イベントレポート

IIJ Technical DAY 2018

知らぬ間に仮想通貨マイニング、「GhostMiner攻撃」が狙う先は? そしてDDoSはワイドショー型攻撃へ!?

――2018年のサイバーセキュリティ事案、IIJが振り返る

「IIJ Technical DAY 2018」会場の様子(11月22日、IIJグループ本社で開催)

 株式会社インターネットイニシアティブ(IIJ)は11月22日、年次技術イベント「IIJ Technical DAY 2018」を開催した。インターネット関連の技術について、同社のスタッフが解説するイベントだ。

 IIJではこれまで15年間、「IIJ Technical WEEK」という名前で年次技術イベントを開催してきた。今年は形態を少し変え、「IIJ Technical Seminar(ITS)」という枠で1年に何回かのイベントを開催。その集大成といえるイベントとして「IIJ Technical DAY」を位置付けた。

 同イベントの中から、3つの講演の模様をレポートする。

 開会のあいさつには、このイベントでは久しぶりに代表取締役会長の鈴木幸一氏が登場。「新しい取り組みについて、早い段階でオープンにして、議論し、ご意見を伺いながら、開発に取り組んでいきたい。これを機会に、いろいろなご意見やヒントを与えていただき、より熟成を早めてサービスを提供したいと考えている」と語った。

株式会社インターネットイニシアティブ代表取締役会長の鈴木幸一氏

Office 365アカウントが狙われている

 最初の講演は「セキュリティ動向2018」。IIJセキュリティ本部長の齋藤衛氏が、1年のセキュリティ動向についてまとめる、毎年恒例のセッションだ。

 今年のトピックとしては、「クラウド利用に関連する攻撃」「仮想通貨」「IoT」「DDoS攻撃」の4分野が取り上げられた。

株式会社インターネットイニシアティブ齋藤衛氏(セキュリティ本部長)

 1つめの「クラウド利用に関連する攻撃」では、Microsoft Office 365において認証情報が盗まれて悪用される事案が頻発していることが紹介された。例えば、複数の大学において、フィッシングメールにより偽サイトにIDとパスワードを入力してしまう事例が起きている。これについては、日本マイクロソフトや文部科学省などから注意喚起がなされている。

大学でOffice 365アカウントが盗まれた事案

 大学以外でも、同様のフィッシングメールによる標的型攻撃の事案が、情報処理推進機構(IPA)のサイバー情報共有イニシアティブ(J-CSIP)から報告されている。中には、添付されたPDFなどのアイコンをクリックするとフィッシングサイトに誘導されるという、不自然な挙動でも入力してしまった事例もあったという。

企業のOffice 365アカウントを狙う標的型攻撃

 この分野の対策として齋藤氏は、多要素認証や多段階認証とともに、ユーザー教育を挙げ、「当初から『クラウドサービスを使うときには気を付けよう』と言われていた点が守られていない」とコメントした。

知らないうちに、ブラウザーもサーバーも仮想通貨マイニングさせられる

 2つめの分野は「仮想通貨」だ。齋藤氏は、CoinCheckやZaifの仮想通貨盗難事件についても触れつつ、「皆さんに関係するのはマイニング(採掘)」だとして、ユーザーのコンピューターが勝手に仮想通貨マイニングに使われる事案を取り上げた。

 具体的には、ウェブサイトに設置し、アクセスしてきたブラウザーにマイニングさせる「Coinhive」だ。「もともとの使い方としては、広告収入のようにサイトオーナーにお金が入る仕組みで、これについては是非の議論がある。しかし、同じ仕組みを使って、脆弱性のあるサイトを改竄して勝手に設置する例が見受けられる」と齋藤氏。

 IIJのウェブクローラーの観測によると、2017年9月にサービスを開始したCoinhiveは当初から大きな広がりを見せているという。「2018年最大のピークは6月で、インシデントの6分の1がマイニングスクリプトだった」と齋藤氏は語った。

サイトを改竄して「Coinhive」を設置する事案の伸び

 さらに、ウェブサーバーを攻撃してマイニングさせる攻撃も登場。PHP、WebLogic、CMSなどの脆弱性を突いてマイニングを動作させる事案が観測されているという。特に、IIJが独自に「GhostMiner攻撃キャンペーン」と名付けた大きな攻撃が、3月に観測されたことを齋藤氏は報告した。

 この分野の対策として齋藤氏は、ブラウザー側でのマイニングについては「正当に設置されたものは是非の議論があるが、不正に設置されたものは悪」とし、サーバー運用者は「脆弱性対策を」と呼び掛けた。

サーバーにマイニングさせる事案

家庭のルーターが攻撃され、偽のスマホアプリがインストールされる

 3つめの「IoT」は、前年も大きく取り上げられた分野だ。

 4月には、全国の河川などに設置された60台ほどの監視カメラが不正に操作され、コメントなどを改竄される事案があった。関係あるかどうかは不明だが、同時期にキヤノンから対策についての呼び掛けもなされた。「IDとパスワードをきちんと設定しないと、このような被害に遭う」と齋藤氏。

全国の河川などに設置された監視カメラが操作された事案

 また、ホームルーターのDNS設定を書き換えられる事案も起きている。これにより、例えばスマホアプリのアップデートの際に偽サイトに誘導され、偽のアップデートパッケージをインストールさせられるという。これについては、複数ベンダーのルーター製品でデフォルトのIDとパスワードが悪用された。

ホームルーターのDNS設定を書き換えられる事案

 そのほか、無差別に狙ったIoTボットとしては、「Mirai」の亜種があいかわらず活動していることも齋藤氏は報告した。

Miraiボットの亜種があいかわらず活動している

 この分野の対策として齋藤氏は、「有効な対策方法はまだない」としながら、「イメージ的には、自動アップデートのようなものを機器にどう組込むかだろうと思っている」とコメントした。

Memcachedによる増幅率5万倍のDDoS攻撃が登場する一方で、増幅しないリフレクション攻撃も

 4つめの分野は「DDoS攻撃」。毎日、何十件が発生しているという。

 2018年の傾向としては、まず“オレオレ自警団”。Anonymousの「キリングベイ作戦」や“ダークネス玉葱君”などが当てはまるが、キリングベイ作戦は今年は見られないという。その一方で最近では、例えば悪質タックル事件などワイドショーで話題になった悪者に対する攻撃が多く、おそらく攻撃の行為者と被害者の直接の利害関係はないだろうと齋藤氏。そのほか、ネットゲームで敵をDDoS攻撃するケースや、ゲームのためにファイアウォールを開けるよう指定されるポートへの攻撃が見られるという。

 一方、新しいDDoSとしては、Memcachedによるリフレクション攻撃がある。リフレクション攻撃は、DNSやNTPなど問い合わせに対する返答のサイズが大きいプロトコルが悪用されるが、Memcachedでは数万倍(US-CERT報告では約5万倍)という高い増幅率となる。3月にはこの手法により、GitHubが1Tbpsの攻撃を受けた。ただし、個人や小規模で設置するものではないので、多くのISPでは問題とならず、一部クラウド事業者がポートを閉じたぐらいだという。

Memcachedによるリフレクション攻撃

 9月には、特定のIPアドレスからSYN/ACK攻撃を受けているという声がTwitterで複数見られた。このIPアドレスはかたられたものだった。増幅がないリフレクション攻撃なので気付きにくく、対策がないという。「TCPの根幹の部分でやられた」と齋藤氏はコメントした。

SYN/ACK攻撃

IoT機器乗っ取りへの対策に、NICTによるスキャンを許す時限措置も

 Miraiを含むIoTボットによるDDoSもある。2012年のロジテック製ルーターの事例では、一夜にして攻撃がなされたのに対して、対策に数年かかったという。「東京オリンピックまでに何かしなくては、というのが課題になっている」と齋藤氏。

 2017年11月には、Mirai亜種の感染が観測されていることがICS-ISAC DoS即応WGにおいて報告され、12月に答え合わせ会が行なわれて、12月19日に注意喚起がなされた。「注意喚起までに1カ月かかった。幸い、その間に国内の被害はなかったが、たまたま運がよかった」と齋藤氏はコメントした。

2017年11月の「Mirai」亜種感染

 このように乗っ取られたIoT機器によるDDoS攻撃への対策については、電気通信事業法の一部改正により通信事業者が情報共有をする整備と、国立研究開発法人情報通信研究機構(NICT)法の一部改正によりIoT機器へのスキャンやログイン試行を許す時限措置が紹介された。

対策1:電気通信事業法の一部改正により通信事業者が情報共有をする整備
対策2:NICT法の一部改正によりIoT機器へのスキャンやログイン試行を許す時限措置

(協力:株式会社インターネットイニシアティブ)