)

  • 米NSAが米国から海外へ輸出されるルーターやサーバーを配送途中で入手し、傍受機能を埋め込むように改造していたとの報道
  • 「忘れられる権利」に関連して、EUの司法裁判所がGoogleに対し、EU市民の過去の個人情報へのリンクを検索結果に表示しないように命じる判決

6月

(海外)

  • 日本の警察庁を含む世界10カ国以上の関係機関の協力により「GameOver Zeus」ボットネットを使用不能に
  • 2007年にSymbian OS用アプリケーションのデジタル署名用暗号鍵が盗まれ、多額の現金を脅し取られたことが明らかに
  • 産業制御システムベンダーのウェブサイトが改ざんされ、インストーラーにマルウェアが仕込まれた事件

(国内)

  • LINEの通信内容を韓国政府が傍受しているとの報道
  • 複数のソーシャルメディアなどでリスト型攻撃と見られる不正ログインが立て続けに発生

7月

(海外)

  • ドイツ、米国によるスパイ活動が明らかになったことを受けて、在独米大使館の情報部門トップを国外退去処分に
  • 米カリフォルニア大学バークレイ校の研究チームがパスワード管理ツールの危険性を指摘
  • Apple iOSにバックドア、司法当局などによるネット監視に使われている可能性が指摘されるも、Appleは「診断機能」であると否定
  • 米国土安全保障省がオープンソースのコードをチェックして脆弱性やバグを見つけるサービス「SWAMP(Software Assurance Marketplace)」の開始を発表
  • カルステン・ノール氏らが「BadUSB」を公表(8月の「Black Hat」でデモ実施)

(国内)

  • ベネッセから国内過去再大規模の個人情報が漏えいしたことが明らかに、便乗詐欺も発生
  • 官民連携によるマルウェア対策プロジェクト「ACTIVE」を通じた不正送金マルウェア感染者に対する注意喚起

8月

(海外)

  • Google Safe Browsingに新機能追加
  • 米原子力規制委員会が過去3年間にサイバー攻撃の被害
  • 米病院チェーンから患者450万人の個人情報が盗まれた事件に「Heartbleed」が悪用
  • Microsoftの8月の月例パッチが原因でPCが起動しなくなるなどの不具合が発生
  • 韓国で2700万人の個人情報が流出

(国内)

  • 情報処理推進機構(IPA)の調査により、十分なセキュリティ環境を提供できていないサービス事業者が多い実態が明らかに
  • LINEのアカウント乗っ取り犯らが使用している「台本」がメディアの報道で公開
  • 模倣サイトとして注意喚起されたサイトが、実はロシアのインターネット検閲回避のためのプロキシーサーバーだったことが判明

9月

(海外)

  • Appleのクラウドサービス「iCloud」からセレブのプライベート写真が流出
  • 米ホームセンター大手Home Depotの支払いシステムでマルウェア感染によって5600万件のカード情報が侵害
  • bashの脆弱性「Shellshock」

(国内)

  • ハイテクや製造企業を対象とした中国からのサイバー攻撃に関するFireEyeの調査結果
  • LINE、認証強化を目的にPINコードの設定を必須化
  • 法務省や日本航空(JAL)に対する不正アクセス

10月

(海外)

  • SSL 3.0の脆弱性「POODLE(Padding Oracle On Downgraded Legacy Encryption)」
  • Microsoftの10月の更新プログラムに不具合発生
  • 「BadUSB」の具体的なコードを別の研究者がGitHub上に公開

(国内)

  • 総務省による官公庁や大企業等を対象とした実践的サイバー演習「CYDER(CYber Defense Exercise with Recurrence)」

11月

(海外)

  • 11月のMicrosoftの月例パッチでWindows 95の時代から19年間存在していた深刻な脆弱性が修正
  • 米国で、10月末以降、ホワイトハウスや郵政公社(USPS)、海洋大気局(NOAA)に対するサイバー攻撃が相次いで明るみになり、中国やロシアが関与している可能性が指摘
  • 米英の情報機関が高度なスパイ型マルウェア「Regin」を使って欧州連合などに攻撃を仕掛けたとの疑惑報道
  • 米映画製作会社Sony Pictures Entertainment(SPE)に対する大規模なサイバー攻撃

(国内)

  • アジアの高級ホテルに宿泊する企業幹部や政府関係者などを狙った「Darkhotel」攻撃、特に日本で多くの被害
  • 国内組織の「.com」登録情報が書き変えられるドメイン名ハイジャック
  • サイバー犯罪に使われていたプロキシサーバーを運営していたとして摘発された業者が、ルーターの脆弱性を使って盗まれたIDとパスワードを中国の利用者に販売していたことが明らかに
  • 日本版NCFTA(National Cyber-Forensics & Training Alliance)として、産官学共同で設立された非営利団体「一般財団法人日本サイバー犯罪対策センター(JC3:Japan Cybercrime Control Center)」が業務を開始

12月

(海外)

  • イランのグループによる世界16カ国の重要インフラに対するサイバー攻撃「Cleaver作戦」に関する報告書
  • ICANNに対する標的型攻撃
  • 韓国の原発運営会社にサイバー攻撃、図面など機密資料が流出
  • ドイツのある製鉄所がサイバー攻撃で操業停止したことがドイツ連邦電子情報保安局の報告書で明らかに

(国内)

  • 遠隔操作による不正送金事件の容疑者逮捕、ウイルス供用罪を全国で初の適用
  • 日本発の情報セキュリティ国際会議「CODE BLUE」の第2回が東京で開催

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。