Internet Watch logo
記事検索
バックナンバー
第33回:FIRSTが異例の一般向け注意喚起、実は…… ほか
[2009/06/04]
第32回:「APCERT」とアジア太平洋地域の新しいCSIRTたち ほか
[2009/05/12]
第31回:「CanSecWest 2009」のクラッキングコンテスト「PWN2OWN」 ほか
[2009/04/07]
第30回:デンマークのISPに「The Pirate Bay」へのアクセス遮断命令 ほか
[2009/03/03]
第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか
[2009/02/04]
第28回:2008年のセキュリティを振り返る ほか
[2009/01/08]
第27回:韓国でもボット対策サービス、感染の有無を調べて治療も ほか
[2008/12/02]
第26回:韓国で「知能型サイバー攻撃監視・追跡システム」開発 ほか
[2008/11/05]
第25回:米ペイリン副大統領候補のメールアカウントが盗まれる ほか
[2008/10/08]
第24回:セキュリティ業界のイグノーベル賞? ラズベリー賞? ほか
[2008/09/02]
第23回:マルウェア配布サイト、放置すると罰金〜韓国で法改正の動き ほか
[2008/08/06]
第22回:データ侵害の発生源、リスクが最も高いのは取引先? ほか
[2008/07/02]
第21回:通話記録などすべてデータベース化? 英国で通信データ法案 ほか
[2008/06/05]
第20回:米国の2007年ネット犯罪レポート ほか
[2008/05/01]
第19回:Vista vs Mac OS X vs Ubuntuクラッキングコンテスト ほか
[2008/04/09]
第18回:欧州におけるフィルタリング〜検閲への動き ほか
[2008/03/04]
第17回:韓国で「DDoS攻撃を防げるUSBメモリ」販売!? ほか
[2008/02/08]
第16回:中国の「悪性Webサイト」に関する研究 ほか
[2008/01/08]
第15回:「捕獲再捕獲法」でフィッシングサイトを調査 ほか
[2007/12/05]
第14回:韓国で「偽ウイルス検知ソフト」企業を複数摘発 ほか
[2007/11/05]
第13回:企業のCSOにおける「過信」を懸念〜米E-Crime Watch Survey ほか
[2007/10/03]
第12回:独「アンチハッカー法」施行に伴う研究者らの動き ほか
[2007/09/06]
第11回:韓国の上半期セキュリティ10大ニュース ほか
[2007/08/08]
第10回:韓国の自動証明書販売機、紙の偽造指紋でも認証 ほか
[2007/07/11]
第9回:韓国でポイントキャッシュバック詐欺が発覚 ほか
[2007/06/12]
第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか
[2007/05/08]
第7回:TWNCERTによるソーシャルエンジニアリングのドリル ほか
[2007/04/04]
第6回:韓国、インターネット掲示板利用に本人確認義務化へ ほか
[2007/03/06]
第5回:アンチフィッシングツールの検知能力、米大学が比較実験 ほか
[2007/02/06]
第4回:「人は誰からのメールにひっかかりやすいか」米大学の実験論文 ほか
[2007/01/18]
第3回:米国CERT/CCがPodcastingでセキュリティ講座 ほか
[2006/12/07]
第2回:韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」 ほか
[2006/11/06]
第1回:あなたのID管理は何点? IDの信頼指数をクイズで測定するサイト ほか
[2006/10/12]
海の向こうの“セキュリティ”
第28回:2008年のセキュリティを振り返る ほか

2008年のセキュリティを振り返る

ソフォス セキュリティ脅威レポート2009

 2008年の「セキュリティ」を振り返ってみると、2007年から引き続くキーワードとしては、

 ・ボット(ボットネット)
 ・標的型攻撃
 ・ゼロデイ攻撃
 ・SQLインジェクション攻撃

などが挙げられますが、2008年に特に目立ったものは、

 ・偽ウイルス検知ソフト
 ・USBメモリウイルス

ではないかと思います。また、他にも

 ・北京オリンピック
 ・米大統領選
 ・ロシア―グルジアの軍事紛争

なども2008年のセキュリティを語る上で外せないキーワードでしょう。

 このような中、セキュリティベンダーが2008年の年間または下半期を総括したレポートを公開しています。今回はその中から「エフセキュア 2008年下半期データセキュリティ総括」と「ソフォス セキュリティ脅威レポート2009」を紹介します。

 米国のISPであるMcColo社のネットワーク遮断によるスパム激減やロンドンの病院のウイルス感染など、すでに本連載でも紹介した話題も含まれていますが、エフセキュアのレポートで特に興味深いのは、オンライン犯罪に対する取り締まりが成果を挙げている事例です。

・EstDomains
 エストニアの悪徳ドメイン名登録事業者と言われるEstDomainsが10月、ICANNから認定を取り消されました。EstDomainsは2005年以来、drive-by-downloadサイトやボットネットのC&Cサーバーなどに使われるドメイン名の登録を行っていました。このEstDomainsの創設者であり、オペレーションを行なっていたウラジミル・ツァツィン氏が2008年の初めにクレジットカード詐欺などの罪で禁固6カ月の判決を受け、これをきっかけにICANNは認定取り消しの処理を始めたようです。

・Dark Market
 盗難クレジットカードの悪用などの情報交換目的の犯罪者によるコミュニティサービスである「Dark Market」に対して、FBIが2年間にわたって潜入捜査を行ない、その結果、56人が逮捕され、7000万ドル以上の詐取を防いだそうです。特筆すべきは、この捜査が世界中の司法機関との協力の下で行なわれたという点でしょう。

 オンライン犯罪は取り締まりが難しく、その困難さがますます悪化する方向であることは間違いありませんが、それでもこのように成果が出ることは喜ばしいことです。このレポートでも最後に述べられていますが、今以上に国際的なオンライン犯罪を取り締まる国際協力機関、エフセキュアのセキュリティ研究所所長ミッコ・ヒッポネン氏の表現を使えば「インターネットポール」の設立は急務と言えるでしょう。

 一方、多岐にわたって詳細なデータを紹介しているソフォスのレポートの中で興味深いのはマルウェアの動機や戦略に「地域性」があるとしている点です。

 ソフォスの分析によると、中国のマルウェアはオンラインゲームのパスワードを盗むことを目的としたトロイの木馬が多いようです。一方、ブラジルではオンラインバンキングの情報を盗むトロイの木馬が、ロシアではボットネットを形成するとともに、サイバー犯罪者がリモートアクセスできるようにバックドアを開くものが多いそうです。

 ところで、ソフォスのレポート本体には日本に関する記述が見当たりませんが、日本法人が公開しているサマリーには「Webマルウェアホスティング国別ランキング」と「スパム送信国ワースト12」の参考情報として、それぞれ日本が31位(0.6%)、36位(0.1%)であると紹介されています。

 世間では特に具体的な根拠なく「日本のセキュリティ対策は遅れている」と自嘲気味に言う方がいますが、このデータを見る限りでは決して「遅れている」とは言えないでしょう。もちろん、だからといって日本のセキュリティ対策が十分であるとは言えません。確かに十分なところもありますが、実際には不十分なところもまだまだあります。その差は年々開いていっていると言えるかもしれません。

 また、セキュリティ上の脅威は年々複雑化しています。2008年のセキュリティ対策が、2009年も有効である保証は全くありません。少なくとも今回のソフォスのデータが示すような悪い方での順位が上がることがないように、2009年も油断することなく、気を引き締めていきましょう。

URL
 エフセキュア 2008年下半期データセキュリティ総括
 http://www.f-secure.co.jp/news/200812081/
 http://www.f-secure.co.jp/news/SecurityReport20082H.pdf
 ソフォス セキュリティ脅威レポート2009
 http://www.sophos.co.jp/pressoffice/news/articles/2008/12/threat-report-j.html
 http://www.sophos.com/sophos/docs/eng/marketing_material/sophos-security-threat-report-jan-2009-na.pdf

whoisとDNSでマルウェアを検知するサービス

Malware Hash Registry(MHR)

 Team Cymruが提供している「Malware Hash Registry(MHR)」サービスを紹介します。

 Team Cymruは、CSIRTの国際フォーラムであるFIRSTとも関わりの深いセキュリティ関連の技術者や研究者などによるグループです。このMHRのサービスは、ファイルのハッシュ値(MD5またはSHA-1)をwhois(43/TCP)またはDNS(53/UDP)で問い合わせると、Team Cymruが保有しているデータベースに登録済みであるか否かを答えてくれるというものです。

 このサービスでは、データベースに登録済みのハッシュ値に対して、TeamCymruで対応しているウイルス検知ソフトでマルウェアとして検知される割合(%)とデータベースに登録された時刻が得られます。

 最近のマルウェアは複雑化してるため、ハッシュ値だけでマルウェアか否かを判断することは難しくなってきています。つまり、このサービスのデータベースに登録されていないからといって、そのファイルがマルウェアでない保証は全くありません。また、通信プロトコル自体に通信の安全性を保証する機能がないことも問題と言えるかもしれません。

 それでもwhoisという極めて単純なプロトコルやDNSという広く使われているサービスを使って、このようなサービスを提供するというのは決して無駄ではありません。このサービスを利用すれば、非常に簡単なコマンドの組み合わせやスクリプトで容易に既存のシステムにマルウェア検知の(ような)機能を追加できるのです。

 whoisは特にプロトコルが単純なので簡単にプログラムを組むことができます。また、DNSはキャッシュという機能がありますので、より高速にかつ効率的に検知ができるというメリットがあります。

 ただし、システムを安定的に動作させるため、自動化ツールを実装するなどして頻繁に利用する場合は、あらかじめTeam Cymruに連絡して欲しいとのことです。そのほか、利用にあたっての注意事項はMHRのページの「SPECIAL NOTICE」を参照してください。

 なお、このサービスは非営利目的での利用のみ「free」(無料、自由)としていますが、営利目的での利用を全面的に禁じているのではなく、「要相談」のようです。

URL
 Team Cymru Malware Hash Registry
 http://www.team-cymru.org/Services/MHR/

米ミシガン州立大、教授への抗議メールを送った学生を処分

 米ミシガン州立大学で新入生向けのオリエンテーション期間などの短縮を求めた大学側に対する抗議文を関係教授ら391名に電子メールで送付した学生が、大学側のネットワーク利用ポリシーに背いてスパムメールを送信したとして「警告処分」を受ける事態が発生しました。一時は「停学処分」にまで至るのではないかということで話題になりました。

 メールを送信したのは学生自治会のリーダーであるカーラ・スペンサー氏。彼女が送付したメールも公開されていますが、内容自体はおとなしく、極端な主張や誰かを誹謗・中傷するようなものは含まれていません。

 しかしこのメールを受け取ったある教授がクレームを付け、結果的に大学のネットワーク利用ポリシーのうち3つに違反するとして、12月2日に大学による懲戒委員会が開かれました。

 このような大学側の動きに対し、人権団体のFIRE(Foundation for Individual Rights in Education)が言論の自由を侵す行為であると非難する声明を発表したこともあり、米国内のメディアでも取り上げられました。

 最終的には警告処分となりましたが、ネットワーク利用ポリシー違反(スパム配信行為)に対しては「有罪」とされたようです。

 大学のネットワーク利用ポリシーも公開されており、そのポリシーを厳密に解釈すれば、確かに彼女の行為はスパム配信と言われても仕方がないかもしれません。しかし彼女の行為がスパム配信であるとして、処罰されるほどの行為であったかどうかは判断の分かれるところです。

 彼女としてはビラを配るのと同じ感覚があったのかもしれませんし、少なくとも同じ内容をビラで配っても処罰の対象になるとは考えられません。今回の処分も、メールの内容ではなく、大量の相手に対してメールを送信した行為のみが問題視されているようです。

 今後も同じような問題が(大学に限らず)起こる可能性はありますが、今回の件は最初の「判例」として記録に残るものになったと言えるかもしれません。

URL
 FIREのプレスリリース(2008月12月4日付)
 http://www.thefire.org/index.php/article/9994.html
 FIREのプレスリリース(2008月12月10日付)
 http://www.thefire.org/index.php/article/10020.html

韓国の銀行ATM端末でピンボールゲーム

 コンビニのレジやATM端末がWindowsのような汎用的なOSで動いていて、何らかのトラブルでその起動画面などが見えてしまったという話はよく聞きますが、韓国では銀行のATM端末でピンボールゲームが動いている様子を写した写真がネット上に公開され、話題になりました。

 なぜピンボールゲームが動いているのかといった直接の原因は明らかになっていませんが、ATM端末には毎朝オープン時になるとWindowsの起動画面が表示されているらしく、OS起動後、ATM端末のソフトウェアが起動する前であれば、タッチパネルで他のアプリケーションが起動できてしまう可能性が指摘されています。

 銀行側は、ATM端末は確かにWindowsで動いているが、パッチの適用はきちんと行なっているとしています。しかし、もし本当にOS起動直後に他のアプリケーションも使用できるとなると、何らかの「悪さ」をされてしまう可能性は十分に考えられます。気持ち悪い話です。

URL
 保安ニュース(2008年12月4日付記事、韓国語)
 不始末なATM端末機、ゲーム機で変身...ネチズン‘荒唐’
 http://www.boannews.com/media/view.asp?idx=12995

(2009/01/08)


  山賀正人(やまが まさひと)
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ
 Copyright (c)2009 Impress Watch Corporation, an Impress Group company. All rights reserved.