■2008年のセキュリティを振り返る

　2008年の「セキュリティ」を振り返ってみると、2007年から引き続くキーワードとしては、

　・ボット（ボットネット）
　・標的型攻撃
　・ゼロデイ攻撃
　・SQLインジェクション攻撃

などが挙げられますが、2008年に特に目立ったものは、

　・偽ウイルス検知ソフト
　・USBメモリウイルス

ではないかと思います。また、他にも

　・北京オリンピック
　・米大統領選
　・ロシア―グルジアの軍事紛争

なども2008年のセキュリティを語る上で外せないキーワードでしょう。

　このような中、セキュリティベンダーが2008年の年間または下半期を総括したレポートを公開しています。今回はその中から「エフセキュア　2008年下半期データセキュリティ総括」と「ソフォス　セキュリティ脅威レポート2009」を紹介します。

　米国のISPであるMcColo社のネットワーク遮断によるスパム激減やロンドンの病院のウイルス感染など、すでに本連載でも紹介した話題も含まれていますが、エフセキュアのレポートで特に興味深いのは、オンライン犯罪に対する取り締まりが成果を挙げている事例です。

・EstDomains
　エストニアの悪徳ドメイン名登録事業者と言われるEstDomainsが10月、ICANNから認定を取り消されました。EstDomainsは2005年以来、drive-by-downloadサイトやボットネットのC&Cサーバーなどに使われるドメイン名の登録を行っていました。このEstDomainsの創設者であり、オペレーションを行なっていたウラジミル・ツァツィン氏が2008年の初めにクレジットカード詐欺などの罪で禁固6カ月の判決を受け、これをきっかけにICANNは認定取り消しの処理を始めたようです。

・Dark Market
　盗難クレジットカードの悪用などの情報交換目的の犯罪者によるコミュニティサービスである「Dark Market」に対して、FBIが2年間にわたって潜入捜査を行ない、その結果、56人が逮捕され、7000万ドル以上の詐取を防いだそうです。特筆すべきは、この捜査が世界中の司法機関との協力の下で行なわれたという点でしょう。

　オンライン犯罪は取り締まりが難しく、その困難さがますます悪化する方向であることは間違いありませんが、それでもこのように成果が出ることは喜ばしいことです。このレポートでも最後に述べられていますが、今以上に国際的なオンライン犯罪を取り締まる国際協力機関、エフセキュアのセキュリティ研究所所長ミッコ・ヒッポネン氏の表現を使えば「インターネットポール」の設立は急務と言えるでしょう。

　一方、多岐にわたって詳細なデータを紹介しているソフォスのレポートの中で興味深いのはマルウェアの動機や戦略に「地域性」があるとしている点です。

　ソフォスの分析によると、中国のマルウェアはオンラインゲームのパスワードを盗むことを目的としたトロイの木馬が多いようです。一方、ブラジルではオンラインバンキングの情報を盗むトロイの木馬が、ロシアではボットネットを形成するとともに、サイバー犯罪者がリモートアクセスできるようにバックドアを開くものが多いそうです。

　ところで、ソフォスのレポート本体には日本に関する記述が見当たりませんが、日本法人が公開しているサマリーには「Webマルウェアホスティング国別ランキング」と「スパム送信国ワースト12」の参考情報として、それぞれ日本が31位（0.6％）、36位（0.1％）であると紹介されています。

　世間では特に具体的な根拠なく「日本のセキュリティ対策は遅れている」と自嘲気味に言う方がいますが、このデータを見る限りでは決して「遅れている」とは言えないでしょう。もちろん、だからといって日本のセキュリティ対策が十分であるとは言えません。確かに十分なところもありますが、実際には不十分なところもまだまだあります。その差は年々開いていっていると言えるかもしれません。

　また、セキュリティ上の脅威は年々複雑化しています。2008年のセキュリティ対策が、2009年も有効である保証は全くありません。少なくとも今回のソフォスのデータが示すような悪い方での順位が上がることがないように、2009年も油断することなく、気を引き締めていきましょう。

■whoisとDNSでマルウェアを検知するサービス

　Team Cymruが提供している「Malware Hash Registry（MHR）」サービスを紹介します。

　Team Cymruは、CSIRTの国際フォーラムであるFIRSTとも関わりの深いセキュリティ関連の技術者や研究者などによるグループです。このMHRのサービスは、ファイルのハッシュ値（MD5またはSHA-1）をwhois（43/TCP）またはDNS（53/UDP）で問い合わせると、Team Cymruが保有しているデータベースに登録済みであるか否かを答えてくれるというものです。

　このサービスでは、データベースに登録済みのハッシュ値に対して、TeamCymruで対応しているウイルス検知ソフトでマルウェアとして検知される割合（％）とデータベースに登録された時刻が得られます。

　最近のマルウェアは複雑化してるため、ハッシュ値だけでマルウェアか否かを判断することは難しくなってきています。つまり、このサービスのデータベースに登録されていないからといって、そのファイルがマルウェアでない保証は全くありません。また、通信プロトコル自体に通信の安全性を保証する機能がないことも問題と言えるかもしれません。

　それでもwhoisという極めて単純なプロトコルやDNSという広く使われているサービスを使って、このようなサービスを提供するというのは決して無駄ではありません。このサービスを利用すれば、非常に簡単なコマンドの組み合わせやスクリプトで容易に既存のシステムにマルウェア検知の（ような）機能を追加できるのです。

　whoisは特にプロトコルが単純なので簡単にプログラムを組むことができます。また、DNSはキャッシュという機能がありますので、より高速にかつ効率的に検知ができるというメリットがあります。

　ただし、システムを安定的に動作させるため、自動化ツールを実装するなどして頻繁に利用する場合は、あらかじめTeam Cymruに連絡して欲しいとのことです。そのほか、利用にあたっての注意事項はMHRのページの「SPECIAL NOTICE」を参照してください。

　なお、このサービスは非営利目的での利用のみ「free」（無料、自由）としていますが、営利目的での利用を全面的に禁じているのではなく、「要相談」のようです。

■米ミシガン州立大、教授への抗議メールを送った学生を処分

　米ミシガン州立大学で新入生向けのオリエンテーション期間などの短縮を求めた大学側に対する抗議文を関係教授ら391名に電子メールで送付した学生が、大学側のネットワーク利用ポリシーに背いてスパムメールを送信したとして「警告処分」を受ける事態が発生しました。一時は「停学処分」にまで至るのではないかということで話題になりました。

　メールを送信したのは学生自治会のリーダーであるカーラ・スペンサー氏。彼女が送付したメールも公開されていますが、内容自体はおとなしく、極端な主張や誰かを誹謗・中傷するようなものは含まれていません。

　しかしこのメールを受け取ったある教授がクレームを付け、結果的に大学のネットワーク利用ポリシーのうち3つに違反するとして、12月2日に大学による懲戒委員会が開かれました。

　このような大学側の動きに対し、人権団体のFIRE（Foundation for Individual Rights in Education）が言論の自由を侵す行為であると非難する声明を発表したこともあり、米国内のメディアでも取り上げられました。

　最終的には警告処分となりましたが、ネットワーク利用ポリシー違反（スパム配信行為）に対しては「有罪」とされたようです。

　大学のネットワーク利用ポリシーも公開されており、そのポリシーを厳密に解釈すれば、確かに彼女の行為はスパム配信と言われても仕方がないかもしれません。しかし彼女の行為がスパム配信であるとして、処罰されるほどの行為であったかどうかは判断の分かれるところです。

　彼女としてはビラを配るのと同じ感覚があったのかもしれませんし、少なくとも同じ内容をビラで配っても処罰の対象になるとは考えられません。今回の処分も、メールの内容ではなく、大量の相手に対してメールを送信した行為のみが問題視されているようです。

　今後も同じような問題が（大学に限らず）起こる可能性はありますが、今回の件は最初の「判例」として記録に残るものになったと言えるかもしれません。

■韓国の銀行ATM端末でピンボールゲーム

　コンビニのレジやATM端末がWindowsのような汎用的なOSで動いていて、何らかのトラブルでその起動画面などが見えてしまったという話はよく聞きますが、韓国では銀行のATM端末でピンボールゲームが動いている様子を写した写真がネット上に公開され、話題になりました。

　なぜピンボールゲームが動いているのかといった直接の原因は明らかになっていませんが、ATM端末には毎朝オープン時になるとWindowsの起動画面が表示されているらしく、OS起動後、ATM端末のソフトウェアが起動する前であれば、タッチパネルで他のアプリケーションが起動できてしまう可能性が指摘されています。

　銀行側は、ATM端末は確かにWindowsで動いているが、パッチの適用はきちんと行なっているとしています。しかし、もし本当にOS起動直後に他のアプリケーションも使用できるとなると、何らかの「悪さ」をされてしまう可能性は十分に考えられます。気持ち悪い話です。

(2009/01/08)

山賀正人（やまが まさひと） セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ

Copyright (c)2009 Impress Watch Corporation, an Impress Group company. All rights reserved.