12年もの間継続していたサイバー諜報活動「Harkonnen Operation」ほか

　9月のセキュリティの話題と言えば、まず、Appleのクラウドサービス「iCloud」からハリウッド女優などの有名人の極めてプライベートな写真が流出した事件が挙げられます。この事件についてAppleは、自社のシステムが侵害されたのではなく、何らかの標的型攻撃によって特定の有名人のアカウント情報が窃取され、乗っ取られたことが原因との調査結果を発表しています。Appleはその後、認証を強化する目的でApple IDで使われている2段階認証をiCloudにも導入しています。また、米ホームセンター大手のHome Depotの支払いシステムで、マルウェア感染によって5600万件のカード情報が侵害されたとの報道がありました。この件数は昨年末に明らかになった米小売大手Targetから流出したとされる4000万件を超えています。さらに、LinuxなどのUNIX系OSで広く使われているシェル「bash」に極めて深刻な脆弱性が見つかり、攻撃が行なわれ始めていることも大きく報道されました。

　一方、日本に関しては、ハイテクや製造企業を対象とした中国からのサイバー攻撃に関するFireEyeの調査結果が公開されています。また、乗っ取られたアカウントによる詐欺事件が続発しているLINEで9月22日から認証強化を目的にPINコードの設定が必須化された件や、法務省や日本航空（JAL）に対する不正アクセスなどもありました。

F-Secureの2014年上半期脅威レポート

　9月8日、F-Secureは2014年上半期の脅威レポートを公開しました（9月末には日本語版公開）。このレポートに関しては、同社のプレスリリースでランサムウェアの脅威が増しているなど、すでに日本語で概要が紹介されていますので、今回は概要に含まれていない部分を紹介します。

　レポートの11ページには、地域ごとのマルウェア等の攻撃検知数の違いを示した図が掲載されています。これは1000ユーザーあたりの検知数を色分けしたもので、中東や南米ではDownadup/Confickerが多いのに対し、北米ではウェブベースの攻撃が多いなど、地域ごとに違いがあることが分かります。

　このレポートでは、MS08-067という古い脆弱性を悪用するDownadup/Confickerの活動がいまだに活発なのは、パッチを適用していないコンピューターが使われ続けているためであるとしています。つまり、地域ごとの違いはこの点に起因すると考えられます。その一方で、地域ではなく、国の単位で見た場合には、ブラジル、アラブ首長国連邦、イタリア、マレーシア、フランスでDownadup/Confickerの検知数が多いことが示されています。

　なお、ウェブベースの攻撃に関して国の単位で見た場合、フランス、米国、スウェーデンでの検知数は2013年末から引き続き多いですが、2014年に入ってからはマレーシアが急増し、他の3国を圧倒しています。

　F-Secureの報告書は、文章だけでなく、（少々派手ですが）直感的にイメージしやすい図を多用するなどの工夫がなされています。じっくり「読む」時間がなくても、「見る」だけで大筋が分かるような構成になっているのはとても便利です。まずは「一見」を。

12年もの間継続していたサイバー諜報活動「Harkonnen Operation」

　9月2日、イスラエルのセキュリティ専門企業CyberTinelは、ドイツやスイス、オーストリアの銀行や政府機関、重要インフラ事業者などに対して、2002年から12年間に渡って気付かれることなく継続して行なわれていたサイバー諜報活動「Harkonnen Operation」の存在を明らかにしました。

　この攻撃には英国で登記された800を超える偽会社が使われており、被害を受けた企業や組織は300を超えているようです。詳細はまだ調査中とのことですが、攻撃は標的型攻撃メールを起点としているとみられ、そのメールには「偽会社の正規の電子署名」が付けられていたとのことです。また、攻撃の背景や首謀者などは本稿執筆時点で不明ですが、政府の諜報機関ではなく、犯罪組織によるものではないかとみられています。

最近の韓国の話題

　最近の韓国で報道された話題を4件紹介します。

1）情報流出に関する通知・報告義務

　9月2日、放送通信委員会が「情報通信網利用促進および情報保護などに関する法律（情報通信網法）施行令」の改正公聴会を開催し、改正の内容を具体的に説明しました。5月に国会を通過し、11月に施行されることになっている今回の改正により、個人情報を流出した企業や機関は24時間以内に顧客に流出の事実を通知しなければならなくなったほか、放送通信委員会と韓国インターネット振興院にも1日が経過する前に報告しなければならなくなりました。もし24時間以内に通知および報告ができない場合は、その理由を説明しなければなりません。

2）Drive-by-Downloadによるクライアント証明書窃取

　9月4日、順天郷大学（SCH）サイバーセキュリティ研究センターは、Drive-by-Downloadの仕組みを使って、利用者のパソコンのクライアント証明書を保存しているフォルダーを圧縮して特定のサーバーに送信する攻撃事例と被害状況を発表しました。2週間で1400件余りのクライアント証明書が盗まれたことを確認しているとのことです。

3）給与明細書を装ったランサムウェア

　電子メールで送りつけられた、PDF形式の給与明細を装ったファイルを開くことで感染するランサムウェアの存在が確認されたとの報道がありました。このファイルは、アイコンを偽装してPDF形式のファイルに見せかけていますが、実際には実行ファイルで、開いて（実行して）も初めは何も反応を見せないものの、しばらくしてメモ帳が勝手に起動して「暗号化されたファイルを解除する方法」として金銭を要求するメッセージが表示されるようです。

4）セキュリティ専門家が次々と大企業のCISOに

大規模な個人情報流出が立て続けに発生している韓国では、そのような事件や事故を経験した銀行やカード会社などの大企業が、セキュリティベンダーなどから専門家をCISOとして招いているそうです。

　最後に、韓国の話題ではないですが、米Hewlett-Packardが北朝鮮のサイバー脅威に関するレポートを公開しました。これは、メディアの報道や公的機関の発表資料など、すでに公になっている情報をもとに、北朝鮮の政治体制をはじめ、インターネットの利用環境など、幅広い範囲でまとめられた資料です。そのため、北朝鮮に関する報道を目にすることが比較的多い日本においては、個々の情報自体にさほど目新しいものはないですし、また、すでに情報が古くなっている（outdated）部分もあることがレポートの冒頭であらかじめ明言されていますが、これだけの情報をまとめただけでも価値はあるでしょう。