スウェーデンで「The Pirate Bay」の運営者に有罪判決が下されたり、フランスでいわゆる「スリーストライク法」が否決されるなど、何かと話題に事欠かない4月でしたが、今回は、4月に公開された少々毛色の変わった報告書から紹介します。

■「APCERT」とアジア太平洋地域の新しいCSIRTたち

　CSIRT（Computer Security Incident Response Team）の国際フォーラムとしては「FIRST（Forum of Incident Response and Security Teams）」がありますが、そのアジア太平洋版のフォーラムとして「APCERT（Asia Pacific Computer Emergency Response Team）」があります（本連載2007年4月4日付記事参照）。事務局は、日本のJPCERTコーディネーションセンター（JPCERT/CC）が担当しています。

　このフォーラムが、アジアではなく、アジア太平洋地域を対象としているのは、IPアドレスの割り振り（allocation）をベースにしているからです。アジア太平洋地域はAPNICがアドレスの割り振りを行っており、このAPNICの管轄地域を基本的にそのままAPCERTの対象地域として定義しています。

　また、IPアドレスの割り振りをベースにしているのは、セキュリティ問題を考える上で、「アドレスブロックの近さ」が重要な意味を持つケースが多々あるからです。例えば、ご存知の方も多いと思いますが、かつてワームなどが感染を広げるのはアドレスブロックが近いところに限定されることが少なくありませんでした。北米で被害が拡大したワームがアジア太平洋地域ではそうでなかったり、その逆もあったりしたのです。

　このような経緯でアジア太平洋地域を対象として生まれたAPCERTは、2009年4月時点で16の国と地域から22チームが加盟しています。

　APCERTの加盟チームには、「General Member」と「Full Member」の2つのレベルがあります。違いは、APCERTにおけるさまざまな決議に対する投票権の有無です。

　新規に加盟したチームはまず、投票権のないGeneral Memberとなります。その後、ある程度の期間を経て、既存メンバーの承認を得られれば、投票権を有するFull Memberになることができます。これはメンバー間の信用を第一とするCSIRTのフォーラムとして、とても合理的なルールと言えるでしょう。

　APCERTは毎年、年次報告書の形でAPCERTと加盟CSIRTの1年間の活動をまとめて公開しています。そこで、ここからは、4月初旬に公開された2008年の年次報告書をもとに、比較的最近APCERTに加盟した新しいCSIRTを紹介します。

・CERT-In（インド）
　http://www.cert-in.org.in/

　インドの国際連携CSIRT（National CSIRT：国・地域の窓口としての役目を果たすCSIRT）です。インド通信情報技術省情報技術局の職能組織で、2004年1月に活動を開始しました。APCERTには、2006年にGeneral Memberとして加盟した後、2008年9月にFull Memberになりました。

　CERT-Inの活動で注目すべきは、ボット対策でしょう。ボット感染システムやC&Cサーバーの追跡と除去を積極的に行なっているようです。2008年だけでも14万7005のボット感染システム、88のC&Cサーバーを「処理」しています。

・VNCERT（ベトナム）
　http://www.vncert.gov.vn/

　ベトナムの国際連携CSIRTです。ベトナム情報通信省の下に2005年12月に設置された機関です。APCERTには、2007年4月にGeneral Memberとして加盟した後、2008年12月にFull Memberになりました。

　2008年に対応したインシデントは95件。Web改ざんとフィッシングが多かったようです。

・SLCERT（スリランカ）
　http://www.slcert.gov.lk/

　スリランカの国際連携CSIRTです。法人登記上は私的有限責任会社ですが、政府からの支援と「お墨付き」を得た上で活動しています。APCERTには、2008年3月にGeneral Memberとして加盟した後、2009年3月にFull Memberになりました。

　2008年に対応したインシデントは49件。Web改ざんとマルウェアに関するものが多かったようです。

・BDCERT（バングラディッシュ）
　http://www.bdcert.org/

　バングラディッシュの国際連携CSIRTです。バングラディッシュ国内ISPの連合体をベースにボランティアで2007年7月から活動していますが、政府との連携も強く、政府からの実質的な「お墨付き」を得た組織として活動しています。APCERTには、2008年12月にGeneral Memberとして加盟しました。まだ、Full Memberではありません。

　2008年に対応したインシデントは121件。ISPの連合体がベースになっていることも関係しているのかもしれませんが、スパムに関するものが多かったようです。またSMSベースのインシデント報告システムを用意しているのも特徴的です。

■韓国でセキュリティイベント「CODEGATE 2009」開催

　韓国で4月7日・8日の2日間に渡り、セキュリティ関連のイベント「CODEGATE 2009」が開催されました。このイベントはセキュリィカンファレンスとクラッキングコンテストなどで構成されています。

　特に注目されたのはクラッキングコンテスト。イベントに先立って3月6日から3月8日にオンラインで行われた予選を通過したチームと海外からの招待チームが、主催者側の用意した20個のサーバーの脆弱性を見つけるというもので、本戦は4月7日の朝10時から翌4月8日の朝10時まで24時間続けて行われました。

　本戦には、韓国の大学サークルなど4チームのほか、海外からwoobi woobi pandas（スペイン）、WHMM（スウェーデン）、1@stplace（米国）、Guard@MyLAN0（イタリア）の4チーム、計8チームが参加しました。

　コンテストは、4月7日の21時から終了間際までスペインのwoobi woobi pandasがトップを走り続けていましたが、終了直前になって韓国のCParKが逆転し、優勝。賞金2000万ウォンと知識経済省長官賞を獲得しました。2位となったwoobi woobi pandasには賞金1000万ウォン、3位となったPLUS（韓国浦項工科大）には賞金500万ウォンが授与されました。また、4位から8位までのチーム（残りの本戦参加チームのすべて）にはそれぞれ100万ウォンが授与されました。

　DefCon優勝経験チームとして招待された1@stplaceは、韓国入国直後の参加という悪条件のため、最下位に終わりました。しかし、そもそも韓国で24時間続けて行うというのは、欧米からの参加者にとって、時差や長時間の渡航に伴う疲労などを考えると、かなり不利な条件でしょう。

　また、コンテストの構成において最後に大逆転が可能な課題を用意するのは、イベントとしての面白さ（盛り上げ効果）を意図していることはわかりますが、客観的に見て「公平性に難あり？」という気がしないではありません（苦笑）。

■ブラジルの大手ISPにカミンスキーアタック？

　以前から南米ではフィッシング詐欺が多いと言われていましたが、それに絡んで、4月初旬、ブラジルの大手ISP「NET Virtua」がカミンスキーアタックと思われるDNSキャッシュポイズニング攻撃を受けたことが報道されました。

　この攻撃によってハイジャックされたDNSレコードは2つ。1つはGoogle AdSenseに用いられているドメイン名、もう1つはブラジル最大の金融機関の1つ「Bradesco」のドメイン名です。

　このハイジャックにより、Google AdSenseについては、銀行口座の情報を盗み取るトロイの木馬をインストールするサイトに誘導、Bradescoについてはその偽サイトに誘導されたようです。ちなみにBradescoの偽サイトは韓国に設置されていたようです。

　攻撃は約4時間に渡って行われ、その間、どれだけのユーザーが被害を受けたのかは本稿執筆時点では不明のようです。

(2009/05/12)

山賀正人（やまが まさひと） セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ

Copyright (c)2009 Impress Watch Corporation, an Impress Group company. All rights reserved.