海の向こうの“セキュリティ”

韓国で休眠ウェブサイト整理キャンペーン/旧バージョンIEを国でサポート ほか

ウクライナで発生したサイバー攻撃による停電について分かっていること

 昨年12月28日、ウクライナ保安庁は、12月23日の夕方に同国の一部地域で発生した停電がサイバー攻撃によるものであることを正式に認める発表を行いました。また、その中で攻撃にロシアが関与していることを明言しています。

 かねてより電力システムがサイバー攻撃の対象となる危険性は指摘されていましたが、それが現実のものとなったことで、今回の件は世界中で大きな注目を集めています。しかし、そのインパクトの大きさから情報が少々錯綜しているように見える部分もあります。

 そのような中、米国のフリージャーナリスト、Kim Zetter氏は2016年1月半ばの時点で明らかになっていることをまとめた記事を公開しました。

 まず注目すべきは、今回の攻撃にマルウェアが使われたことは間違いないものの、マルウェアによって直接停電が起こされたわけではないとみられている点です。マルウェアは発電所のネットワーク内に侵入することに使われ、その後、攻撃者はネットワーク内を移動し、電力を制御するシステムに侵入して「手動で(正規の手順で)配電を止めた」可能性が指摘されています。他にも、マルウェアによって通信が不能になったことで結果的に停電が発生したとの見方もあるようです。

 また、事故の発生検知を遅らせるために、管理画面上は正常な配電が行われているように見えるように細工したり、偽の電話問い合わせを大量に行うことで、利用者からの問い合わせができないようにするTDoS(Telephone Denial-of-Service)攻撃を行ったりしていたことも確認されています。さらに復旧を遅らせるためにオペレーターのコンピューターをマルウェアを使って起動不能にするなどの破壊行為も行われたようです。

 一方、今回使用されたマルウェアがロシアのサイバー犯罪グループで使われていたことから、ウクライナと緊張関係にあるロシアが攻撃に関与していると指摘されていますが、その見方に否定的なセキュリティベンダーもあります。当該マルウェアはすでに広く知られており、ロシア以外でも使われている可能性は十分にあるからです。

 これらを踏まえ、記事では最後に米国の電力システムが同様の攻撃による被害を受ける可能性について言及しています。専門家によれば、米国のシステムはウクライナよりは堅牢であるが、停電を起こされた場合は復旧が難しいとしています。理由は、ウクライナでは最終的に手動制御に切り替えることで復旧できたのに対し、米国のシステムは自動化が進んでいるため、制御システムが失われた場合に手動制御に切り替えることができないからとしています。

 繰り返しになりますが、重要インフラへのサイバー攻撃によって実際に被害が発生した今回の件は大きな注目を集めています。そのため、さまざまな憶測が飛び交ってしまうのは仕方のないことかもしれません。今後も次々と出てくるであろう関連情報を、慎重かつ冷静に受け止めることが重要です。

韓国における最近のセキュリティ関連の話題

 「IT先進国」として知られる韓国は、お国柄もあってか、情報セキュリティに関しても「イケイケドンドン」の姿勢で新たな制度の導入を積極的に行っています。基本的に「まずは運用してみて、うまくいかなければ修正または廃止する」というスタンスなので、常に興味深い「事例」をさまざまな形で提供してくれているとも言えます。そんな韓国で1月に報道されたセキュリティ関連の話題をいくつか簡単に紹介します。ちなみに韓国語は自動翻訳でもかなり高い精度で日本語に翻訳できるので、詳細は紹介した記事の原文を参照してください。

脆弱性届出褒賞制度

 日本では、発見したソフトウェアの脆弱性をIPAに届け出ると、その情報をJPCERT/CCが当該ベンダーと調整した上で公表する制度が2004年から運用されています。一方、韓国では、KISA(韓国インターネット振興院)が報告を受け付け、ベンダーと調整するとともに、発見者には内容に応じた金額をKISAが「報奨金」として支払う、言ってみれば「国営バグバウンティ」制度が2012年10月から運用されています。これまでの3年強の間で、797件の脆弱性情報が報告され、その半分以上の495件について報奨金が支給されているそうです。

 脆弱性申告褒賞審査委員の1人は、この制度に参加する民間企業を増やすだけでなく、民間企業がMicrosoftやGoogleのように自らバグバウンティを自発的に実施することが大事だとコメントしています。

情報保護準備度評価制度

 昨年末に「情報保護産業振興法」が施行されたことに伴い、韓国情報放送通信大連合(ICT大連合)は、企業や組織に対する「情報保護準備度評価制度」の活性化に注力すると発表しました。準備度の評価は韓国情報通信技術協会(TTA)、韓国情報通信振興協会(KAIT)、韓国侵害事故対応チーム協議会(CONCERT)が行います。

 情報保護準備度評価制度は「セキュリティ」に努めた企業を評価する制度で、有効期間は1年(年に1回の更新)。評価はBからAAAまであり、Bは基本的な情報保護管理活動が用意されている状態、Aは対処能力が限定的、AAAは「優良」で侵害の脅威の予防から対処までが可能であるとの評価になります。

2015年情報保護実態調査

 未来創造科学部が、従業員1人以上の企業8000社と個人4000人を対象に昨年8月から9月に面接を介して実施された調査の結果をまとめた「2015年情報保護実態調査」を公開しました。その結果、IT予算の中で情報保護予算の割合が5%以上の企業は、わずか1%であり、モバイル機器の利用者10人のうち3人はマルウェア感染の経験があるとのことです。

休眠ウェブサイト整理キャンペーン

 2012年の情報通信網法改正により、住民番号の収集利用が禁止され、既存の保有済み住民番号も2014年8月までに破棄するように義務化されました。その一方で、技術力が不足している一部の中小零細企業をはじめ、個人が運営したり、管理者なしで放置されたりしている一部ウェブサイトが住民番号を未だに収集中であることが確認されています。

 そこで、住民番号を収集中のまま運営を中断した休眠ウェブサイトを対象に、住民番号の収集ウィンドウ(入力フォーム)を削除する方法や住民番号の代替手段の導入などの改善について案内し、これに必要な技術諮問、訪問コンサルティングなどを支援するキャンペーンを、KISAが韓国ホスティングドメイン協会と共同で実施するそうです。

旧バージョンIEを国でサポート

 Microsoftによる旧バージョンのInternet Exploror(IE)のサポートが終了したことに伴い、企業だけでなく、個人レベルでもIEへの依存度の高い韓国では、未来創造科学部とKISAが、IEの最新版への更新を促進するととともに、旧バージョンのIEについて技術サポートや専用ワクチンの無料配布など、かなり踏み込んだ支援をするそうです。

ネットカフェのPCをボット化して詐欺賭博

 韓国内のネットカフェのPCのうち60%をボット化してインターネット詐欺賭博を行っていた犯罪グループが逮捕されました。逮捕された2人は、業界でのシェアの高いネットカフェ管理プログラム運営会社を5億ウォンで買収し、PCを更新するたびに悪性コードを埋め込んでいたそうです。ちなみに一連の詐欺行為で不正に手に入れた利益は40億ウォンとのことです。

カード情報流出1人あたり10万ウォンの賠償

 2014年にKB国民カード、NH農協カード、ロッテカードの3社合わせて1億件を超える顧客情報が流出した事件に対する損害賠償請求訴訟で、計5000人の原告1人あたり10万ウォンの賠償を命じる判決が下りました。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。