海の向こうの“セキュリティ”

　7月も、メディアのTwitterアカウントが盗まれ、「オバマ大統領が暗殺された」との偽情報が流されたり、いわゆる「ハクティビスト」と呼ばれる集団が引き続きさまざまなサイトを攻撃し続ける一方でメンバーが逮捕されたり、さらにはMacBookのバッテリーを制御して発火や爆発を起こさせることができるかもしれない脆弱性が発見されたりするなど、セキュリティにかかわる国際的な話題に事欠かない1カ月でした。中でもインパクトがあったのは、1843年創刊のイギリス大衆紙ニュース・オブ・ザ・ワールドが廃刊に追い込まれる事態にまで至った組織的な電話盗聴事件でしょう。あまりに「とんでもない」事件で国際的にも大きな話題になりました。

　さて、そんな7月でしたが、今回はまずオランダの大学の研究者らによる研究論文から紹介します。

●インターネット上で最も「悪」な都市は？

　オランダのトゥウェンテ大学（University of Twente）の研究者らが、攻撃元IPアドレスを元に、どの都市がインターネット上で「悪（Evil）」かを調べた論文を発表しました。

■URL
　Finding and Analyzing Evil Cities on the Internet（PDF）
　http://eprints.eemcs.utwente.nl/20081/01/paper.pdf

　攻撃元IPアドレスがどの「国」に属するかについては、セキュリティベンダーをはじめ、さまざまな企業や組織が統計データを公開しています。最近では多くの場合、それらの上位に入るのが中国やブラジル、ロシア、米国などであることはよく知られています。

　しかし、「国（Country）」という単位は大き過ぎて、例えば、そのような攻撃元IPアドレスの情報を元に何らかのフィルタリングを設定するなど、セキュリティ関連のツールに利用したくても、国単位では粗過ぎてほとんど使えないのが実情です。

　そこで「都市（City）」の単位で調べることで、攻撃元IPアドレスの情報をより効果的に利用することができないかと考えたのが今回の研究の動機だそうです。

　正直なことを言えば、そのような目的を達成するのに十分な研究とは思えないのですが、純粋な「興味」という点では惹かれるものがあります。

　今回の調査では、オランダの大学の半数以上が採用しているというオランダのセキュリティベンダーQuarantainenet社から非公開の匿名化されていない生データを取得して分析しています。

　具体的にはQuarantainenetがオランダ国内に配置した125台のハニーポットを使い、それらに対する攻撃を調べています。

　ただし今回の調査では、攻撃回数は調査対象でないので、48時間以内で同じIPアドレスから攻撃が行なわれた場合は同一攻撃者による重複として捨てます。

　また、IPアドレスから都市名を特定するにはgeoPluginを利用します。

　なお、geoPluginはMaxMindのデータベースを使っていて、その正確性は、国なら99.8％、州（都道府県）なら90％だそうです。

■URL
　Quarantainenet
　http://quarantainenet.com/
　geoPlugin
　http://www.geoplugin.com/
　MaxMind
　http://www.maxmind.com/

　ちなみに、私がよく知るIPアドレス（日本国内）で調べてみたところ、MaxMindのデータベースでは「ほぼ正確」な結果が得られたのに対し、なぜかgeoPluginでは「日本」であること以外、正確とは程遠い結果しか得られませんでした（苦笑）。

　肝心のデータベースの信頼性に疑問は残りますが、調査は2010年10月29日から11月4日までの7日間行なわれました。

　その結果、2万5474件の攻撃と2万3814の異なる攻撃元IPアドレスを取得することができました。攻撃の内訳は、2万174件がConfickerワームによる感染活動、2052件がMS08-067を悪用した攻撃となっています。

■URL
　マイクロソフトセキュリティ情報　MS08-067 - 緊急
　Serverサービスの脆弱性により、リモートでコードが実行される（958644）
　http://www.microsoft.com/japan/technet/security/bulletin/ms08-067.mspx

　これらの結果を都市別にまとめたのが表1です。

表1（Finding and Analyzing Evil Cities on the Internetより）

　これによると、ソウル（韓国）を筆頭に、台北（台湾）、北京（中国）といった東アジアの都市が上位を占めています。

　また、攻撃対象となるハニーポットがオランダ国内に限定されていることから、ロシアをはじめとする東ヨーロッパ方面からの攻撃が多いのではないかと思っていましたが、実際には上位20都市のうち、9都市がアジア、6都市が南米。意外なことにヨーロッパは4都市だけで、しかも北米が全く入っていないのです。

　ところで、この都市別のランキングだけが注目され、「インターネット上で最も危険な都市はソウル」と紹介されたケースも一部ではあったようですが、「最も危険」という表現は適切ではないでしょう。そもそも攻撃対象がオランダ国内に限定された調査に過ぎませんから「オランダにとって最も危険」なだけですし、人口が多ければ多いほど攻撃元になる可能性が増すのは明らか。そこで、この結果を人口100万人あたりの攻撃元IPアドレス数で比較したのが表2です。

表2（Finding and Analyzing Evil Cities on the Internetより）

　ここで各都市の人口はWikipediaのデータを使っています。また、本来なら人口ではなく、インターネットユーザー数で算出すべきなのでしょうが、適切なデータがなかったことから、今回は単純に人口で計算しているそうです。

　これによると、先ほどは1位だったソウルが5位に後退しています。一方、先ほどは20位だったチェリャビンスク（ロシア）が1位になっています。しかし、上位4都市についてはさほど大きな差はなく、誤差の範囲とも言えます。

　次に今回の調査結果を改めて「国別」でまとめたのが表3です。

表3（Finding and Analyzing Evil Cities on the Internetより）

　この結果はこれまでに一般的に知られている統計データとさほど違いはなく、1位が中国、そしてブラジル、米国、ロシアと続いています。一方、攻撃元IPアドレス数ではソウルが1位でしたが韓国全体では7位。また、これまで都市別のトップ20に全く入っていなかった米国、イタリア、スペインがそれぞれ3位、5位、6位と上位に入っているなど、都市別の結果と国別の結果には直接の関係がほとんど見られませんでした。

　続いて、調査が行なわれた7日間での変化を記したのが表4です。

表4（Finding and Analyzing Evil Cities on the Internetより）

　これによると7日間程度ではほとんど順位に差がありません。これはすなわち、この手のデータの更新は少なくとも毎日行なわなくても問題ない（かもしれない）ことを示しています。

　最後に、攻撃のタイプによって違いがあるかについては、別途データを取得して解析しています。2010年4月22日のデータに限定し、Quarantainenetから取得した攻撃元IPアドレス6797個と、トゥウエンテ大学のメールサーバーのログから抽出したスパム送信元のIPアドレス7万546個を比較したのが表5です。

表5（Finding and Analyzing Evil Cities on the Internetより）

　トップ20を比較すると9都市が両方にランクインしています（太字で表記）。さらに上位100都市で比較すると50都市が、また上位200都市で比較すると105都市が重複しています。つまり、ほぼ半数が重なっているのです。

　これは、（より精緻な調査分析が必要ですが）ある攻撃タイプの攻撃元に関する情報が別タイプの攻撃元の情報として、ある程度は使えるかもしれないことを示しています。

　さて今回の調査は、オランダ国内に設置されたハニーポットなど、攻撃対象が物理的なロケーションとして限定されていること、また、調査期間がわずか7日間であること、さらに都市名とのマッチングに使うデータベースの信頼性に疑問があることなど、そのまま受け入れるわけにはいかないものではありますが、それでも都市別の結果と国別の結果に直接の関係がほとんど見られないというのは（当たり前とはいえ）興味深いものがあります。

　今後の研究に期待したいです。

　ちなみに今後は、より正確な人口データを利用し、1年くらいの観測期間で時系列変化を追い、その変化にある種のパターンがないかを調べるそうです。

■URL
　Slashdot（2011年7月10日付エントリー）
　Zeroing In On the Internet's 'Evil Cities'
　http://it.slashdot.org/story/11/07/10/2219247/Zeroing-In-On-the-Internets-Evil-Cities

●標的型攻撃の4割が中小企業を対象に

　Symantecが標的型攻撃の攻撃先に関する分析結果を公表しました。

　これは、Symantec独自開発の学習型人工知能Skepticを用いたクラウド型アンチウイルスサービス「Symantec. Cloud（シマンテックドットクラウド）」によって検知された結果を分析したもので、攻撃全体では、1日当たりの検知数は標的型攻撃が約85件、非標的型が約50万件だそうです。

　今回の調査データは2010年初め以降の1年以上に渡るもので、標的型攻撃を受けた企業を従業員数で分類した結果は以下のようになっています。

　・攻撃対象企業の従業員数と全標的型攻撃に占める割合
　　500人以下　 　　40.0％
　　501～1000人 　　 8.0％
　　1001～5000人　　24.0％
　　5001人以上　　　28.0％

攻撃対象企業の従業員数と全標的型攻撃に占める割合（Symantec Connect Communityのブログ記事より）

　また、標的型攻撃を1回以上受けたことのある企業のうち50.5％が従業員数500人以下であることも分かりました。

　さらに標的型攻撃のメールを送りつけられた従業員数を見ると、全体の平均は7.8人ですが、1000人以上の企業では11.8人、500人以下の企業では5.187人となっています。

　一方、500人以下の企業で標的型攻撃のメールを送りつけられたことのある企業の従業員数の平均は178.9人であるのに対し、1000人以上の企業で標的型攻撃のメールを送りつけられたことのある企業の従業員数の平均は27738.4人であることから、標的型攻撃メールを受信した割合は、大雑把に計算すると、以下のように70倍以上の差が出ています。

　・ 500人以下の企業　　5.187／178.9　＝ 2.90％
　・1000人以上の企業　　11.8／27738.4 ＝ 0.04％

　つまり、小規模の会社の方が標的型攻撃メールを送りつけられる確率がはるかに大きいのです。直感的にも明らかなことではありますが、具体的な数字で見せられると、この差はインパクトがあります。ちなみに、ある企業では従業員488人全員に標的型攻撃メールが送られて来たことがあるそうです。

　中小企業の中では鉱業、燃料工業、非営利団体、エンジニアリング産業、マーケティング業界などが狙われる傾向があるようです。また、教育研究機関も知的財産を盗み出す目的で狙われる傾向があるそうです。

　さらに調べると、中小企業であっても、革新的な技術や独自の知的財産を有しているような企業は狙われやすく、また、大企業などとも取引がある企業に対しては、そこを「踏み台」として別の企業の情報をも盗み取る意図があると考えられます。

　いずれも直感的にも分かる結果でしかなく、意外性はさほどありませんが、具体的に示してくれたことは大きいでしょう。

■URL
　Symantec Connect Community（2011年7月20日付ブログ記事）
　Targeted Attacks and SMBs
　http://www.symantec.com/connect/blogs/targeted-attacks-and-smbs

■URL
　Symantec Connect Community（2011年7月20日付ブログ記事）
　40% of Targeted Attacks Aimed at SMBs
　http://www.symantec.com/connect/blogs/40-targeted-attacks-aimed-smbs