Internet Watch logo
記事検索
バックナンバー
第33回:FIRSTが異例の一般向け注意喚起、実は…… ほか
[2009/06/04]
第32回:「APCERT」とアジア太平洋地域の新しいCSIRTたち ほか
[2009/05/12]
第31回:「CanSecWest 2009」のクラッキングコンテスト「PWN2OWN」 ほか
[2009/04/07]
第30回:デンマークのISPに「The Pirate Bay」へのアクセス遮断命令 ほか
[2009/03/03]
第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか
[2009/02/04]
第28回:2008年のセキュリティを振り返る ほか
[2009/01/08]
第27回:韓国でもボット対策サービス、感染の有無を調べて治療も ほか
[2008/12/02]
第26回:韓国で「知能型サイバー攻撃監視・追跡システム」開発 ほか
[2008/11/05]
第25回:米ペイリン副大統領候補のメールアカウントが盗まれる ほか
[2008/10/08]
第24回:セキュリティ業界のイグノーベル賞? ラズベリー賞? ほか
[2008/09/02]
第23回:マルウェア配布サイト、放置すると罰金~韓国で法改正の動き ほか
[2008/08/06]
第22回:データ侵害の発生源、リスクが最も高いのは取引先? ほか
[2008/07/02]
第21回:通話記録などすべてデータベース化? 英国で通信データ法案 ほか
[2008/06/05]
第20回:米国の2007年ネット犯罪レポート ほか
[2008/05/01]
第19回:Vista vs Mac OS X vs Ubuntuクラッキングコンテスト ほか
[2008/04/09]
第18回:欧州におけるフィルタリング~検閲への動き ほか
[2008/03/04]
第17回:韓国で「DDoS攻撃を防げるUSBメモリ」販売!? ほか
[2008/02/08]
第16回:中国の「悪性Webサイト」に関する研究 ほか
[2008/01/08]
第15回:「捕獲再捕獲法」でフィッシングサイトを調査 ほか
[2007/12/05]
第14回:韓国で「偽ウイルス検知ソフト」企業を複数摘発 ほか
[2007/11/05]
第13回:企業のCSOにおける「過信」を懸念~米E-Crime Watch Survey ほか
[2007/10/03]
第12回:独「アンチハッカー法」施行に伴う研究者らの動き ほか
[2007/09/06]
第11回:韓国の上半期セキュリティ10大ニュース ほか
[2007/08/08]
第10回:韓国の自動証明書販売機、紙の偽造指紋でも認証 ほか
[2007/07/11]
第9回:韓国でポイントキャッシュバック詐欺が発覚 ほか
[2007/06/12]
第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか
[2007/05/08]
第7回:TWNCERTによるソーシャルエンジニアリングのドリル ほか
[2007/04/04]
第6回:韓国、インターネット掲示板利用に本人確認義務化へ ほか
[2007/03/06]
第5回:アンチフィッシングツールの検知能力、米大学が比較実験 ほか
[2007/02/06]
第4回:「人は誰からのメールにひっかかりやすいか」米大学の実験論文 ほか
[2007/01/18]
第3回:米国CERT/CCがPodcastingでセキュリティ講座 ほか
[2006/12/07]
第2回:韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」 ほか
[2006/11/06]
第1回:あなたのID管理は何点? IDの信頼指数をクイズで測定するサイト ほか
[2006/10/12]
海の向こうの“セキュリティ”
第27回:韓国でもボット対策サービス、感染の有無を調べて治療も ほか

韓国でもボット対策サービス、感染の有無を調べて治療も

ボット対策サービスを提供しているサイト「ボホナラ(保護の国)」

 日本ではボット対策として、総務省と経済産業省の連携プロジェクトである「サイバークリーンセンター(CCC)」がボットの駆除ツールを無償で公開していますが、韓国でも似たようなサービスが始まりました。

 韓国情報保護振興院(KISA)は11月4日、一般ユーザーのパソコンがボットに感染しているか否かをチェックできるサービスを開始したと発表しました。KISAでは以前からボット対策として「DNSシンクホール」というサービスを提供しており、そのシステムを活用したのが今回発表した新サービスです。

 「DNSシンクホール」は、ボットが感染後にボットネットを管理するサーバーと通信する性質を利用し、ボットが本来のボットネット管理サーバーではなく、KISAのサーバーにアクセスするように通信を捻じ曲げることで、ボットとして機能しないようにするというシステムです。

 今回、KISAはこのシステムを改良することで、ユーザーのパソコンがボットに感染しているかどうかをチェックするとともに、感染している場合は治療まで行えるようにしたのだそうです。

 このサービスは「ボホナラ(保護の国)」と名付けられたWebサイトで提供されています。また、このサイトではボットのプログラムそのものの検体提供も受け付けており、提供されたプログラムをもとにウイルス対策ベンダーと連携してワクチンの開発も行なうとしています。

 セキュリティ関連では「イケイケどんどん」のイメージの強い韓国にしては、ボット感染の有無をチェックするサービスの提供開始が遅かったような印象を受けます。その一方で、今回のサービス以前に既に行っていたという通信を捻じ曲げる「DNSシンクホール」は、確かに効果はあるのでしょうが、ユーザーの立場として見ると、若干「気持ち悪い」印象があります。通信を捻じ曲げることに伴う弊害もあると思うのですが、その点については明らかにされていません。

URL
 ETNEWS(2008年11月4日付記事)
 KISA、悪性ボット(Bot)感染確認サービス提供
 http://www.etnews.co.kr/news/detail.html?&mc=m_014_00001&id=200811040040
 ボホナラ
 http://www.boho.or.kr/
 サイバークリーンセンター
 https://www.ccc.go.jp/

米大統領候補に標的型攻撃?

 米国大統領選はオバマ氏の圧勝で決着しましたが、選挙戦真っ只中の今年の夏、オバマ/マケイン両陣営のパソコンに、外国機関の何者かが侵入する事件が発生していたとの報道がありました。

 報道によると、侵入によってパソコン内に保存されていた両候補の政策にかかわる資料などが大量に盗み出されたようです。また、対立陣営による攻撃の可能性はほとんどないらしく、最初に侵入に気付いたオバマ陣営の担当者は、侵入はロシアか中国から行われたと推測しているそうです。

 FBIとシークレットサービスなどが捜査に当たっており、今のところ「犯人」は特定されていませんが、犯行の目的は、どちらが大統領になっても外交上の交渉を有利に運べるように両候補の政策などを詳細に把握・分析することにあったのではないかとされています。

 技術的な詳細が明らかにされておらず、単に「a sophisticated cyber attack」と表現されているだけなので、現時点では何とも判断ができないのですが、もし報道の通りの目的で侵入行為が行われたのであれば、単なるウイルスではなく、何らかの公知になっていない手法を用いた「標的型攻撃」である可能性は極めて高いと言えます。

 この件はこのままうやむやになってしまう可能性もありますが、同じような攻撃を防ぐためにも、できればどのような手法で攻撃が行われたのか、詳細を明らかにしてもらいたいものです。

URL
 Yahoo! Tech(2008年11月6日付記事)
 Obama, McCain campaign computers hacked: Newsweek(AFP)
 http://tech.yahoo.com/news/afp/20081106/tc_afp/usvotecrimeinternet
 CNN.com(2008年11月20日付記事)
 Obama's cell phone records breached
 http://www.cnn.com/2008/POLITICS/11/20/obama.cell.breach/index.html

一ホスティング事業者の遮断でスパム半減?

 世界中のスパムメールの50%から75%もの配信にかかわっていたとされる「悪徳」ホスティング事業者のネットワーク接続が遮断されたことで、スパムメールが激減したとの報道がありました。

 このホスティング事業者は、世界最大規模のボットネットとされる「Rustock」や「Srizbi」にネットワーク接続サービスを提供していたことで悪名が高かった、サンノゼにあるMcColo社で、現地時間11月11日の午後(グリニッジ標準時11月11日21時30分ごろ)、同社の上位プロバイダー複数社がネットワーク接続を遮断しました。

 McColo社のネットワークを遮断したことによって減少したスパム配信の割合については、観測によりまちまちですが、4割減から半減、中には3分の1に減ったとの報道もありました(減少の度合いを示すグラフは下記の参考文献で紹介されています)。

 しかし、この「スパム激減」を手放しで喜ぶべきではありません。これが一時的なものに過ぎないことは誰の目にも明らかです。事実、11月15日にはMcColo社が別のプロバイダーを使うなどして一時的にインターネットに接続し、その間に「Rustock」の管理者がボットネットの設定を変更して再びスパムメールの送信を行うようにしたとの報道がありました。その結果、11月24日には(以前ほどの量には至らないものの)スパムの量が急増したことが観測されています。恐らく以前の量に戻るのは時間の問題でしょう。

 残念ですが同じような「もぐらたたき」を繰り返さざるを得ないようです。

 さて、今回のMcColo社の遮断そのものに対して異議を唱える人はほとんどいませんでしたが、今回の件に警察や裁判所など司法機関が全く関与していなかったことに対し、このようなプロバイダーらの「自警主義(vigilantism)」に警鐘を鳴らす意見も出ています。簡単に言ってしまえば、法的な面も含め、何らかの「裏付け」のないままに遮断という強硬手段に出ることに「行き過ぎ」の危険性があるのではないかということです。

 確かにMcColo社の顧客にはスパム配信とは無関係の「普通のユーザー」もいたはず。それらの「無辜のユーザー」のネットワーク接続をも遮断してしまったことに「問題が全くなかった」とは言えないのではないでしょうか。

 McColo社はスパム配信以外にも多くのサイバー犯罪関係のサイトをホスティングしていたと見られていることから、実際には今回の遮断による「問題」はないのかもしれません。しかし、同じような遮断を今後も別の事業者に対して「同じように問題なく」行えるかどうかは甚だ疑問です。

URL
 washingtonpost.com(2008年11月12日付記事)
 Host of Internet Spam Groups Is Cut Off
 http://www.washingtonpost.com/wp-dyn/content/article/2008/11/12/AR2008111200658.html
 Sophos Blog(2008年11月12日付記事)
 Alleged Silicon Valley spam source taken down; global spam volume drops 75%
 http://www.sophos.com/security/blog/2008/11/1970.html
 Symantec Security Response Blogs(2008年11月13日付記事)
 Hosting Company Shutdown Causes Spam Volumes to Fall - For Now!
 https://forums.symantec.com/syment/blog/article?blog.id=spam&thread.id=123
 F-Secure Weblog(2008年11月13日付記事)
 McColo Mole Wacked
 http://www.f-secure.com/weblog/archives/00001539.html
 McAfee Avert Labs Blog(2008年11月13日付記事)
 Where did all the spam go?
 http://www.avertlabs.com/research/blog/index.php/2008/11/13/where-did-all-the-spam-go/
 Computerworld(2008年11月17日付記事)
 McColo takedown: Internet vigilantism or online Neighborhood Watch?
 http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9120542
 Sophos Blog(2008年11月26日付記事)
 Spam is up by 200%. Rustock botnet revival to blame.
 http://www.sophos.com/security/blog/2008/11/2028.html

ロンドンの病院が「ウイルス」感染

 病院がコンピュータウイルスに感染したという、ジョークのような事件がロンドンで発生しました。

 英国の病院トラスト(企業合同)である「Barts and The London NHS Trust」のコンピュータシステムにウイルスが感染したために、その傘下にあるロンドンの3つの病院(St. Bartholomew's、the Royal London Hospital、TheLondon Chest Hospital)のネットワークを遮断する事態が発生しました。

 感染したのは、2005年の春に流行した「Mytob」と呼ばれるウイルスと見られ、患者の個人情報が漏えいする危険性もあることから、感染発覚後、すぐにネットワークを遮断したようです。

 トラスト側の発表や英国での報道によれば、同トラストでは普段からこのような緊急事態に備えた訓練をしており、ネットワークを停止したことによって業務上の支障は多少発生したものの、病院業務自体はほぼ通常通りに行えたようです。また、調査の結果、ウイルスによって患者の個人情報が漏えいした事実はなかったとの発表もされています。

 さすがに命を預かる病院だけあって緊急時の対応はスムーズであり、今回の事件によって重篤化した患者がいたといった深刻な事態は発生しなかったようです。この「事後対応」の円滑さについては、一般の企業でも見習うべき点は多々あると思います。

 しかしその一方で、3年以上も前に流行したウイルスになぜ感染してしまったのかという点が気になります。本原稿執筆時点では、原因はまだ調査中とされていますが、同トラストの発表では少なくとも標的型攻撃の対象とされた証拠はないとしています。

 単にウイルス対策ソフトがインストールされていない、または更新されていないパソコンがあったのではないかとの見方もありますが、真相が気になるところです。

URL
 Barts and The London NHS Trust  Press release(2008年11月18日付記事)
 Computer virus at the Trust Tuesday 1500hrs
 http://www.bartsandthelondon.org.uk/formedia/press/release.asp?id=2054
 Press release(2008年11月21日付記事)
 Computer virus at The Trust
 http://www.bartsandthelondon.org.uk/formedia/press/release.asp?id=2077
 BBC NEWS(2008年11月18日付記事)
 Computer virus affects hospitals
 http://news.bbc.co.uk/1/hi/england/london/7735502.stm

(2008/12/02)


  山賀正人(やまが まさひと)
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ
 Copyright (c)2008 Impress Watch Corporation, an Impress Group company. All rights reserved.