Gumblar、中国のDDoS事情など「脅威のトレンド」振り返る

　秋葉原コンベンションホールで開催中の「Internet Week 2009」の初日となる24日、今年1年のセキュリティ事情を振り返るプログラム「インターネットセキュリティ2009」が行われた。

●「Gumblar」は春・秋で異なる攻撃形態、より複雑な構成に

　このプログラムでは、「セキュリティホールmemo」を運営する龍谷大学理工学部の小島肇氏が「2009年インターネットセキュリティの課題を振り返る」と題して基調講演したのに引き続き、「脅威のトレンド2009：ソフトウェア、プロトコル、ウェブサイトを巡る動向」と題したパネルディスカッションが行われた。このパネルディスカッションでは、マイクロソフトのチーフセキュリティアドバイザー・高橋正和氏の司会の下、3人のパネリストが登壇した。

パネルディスカッション「脅威のトレンド2009：ソフトウェア、プロトコル、ウェブサイトを巡る動向」の登壇者。（左から）マイクロソフトの高橋正和氏、JPCERT/CCの真鍋敬士氏、NRIセキュアテクノロジーズの櫻井厚雄氏、日立製作所の寺田真敏氏

新旧Gumblarの形態変化

　最初に、JPCERTコーディネーションセンター（JPCERT/CC）理事であり同分析センター長の真鍋敬士氏が「脅威のトレンド2009」と題して、JPCERTにて分析した攻撃手法を中心に今年のトレンドを紹介した。その中で、今年の春に大きな被害を発生させ、また秋になって再度活動を開始した「Gumblar」の分析結果が報告された。

　これによると、春と秋では攻撃の形態が大きく違っているそうだ。以前の Gumblarはマルウェアを配布するサイトが限定されており、そのようなサイトに使われていた「martuz.cn」や「gumblar.cn」などのドメインを停止することで脅威を軽減することができた。これに対して新しいGumblarはマルウェアを配布するサイトが同時にリダイレクト元にもなりうるなど、複雑な構成になっている。

　次に、NRIセキュアテクノロジーズのセキュリティコンサルタント・櫻井厚雄氏が、Webサイトのセキュリティ監査を行う立場から「脅威のトレンド2009 Webサイトの動向」と題して発表した。

　櫻井氏によると、現在、Webサイトの攻撃に悪用される脆弱性は、アクセス制御やパスワード管理の不備、SQLインジェクションといった昔からあるものがほとんどらしい。これは、いまだにWebアプリが安全に作られていないなど、脆弱なWebサイトが日々作られ続けていることを示している。

　この実態を端的に示す数字として、NRIセキュアテクノロジーズにWebサイト診断を依頼するような「意識の高い」企業であっても、その35％のWebサイトに致命的な欠陥が見つかったそうだ。これはすなわち、他の「意識の低い」企業の存在を考えると、いかに多くのWebサイトが危険な状態のまま運営されているかを示していると言える。

　最後に日立製作所HIRTチーフコーディネーションデザイナの寺田真敏氏が、研究者の立場から「チェックしておきたいぜい弱性情報2009」と題して、今年を代表する脆弱性をいくつか取り上げるとともに、脆弱性の有無をチェックする仕組みづくりについて紹介した。

　その中で、インストール済みのソフトウェアが脆弱性の残ったバージョンであるか否かをチェックする仕組みとして、「OVAL（Open Vulnerability and Assessment Language：セキュリティ検査言語）」 に基づいて作成された定義ファイルに従ってチェックしてくれるサイト「MyJVN バージョンチェッカ」を準備中であることが明らかにされた。これは、11月末にリリース予定とのことだ。

　続けて司会の高橋氏を交え、ディスカッションが行われた。Gumblarに代表されるように影響が複雑化し、多くの関係者が巻き込まれ、結果として多くの被害者を生んでしまうような状況の中で、IT管理者はどう対処できるのか、またどう対処すべきかというポイントで、真鍋氏と櫻井氏からは基本的なことを「ちゃんと行う」ことが強調された。クライアントだけでなく、サーバー側のセキュリティ対策も基本に忠実に実施する、またWebアプリは発注の段階で十分なセキュリティ要件を設定しておくことが重要であるということだ。寺田氏からは、バージョンチェックなどを機械的に行える基盤の必要性が再度強調された。

　最後に2010年に向けた話題として、真鍋氏はWindows以外のOSにも注意が必要であること、また、サードパーティ製アプリのアップデートがMicrosoft Updateに統合されることが期待されるとした。櫻井氏は今後もWebサイトが攻撃の起点に使われる状況は変わらず、むしろ加速するであろうと予測した。寺田氏は機械的処理の基盤作りに関してオープンソースの開発者への啓発が重要とし、「MyJVN バージョンチェッカ」については、すでにあるオープンソースの開発者に協力してもらっていることを説明した。

●韓国での大規模DDoS、いまだ全容は明らかになっておらず

　パネルディスカッションに引き続き、JPCERT/CCの鎌田敬介氏とJack YS LIN氏による「海外におけるインターネットセキュリティインシデント概観」と題した発表が行われた。

JPCERT/CCの鎌田敬介氏

　まず鎌田氏が、7月に韓国で発生した大規模DDoSインシデントのその後について、韓国KrCERTにヒアリングした内容を紹介した。

　まず、インシデント発生から4カ月が過ぎた今も、KrCERTはじめ、政府系組織を中心に情報の収集・分析が行われているそうである。現時点でわかっていることとしては、インシデント発生直後に公表されたマルウェアの感染経路が、実は他にも存在していたということがあるという。また、今月に入っても新たな事実が発覚しており、いまだに全容は明らかになっていないとのことだ。

　このような中、韓国政府は技術的な対策として200億ウォン（約15億円）を投入したDDoS対策装置の購入、韓国内のすべてのWebサイトを対象に怪しい実行ファイルが配布されていないかのチェック（まず2010年は100万サイトが対象）、さらに既存のセキュリティ対策事業（監視、観測など）の全般的な強化を検討中とのことだ。

　また、体制面での対策としては、KrCERTのスタッフを現在の50人から倍増させ、マルウェアの分析体制もあわせて強化。さらにDDoS攻撃に参加させられているIPアドレスのユーザーに対する通知・連絡体制の整備や駆除ツールの作成・配布も検討中とのことだ。これは日本のサイバークリーンセンター（CCC）の活動に近いと言える。

　ほかにも今回のインシデントへの対応について問題点として挙げられた、ISPやWebサイト管理者などとの関係者間の連絡・協力体制の不備についても改善を検討しているそうだ。

●中国らしいインシデント？　商売争いでDDoS攻撃も

　続けてLIN氏が「中国における大規模ネットワーク障害」と題して、5月に中国で発生した大規模インシデントについて報告し、その中で中国のセキュリティ事情も紹介された。それによると、中国ではネットカフェ同士が商売争いとしてDDoS攻撃し合うということが頻繁に発生しているそうである。また、ファイアウォール製品を売っている上海の会社がDDoS攻撃を仕掛けた相手に自社製品をDDoS対策と称して「押し売り」した事例が紹介され、実際に攻撃された4社のうち1社が代金を支払ってしまったとのことだ。

JPCERT/CCのJack YS LIN氏

　5月の大規模インシデントの背景には、中国のネットワーク事情が深く関係しているという。中国は、主に北部を管轄しているチャイナネットコム（中国網通）と、主に南部を管轄しているチャイナテレコム（中国電信）間の競争が激しく、両者のネットワークは「つながってはいるが通じない」という状況で、実質的に2つの独立したネットワークが存在しているような状況なのだそうである。

　そのため、どちらのネットワークからのアクセスに対しても均等なサービスを提供できるようにDNSのレベルでサーバーを振り分けるサービスがあり、その代表的なものが、今回のインシデントの原因を生んだフリーのDNSサービス「DNSPod」である。

　事件の概要は次のようなものだ。まず攻撃者が、対立するゲームサービスをつぶすためにゲームのサーバーに対してDDoS攻撃を仕掛けた。しかしサーバーは堅牢でなかなか落ちない。そこで攻撃対象をDNSに変更。当該ゲームサービスが利用していたDNSPodが攻撃された。これによりDNSPodのプライマリサーバーがダウン。中国電信側の緊急対応によりIPアドレスを使用停止にした。

　これが深刻な副作用を生んだ。

　中国で莫大なユーザー数をほこるマルチメディアプレーヤー「暴風影音」は、アップデートや広告表示のために頻繁にDNSに問い合わせを行う。その中にはDNSPodを使っているものもあるため、中国電信のDNSサーバーがDNSPodに問い合わせたDNSクエリが、解決できないまま中国電信のDNSサーバーに蓄積。莫大なユーザー数と頻繁なDNSクエリで中国電信のDNSサーバーがダウンした。

　これにより大規模なネットワーク障害に至ったわけである。そして今回のインシデントは多くの問題を浮き彫りにした。

　まず、無駄にDNS問い合わせを行う暴風影音はその後、問い合わせ数を激減させた修正バージョンを公開した。また、DNSPodは設備を強化するとともに、重要なサービスには利用しないで欲しい（有料のサービスを使って欲しい）との声明を出した。

　中国の特殊なネットワーク事情と莫大過ぎるユーザー数といったさまざまな要因が絡み合って起こった、きわめて「中国らしい」インシデントだったようだ。