Internet Watch logo
記事検索
バックナンバー
第33回:FIRSTが異例の一般向け注意喚起、実は…… ほか
[2009/06/04]
第32回:「APCERT」とアジア太平洋地域の新しいCSIRTたち ほか
[2009/05/12]
第31回:「CanSecWest 2009」のクラッキングコンテスト「PWN2OWN」 ほか
[2009/04/07]
第30回:デンマークのISPに「The Pirate Bay」へのアクセス遮断命令 ほか
[2009/03/03]
第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか
[2009/02/04]
第28回:2008年のセキュリティを振り返る ほか
[2009/01/08]
第27回:韓国でもボット対策サービス、感染の有無を調べて治療も ほか
[2008/12/02]
第26回:韓国で「知能型サイバー攻撃監視・追跡システム」開発 ほか
[2008/11/05]
第25回:米ペイリン副大統領候補のメールアカウントが盗まれる ほか
[2008/10/08]
第24回:セキュリティ業界のイグノーベル賞? ラズベリー賞? ほか
[2008/09/02]
第23回:マルウェア配布サイト、放置すると罰金~韓国で法改正の動き ほか
[2008/08/06]
第22回:データ侵害の発生源、リスクが最も高いのは取引先? ほか
[2008/07/02]
第21回:通話記録などすべてデータベース化? 英国で通信データ法案 ほか
[2008/06/05]
第20回:米国の2007年ネット犯罪レポート ほか
[2008/05/01]
第19回:Vista vs Mac OS X vs Ubuntuクラッキングコンテスト ほか
[2008/04/09]
第18回:欧州におけるフィルタリング~検閲への動き ほか
[2008/03/04]
第17回:韓国で「DDoS攻撃を防げるUSBメモリ」販売!? ほか
[2008/02/08]
第16回:中国の「悪性Webサイト」に関する研究 ほか
[2008/01/08]
第15回:「捕獲再捕獲法」でフィッシングサイトを調査 ほか
[2007/12/05]
第14回:韓国で「偽ウイルス検知ソフト」企業を複数摘発 ほか
[2007/11/05]
第13回:企業のCSOにおける「過信」を懸念~米E-Crime Watch Survey ほか
[2007/10/03]
第12回:独「アンチハッカー法」施行に伴う研究者らの動き ほか
[2007/09/06]
第11回:韓国の上半期セキュリティ10大ニュース ほか
[2007/08/08]
第10回:韓国の自動証明書販売機、紙の偽造指紋でも認証 ほか
[2007/07/11]
第9回:韓国でポイントキャッシュバック詐欺が発覚 ほか
[2007/06/12]
第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか
[2007/05/08]
第7回:TWNCERTによるソーシャルエンジニアリングのドリル ほか
[2007/04/04]
第6回:韓国、インターネット掲示板利用に本人確認義務化へ ほか
[2007/03/06]
第5回:アンチフィッシングツールの検知能力、米大学が比較実験 ほか
[2007/02/06]
第4回:「人は誰からのメールにひっかかりやすいか」米大学の実験論文 ほか
[2007/01/18]
第3回:米国CERT/CCがPodcastingでセキュリティ講座 ほか
[2006/12/07]
第2回:韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」 ほか
[2006/11/06]
第1回:あなたのID管理は何点? IDの信頼指数をクイズで測定するサイト ほか
[2006/10/12]
海の向こうの“セキュリティ”
第24回:セキュリティ業界のイグノーベル賞? ラズベリー賞? ほか

セキュリティ業界のイグノーベル賞? ラズベリー賞?

「ポニー賞(Pwnie Awards)」のWebサイト

 有名な賞のパロディとして、ノーベル賞に対する「イグノーベル賞」、アカデミー賞に対する「ラズベリー賞」というものがありますが、セキュリティ業界にも同じようなジョーク的な賞があります。それが今回紹介する「ポニー賞(Pwnie Awards)」です。

 アカデミー賞のオスカー像に対して、ポニー賞で贈られるのは金のポニーにピンクの髪が生えている像。見るからに「欲しくない」と思わせる代物ですが、その表彰式が、8月にラスベガスで開催されたセキュリティカンファレンス「Black Hat USA」の場で行なわれました。

 ポニー賞は、セキュリティの研究者やコミュニティの業績、「失敗」を表彰するもので、「funny」という点が重要視されているようです。今回は2007年6月1日から2008年5月31日までに発見されたバグを対象として、9つの部門に分かれています。

1)Pwnie for Best Server-Side Bug
技術的に最も洗練され、かつ興味深いサーバー側のバグを発見した者への賞

2) Pwnie for Best Client-Side Bug
技術的に最も洗練され、かつ興味深いクライアント側のバグを発見した者への賞

3)Pwnie for Mass 0wnage
最も広く攻撃に使われたバグを発見した者への賞

4)Pwnie for Most Innovative Research
最も興味深く、かつ革新的な研究を論文やプレゼン、ツール、もしくはメーリングリストへの投稿という形で公開した者への賞

5)Pwnie for Lamest Vendor Response
脆弱性の取り扱いを最も見事に誤ってしまったベンダーへの賞

6)Pwnie for Most Overhyped Bug
インターネットや主要メディアを通じて最も過剰に宣伝されたバグを発見した者への賞

7)Pwnie for Best Song
これは百聞は一見にしかず。ポニー賞のサイトで動画が公開されているのでそちらを参照してください

8)Pwnie for Most Epic FAIL
見事に「イケてる(逆説的にへなちょこの意味)」失敗をした人や企業に対する賞

9)Pwnie for Lifetime Achievement
過去の業績を称える功労賞

 この中で特にジョーク的意味合いが強いと思われる「Pwnie for Most Epic FAIL」には、DebianのOpenSSLパッケージに重大なバグが仕込まれていた件が受賞しています。

 また、非常に「不名誉な賞」である「Pwnie for Lamest Vendor Response」には、McAfeeのScanAlertサービスで安全であるとされた60以上のサイトにクロスサイトスクリプティングの脆弱性があり、しかもScanAlertのWebサイト自身も同じように脆弱だった件が受賞しました。

 さらに興味深いのは「Pwnie for Most Overhyped Bug」。これには対象期間中、最も大きく報道されたDNSキャッシュポイズニングの件が受賞しました

 表彰式の様子は、ポニー賞のサイトで公開されている動画で見ることができますが、ジョーク的な賞ということもあり、(当然のことながら)受賞者は受賞のスピーチで気の利いたジョークを飛ばさないといけないようです(笑)。

【お詫びと訂正 2008/09/05】
 記事初出時、DebianのOpenSSLパッケージに「バックドア」が仕込まれていたと記載しておりましたが、「重大なバグ」の誤りです。お詫びして訂正します。

URL
 The Pwnie Awards
 http://pwnie-awards.org/

グルジア紛争開始後にDDoS攻撃、便乗のスパムメールも

 北京オリンピックの陰で少々印象が薄くなってしまったかもしれませんが、国際的な「出来事」であるグルジアでの紛争に関連した話題を紹介します。

 今回の紛争に際しては、多くのセキュリティ専門家が警戒した通り、まず紛争開始の数日後、グルジアの政府機関のサイトなどがロシアからDDoS(分散型サービス運用妨害)攻撃を受け、アクセス不能な状態になっていると、在英グルジア大使館が発表しました。しかもその攻撃がロシア軍によるものであると明言したために、世界中で大きく報道されました。

 しかし、その攻撃の規模や被害がグルジア側の発表にあるほど甚大なものであったことが確認できなかったばかりか、ロシア政府の関与に明確な証拠がなく、さらに攻撃の内容とその有効性から考えて、ロシア政府が関与したとは考えにくい──つまり、単なる「反グルジア勢力」による示威行為に過ぎないのではないか、というのがセキュリティ専門家の大方の見方でした。

 この件に関しては昨年、同じように国家レベルの大規模なサイバー攻撃を受けたとして大きな話題となったエストニアのCERT(Computer Emergency Response Team)から2名の専門家がグルジアに派遣されたとの報道もありました。

 今回の紛争に関連して、大量のスパム配信によるボットネット構築も話題になりました。このスパムメールは英国BBCを騙り、「Mikheil Saakashvili gay scandal! New of this week」という件名で配信されました(Mikheil Saakashviliはグルジアの大統領)。そのメールには、架空の記事へのリンクに見せかけて、ボット感染を目的としたWebページに誘導するリンクがあり、そのリンクをクリックすることで感染してしまうようです。

 このボットは新たなボットネットを構築することを目的に感染を広げていると見られ、そのボットネットの使い道については、グルジアの政府機関などへのサイバー攻撃に使われるのではないかと言われています。

 次に話題になったのは典型的な「便乗」犯罪で、グルジアの紛争に関する情報を装ったメールに、パスワード保護された圧縮ファイルの形でウイルスが添付されているというものです。パスワード保護された圧縮ファイルを使って、ウイルス検知ソフトによる検知を回避する手法自体は昔からありますが、今回はそれにグルジアの紛争を絡めたわけです。

 問題のメールは、「Journalists shot in Georgia」という件名で、メール本文に圧縮ファイルのパスワードが「123」であると書かれ、Georgia.zipという圧縮ファイルが添付されてばらまかれました。

 このGeorgia.zipを開こうとするとパスワードを聞かれ、そこで「123」と指定すると、joined.exeという実行形式のファイルが生成されます。次にこのファイルを実行すると、攻撃者のWebサイトから偽ウイルス検知ソフトをダウンロードして実行します。すると偽のウイルス警告メッセージが表示され、ウイルスを駆除するために有料版を購入するように促して販売用のサイトに誘導し、そこでクレジットカードの番号などを入力させます。

 この件に関して言えば、実行形式のファイルを実行しなければ何ら問題はありません。また、すでに多くのウイルス検知ソフトが、その実行形式のファイル自体をウイルスであると検出できるので、少なくとも実行前にファイルを検査すれば問題はなく、この便乗犯罪自体は大して深刻なものではありません。

 しかし、紛争が完全に解決しない限り、今後もより悪質かつ巧妙な手法による犯罪が「便乗して」行われないとも限りません。引き続き、警戒は必要でしょう。

URL
 CNET News.com(2008年8月11日付記事)
 「Georgia accuses Russia of coordinated cyberattack」
 http://news.cnet.com/8301-1009_3-10014150-83.html?hhTest=1
 eWEEK.com(2008年8月11日付記事)
 「Is There Also A Russian Cyber War Against Georgia」
 http://www.eweek.com/c/a/Security/Is-There-Also-An-EWar-Against-Georgia/
 Computerworlduk(2008年8月12日付記事)
 「Georgia calls in Estonia and Poland to fight cyber attacks」
 http://www.computerworlduk.com/management/security/cybercrime/news/index.cfm?RSS&newsid=10484
 Network World(2008年8月15日付記事)
 「Anti-Georgia spammers building new botnet」
 http://www.networkworld.com/news/2008/081508-anti-georgia-spammers-building-new.html
 Trend Micro TrendLabs Malware Blog(2008年8月21日付記事)
 「Malicious Russian-Georgian Spam Uses .ZIP Password」
 http://blog.trendmicro.com/malicious-russian-georgian-spam-uses-zip-password/

関連記事
海の向こうの“セキュリティ” 第9回(2007/06/12)

北京オリンピックに便乗、偽チケットサイトやスパムメール

 北京オリンピックの開催にあたっては、民族紛争などもあり、何らかの大規模な「サイバーテロ」の可能性が示唆されていましたが、幸いなことに特に致命的かつ甚大な被害を生むような事態は発生しませんでした。とはいうものの、やはり当然のことながら「便乗」したインシデントもいくつか発生しており、実際に被害を受けた方もいるようです。

 まず話題になったのは、オリンピックの偽チケットを販売するサイトです。偽チケット詐欺については昨年から一般のニュースなどでも報道されていましたが、今回はオリンピック開始直前になって、「beijingticketing.com」や「beijingticketing2008.com」など、いかにも本物のようなドメイン名を使っていたサイトが登場し、日本でも被害に遭った方がいたようです。

 しかし、このサイトについては、よく読めば「怪しい」ことがすぐにわかります。例えば、コンタクト情報として掲載された電話番号は英国、オフィスの住所はアリゾナであるにもかかわらず、事務所の場所はロンドン、ニューヨーク、シドニーの3カ所であると書かれているのです。この一貫性のなさは「怪しい」以外の何ものでもありません。

 他にもSymantecの調査によると、嘘のカード情報を入力してもエラーにならず、購入手続きが「無事に」完了してしまったそうです。つまり、このサイトはカード情報のチェックをせずに、単にカード情報をはじめとする個人情報の収集を目的としていたわけです。

 なお、偽サイトに対しては、国際オリンピック委員会(IOC)などが閉鎖請求の訴訟を起こし、いくつかはオリンピック開催前に閉鎖されたようです。

 オリンピックが始まると、今度はオリンピックに関連したスパムメールが出回りました。このスパムメールは、オリンピックに関連した動画を装うなどして、ユーザーにリンクをクリックさせます。そのリンク先は、get_flash_update.exeやget_flash_codec.exe、またはinstall.exeのような実行ファイルになっており、これらのファイルを実行することで偽のウイルス検知ソフトがインストールされてしまうのです。あとはグルジア紛争関係で紹介した偽ウイルス検知ソフトと同じです。

 この場合も、実行ファイル自体が正規のウイルス検知ソフトで検出可能であり、実行さえしなければ何も問題がないことから、深刻な事態には至りませんでしたが、今回の件は、相変わらず、何らかの国際的な「イベント」に際しては、この手の悪質な行為が必ず発生するという「いい事例」と呼べるかもしれません。

URL
 Symantec Security Response Blogs(2008年8月4日付記事)
 「Buyer Beware - Scam Olympic Ticketing Sites About」
 https://forums.symantec.com/syment/blog/article?blog.id=online_fraud&thread.id=93
 Symantec Security Response Blogs(2008年8月15日付記事)
 「Large-Scale Spam Campaign Continues」
 https://forums.symantec.com/syment/blog/article?blog.id=malicious_code&thread.id=211

(2008/09/02)


  山賀正人(やまが まさひと)
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ
 Copyright (c)2008 Impress Watch Corporation, an Impress Group company. All rights reserved.