海の向こうの“セキュリティ”

第96回

「Black Hat 2014」参加の「自称ハッカー」に対する意識調査 ほか

 8月もセキュリティに関する話題にはこと欠きませんでした。まず、本連載でも何度か取り上げてきているGoogle Safe Browsingに新機能が追加された件や、米原子力規制委員会が過去3年間にサイバー攻撃の被害を受けた件、さらに米病院チェーンから患者450万人の個人情報が盗まれた事件に「Heartbleed」が悪用されたとの報道などがありました。中でも、Microsoftの8月の月例パッチが原因でPCが起動しなくなるなどの不具合が発生した件は、影響範囲も広く、注目されました。また、韓国では再び大規模な個人情報流出事件が発生しています。

 一方、国内に目を向けると、強いパスワードを必須としない、または設定できないなど、十分なセキュリティ環境を提供できていないサービス事業者が多い実態が、情報処理推進機構(IPA)の調査によって明らかになりました。また、LINEのアカウント乗っ取りによる詐欺事件が続く中、乗っ取り犯らが使用している「台本」が誤ってメッセージに添付され、その内容がメディアの報道で公開される出来事もありました。ほかにも、公的機関や企業から模倣サイトとして扱われ、注意喚起までなされたサイトが、実はロシアにおけるインターネット検閲回避のためのプロキシーサーバーだった件も話題になりました。

「Black Hat 2014」参加の「自称ハッカー」に対する意識調査

 8月上旬に毎年恒例のセキュリティ関連イベント「Black Hat 2014」が開催され、今年もさまざまな話題を提供しました。中でも航空機や列車、自動車への攻撃などが注目を集めたようです。

 そのような中、米国のセキュリティ企業Thycotic社がBlack Hat 2014に参加した自称「Black Hat」ハッカー127人に対して行なった意識調査が発表されました。

 レポートによると、攻撃の動機については、51%が遊びやスリルを求めるためと回答、逆に金銭目的としているのは18%にとどまっています。ちなみに社会的な意識や倫理的な観点から真実を暴くため(いわゆるハクティビズムを含む)と回答したのは29%、名を上げるためとしたのは1%に過ぎませんでした。

 この結果に対して、Thycoticのレポートだけでなく、一部のメディアは、「近年は金銭目的の攻撃が多い」との大方の報道と異なっているとし、中には「意外だ」との論調で伝えているメディアもあります。しかし、果たして本当にそうでしょうか?

 確かに、遊び目的で行なわれた攻撃が発生しても、目に見える実害がなく、気付かれもしなければ、その攻撃はないも同然。当然、世の中で発生した攻撃にカウントされることはありません。つまり、実は実際に起きている攻撃の大半は遊びが目的で行なわれたもので、その多くは認識されず、カウントされていないだけというのは可能性としてはあります。

 しかし、そもそも今回の調査対象はあくまでBlack Hat 2014に参加した「自称ハッカー」に過ぎません。つまり、本当に攻撃を日常的に行なっているかどうかすら定かでないですし、さらに言えば、「本気で」「仕事で」攻撃を行なっているような人たちの大半は、このような国際的な大イベントに参加などしないでしょうし、もし参加したとしても、少なくともこのような調査を受けるとは考えにくいですし、受けても正直には答えないでしょう。

 それを考えれば、遊びやスリルを動機としている者が多いという今回の調査結果は「当たり前」と言えば当たり前。話のネタにはちょうどいいですが、あまり真面目に受け取る必要はないでしょう。

 さて、今回の調査ではほかにもいくつかの結果が公表されています。まず、調査対象の86%が「捕まることはないと考えている」ようです。これを先ほどの動機に関する結果(遊び目的51%+ある種の正義感29%=80%)と組み合わせると、対象者の多くが自らの行なっている攻撃を悪いことだとは考えていないと解釈することもできます。

 また、特定の企業のログイン情報を取得するためにまず最初に狙うのはどの職種かとの質問に対しては、請負業者が最も多い40%、次にIT管理者が30%となっており、他を圧倒しています。請負業者が狙われやすいというのは、社内だけを堅牢に守っていれば大丈夫というわけではない(という当たり前の)ことを具体的に示すものと言えるかもしれません。

 先程も述べたように、今回の調査結果を世の中で実際に起きている攻撃の状況と直接結び付けて考えるのは適切ではないですが、あくまで「Black Hat 2014の参加者」という前提を十分に理解した上であれば、これはこれでそれなりに興味深い結果と言えるでしょう。上手に「利用」してみてください。

VerisignによるDDoSに関するレポート

 Verisignが今年の第2四半期(4~6月)に自社のDDoS対策サービスの顧客が受けたDDoS攻撃に関する調査レポートを公開しました。注目すべきポイントは以下の通り。

1)平均値12.42Gbpsは前年同四半期の平均値3.17Gbpsから291%の増加、前四半期の3.92Gbpsから216%の増加

2)攻撃の65%が1Gbps以上、ピーク値はUDPで300Gbps/24Mpps、TCPで35Gbps/91Mpps

3)最も狙われているのはメディアおよびエンターテインメント系で全体の43%、次にITサービス/クラウド/SaaSが41%(2013年に最も多かったのは金融系だが今四半期は5%)

 そのほかにも、NTPリフレクション攻撃が引き続きトップ、アプリケーション層を狙った攻撃が減少(30%から10%に)、攻撃の継続時間は短いが集中度は高い傾向などが見られているようです。

 今回のレポートは、あくまでVerisignの「DDoS Protection Services」の顧客が受けたDDoS攻撃についてまとめたもので、インターネット全体を網羅したものではありませんが、攻撃の「量」が飛躍的に増えている傾向が具体的な数字で示されており、また、10ページ程度と簡潔にまとまっています。DDoSの現況に関する参照データの1つとして使うには十分な内容でしょう。

Mandiantの「APT1レポート」で攻撃が沈静化

 2013年2月にMandiant社(当時)が発表して世界中から注目を集めた「APT1レポート」に関して、一風変わった「その後」の話が報道されました。

 「APT1レポート(APT1:Exposing One of China's Cyber Espionage Units)」とは、過去数年間に渡って米国の企業や組織に対して行なわれたサイバー攻撃に中国人民解放軍総参謀部第3部第2局(第61398部隊)が関与していると結論付けた報告書で、発表当時は、単に注目を集めただけでなく、一部から批判の声も上がるなど、大きな話題となりました。

 それから1年半が過ぎた今年8月、米国ロッキードマーティン社の副社長Charles Croom氏らが、APT1レポートが公開されて以降、同社に対する攻撃が沈静化したことを明らかにしました。もちろん、APT1レポートだけの効果とは限りませんし、攻撃が完全になくなったわけではなく、攻撃の仕方を変えてきているだけとも言えますが、同レポートの公開に、ある程度の抑止効果があったと明言し、感謝の気持ちを表しています。

 APT1レポートの効果が本当にあったと言えるのか、厳密に測定することは難しいですが、当事者が「そう感じる」という感覚は無視できません。サイバー攻撃はあくまで「人」の意思で行なわれるもの。攻撃を受ける側の「人」としての当事者感覚も攻撃側の心理を探る上では重要なポイントです。APT1レポートに限らず、広く注目を集めた事象に対する当事者の「感覚」を集約して分析することも今後は必要かもしれません。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。