海の向こうの“セキュリティ”

SSL警告メッセージのあるべき形に関する研究論文、無視され具合を計測比較 ほか

Akamai、DDoS攻撃に関する2014年第4四半期レポート

 Akamaiが「2014年第4四半期『インターネットの現状』報告書」を公開しました。これは、Akamaiにおいて主にDDoS攻撃などに対応する専門家チーム「PLXsert(Prolexic Security Engineering and Response Team)」の調査によるもので、対象となる2014年第4四半期に極めて多くのDDoS攻撃が発生していた状況や複数の攻撃手法が使われるようになって来ている傾向などを独自の調査分析に基づいて報告しています。今回はこの中からいくつかのトピックを取り上げて紹介します。

 図6から分かるように、2014年第4四半期に発生したDDoS攻撃の対象のインフラ層とアプリケーション層の比率は約9:1となっています。

 インフラ層の攻撃として最も多いのはSYN flood(16.91%)で、以下、SSDP flood(14.62%)、UDPフラグメント(13.95%)、UDP flood(10.58%)、DNS攻撃(10.51%)の順になっています。

 アプリケーション層の攻撃で多いのはHTTP GET floodで攻撃全体の8.42%を占めており、他のアプリケーション層の攻撃を圧倒しています。

図6

 攻撃手法の割合を、2013年第4四半期と前四半期(2014年第3四半期)と比較したのが図7です。SYN floodが前四半期よりは減っているものの、1年前とは同レベルであるのに対し、HTTP GET floodは1年前よりは大幅に減っているものの前四半期並みということが分かります。また、SSDPについては2014年第3四半期に初めて観測されて以降、急激に増加。同じように増加傾向にあるNTPを一気に飛び越して、現在は「人気の」攻撃手法の1つになっています。

 SSDPが急増している理由として報告書では、世界中の一般家庭で使われているUPnPデバイスを悪用できるという数の多さと、ユーザーのリテラシーの低さにより対策されないまま放置されていることが多いという点が挙げられています。これに対し、NTPやDNSは専門家が対応するものであるという違いがあるとしています。

図7

 次に、攻撃対象を業界ごとに分類したのが図9です。ゲーム業界が他を圧倒しており、この傾向は2014年第2四半期から続いています。2番目に多い「Software & Technology」にはSaaSやクラウドなども含まれます。

図9

 DDoSの攻撃元を国や地域別に分類したのが図10です。米国と中国で全体の約半分を占めています。また全体の約3分の1が西ヨーロッパ(ドイツ、フランス、スペイン、英国)となっています。

図10

 攻撃元の変化を示したのが図11です。米国と中国が2トップで、韓国が常にランクインしている以外は、かなり変動があることが分かります。また、2014年第3四半期に7位だった日本は第4四半期には圏外になっています。

図11

 2013年第4四半期に比べてどれだけDDoS攻撃が増えたかを週ごとに示したのが図12です。年末の攻撃がけた外れに増えていることが分かります。なお、この増加の多くはゲーム業界に対する攻撃とのことです。

図12

 興味深いのは攻撃開始時刻の変化を示した図13です。2013年第4四半期には明らかに時間帯によって違いがあったのが、徐々に平準化していることが分かります。報告書では攻撃が「国際化」していることの表れではないかとしています。

図13

 この報告書は主にDDoSを中心とした内容になっていますが、他にもマルウェアやウェブアプリケーションの脆弱性を悪用したボットネットなど、さまざまな脅威についてもページ数を割いて解説しています。ISPの方だけでなく、広くセキュリティに関心のある方にも一読の価値はあるでしょう。

SSL警告メッセージのあるべき形に関する研究論文、無視され具合を計測比較

 SSLサーバー証明書の不備(有効期限切れなど)に対するウェブブラウザーの警告メッセージは、昔から無視されることが珍しくないですが、そのような中、Googleとペンシルベニア大学の研究者らが、SSL警告メッセージのあるべき形に関する研究論文を発表しました。

 この論文の結論自体は至極当たり前のことで、警告メッセージには専門用語を使わず、端的な表現をすることが求められるというだけのことなのですが、それを具体的に数字で示しています。そして、この研究結果に基づき、Googleは自社開発のブラウザー「Chrome」のメッセージを変更しています。

 頻繁にバージョンアップをしているChromeの本稿執筆時点でのバージョンは40ですが、警告メッセージの変更は、バージョン37で行なわれています。

 バージョン36での警告メッセージは以下のようなものでした。

[タイトル]
The site's security certificateis not trusted!

[本文]
You attempted to reach <接続先ドメイン>, but the server presented a certificate issued by an entity that is not trusted by your computer's operating system. This may mean that the server has generated its own security credentials, which Chrome cannot rely on for identity information, or an attacker may be trying to intercept your communications. You should not proceed, especially if you have never seen this warning before for this site.

 これがバージョン37では以下のように変更されています。

[タイトル]
Your connection is not private

[本文]
Attackers might be trying to steal your information from <接続先ドメイン> (for example, passwords, messages, or credit cards).

 簡略化されたことが一目で分かると思いますが、この新しい警告メッセージは、Chromeよりも警告メッセージが無視されにくいことが調査によって明らかになっていたMozilla Firefoxのものを参考にしているようです。

 ちなみに、Firefox 31の警告メッセージは以下の通り。

[タイトル]
This Connection is Untrusted

[本文]
You have asked to connect securely to <接続先ドメイン>, but we can't confirm that your connection is secure. Normally, when you try to connect securely, sites will present trusted identification to prove that you are going to the right place. However, this site's identity can't be verified.

 論文では、新しいメッセージに変更したことで実際にどの程度「無視されなくなったか」を調べた結果が示されています。

 実験は図4で示す4つのパターンで行われました。AはChrome 36、Bはデザインはそのままでメッセージだけを新しいものに変えたもの、Cは新しいメッセージと新しいデザイン、DはメッセージとデザインはCと同じで色だけを変えたものになります。

図4

 実験の結果、表5が示すようにCが最も無視されず、Chrome 36の倍に近い値を示しています。またメッセージの変更だけでも効果はあるものの、それに加えてデザインの変更がより大きな効果を生んでいることが分かります。ちなみに、Chrome 37ではCが採用されています。

表5

 論文の結果自体に目新しいものはないものの、具体的に数字で示してある点は興味深いものがあります。また、論文では他にもさまざまな点を調査した結果が示されていますので、ウェブブラウザーに限らず、一般的なソフトウェアの警告メッセージを考える上でも参考になる部分はあるでしょう。

スマホのキルスイッチに効果あり

 スマホの盗難事件が増加傾向にあった米国では、本連載でも紹介した、盗まれたスマホを他人に使われないようにする機能「キルスイッチ」の普及が進み、法律で導入が義務化されている州もあります。そのような中、スマホ関連の窃盗事件の発生件数が顕著に低下しているとの報道がありました。キルスイッチによる直接の「効果」について厳密に調査されているわけではないようですが、キルスイッチの普及に伴い、2013年から2014年の間で、iPhoneの窃盗件数はサンフランシスコで45%、ニューヨークで25%減少しているそうです。

 また、米国以外では英国・ロンドンで半数に減っているとも伝えられており、他の都市でも同様の効果があったのか、気になるところではあります。しかし、実際に調査して確認しなくても、キルスイッチ(および同様の機能)がユーザーを守る効果があるのは確か。このような機能がないスマホは(その機能を実際にユーザーが使うかどうかは別として)自然に淘汰されていくのでしょう。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。