イベントレポート

IIJ Technical DAY 2019

「患者のデータが人質に…」病院がランサムウェアに狙われている…「今年のセキュリティ課題」をIIJが総括

~DDoS恐喝や「SNSの表示順操作」による世論誘導も…~

 株式会社インターネットイニシアティブ(IIJ)は11月21日、年次技術イベント「IIJ Technical DAY 2019」を開催した。インターネット関連の技術について、同社のスタッフが解説するイベントだ。

 本稿では、セキュリティ本部長の齋藤衛氏が1年間のセキュリティ動向をまとめる恒例のセッション「セキュリティ動向2019」についてレポートする。

 今回は、この1年のまとめとして、標的型攻撃、標的型ランサムウェア、DDoS攻撃が取り上げられた。さらに、狭義のサーバーセキュリティを超えてフェイクニュース(情報操作)もテーマとなったのが特徴だった。

IIJセキュリティ本部長齋藤衛氏

標的型攻撃で危ないのは「自社」だけじゃない!取引先やその取引先の中から「セキュリティの弱そうなところ」が狙われる……

 1つめのテーマは、これまで長く続いている標的型攻撃だ。

 標的型攻撃は、2003~2008年には国家間の諜報戦で使われ、その後大企業へ広がり、さらに2011年以降は中小企業も対象になったという。

 齋藤氏が標的型攻撃で狙われる「危ないところ」と指摘するのは、“つながっている”ところだ。中小企業で自社に狙われる要素がなくても、取引先やその取引先などが政府につながっているということで狙われたりするという。「そうした中から、セキュリティの弱そうなところが狙われる」と齋藤氏。

“つながっている”中から弱そうなところが狙われる

 最近の事案としては、暗号資産関連を狙う標的型攻撃がある。

 CoinCheck事件が昨年あり、同じタイミングで、暗号資産を目的とした攻撃者グループについてセキュリティベンダーからレポートが出されている。さらに今年の6月、Firefoxのゼロデイ脆弱性を突いて暗号資産取引所の関係者を攻撃する活動があったが、「いずれも同じグループではないか」と齋藤氏はコメントした。

暗号資産関連を狙う標的型攻撃

ランサムウェアも「標的型」に狙われているのは「病院」や「公共サービス」、請求額も高額に……

 次のテーマはランサムウェアだ。話題に上ることが減ってきているように感じるが、実は大きくなっているという。

 中でも、病院や公共サービスなど、より「身代金を払いそうな人」に絞った、いわば標的型ランサムウェアが増えていると齋藤氏は説明した。これらは、1件で何千万円クラスの請求をされることもあり、相手を絞った分、高額になっている。

ランサムウェアは標的型に

 事例としては、米国の市や郡、病院などがある。齋藤氏は詳細や説明を省略した中で、ボルチモアの事例では支払いを拒んで長期化したことが注目されたと語った。また、ランサムウェア「SamSam」を使っていたイラン人2人が指名手配となったことも紹介した。

標的型ランサムウェアの事例

大型化するDDoS攻撃、「1TbpsのDDoSするぞ」と恐喝する攻撃も

 次のテーマはDDoS攻撃だ。

 規模は年々大きくなり、2019年には数百Gbpsという攻撃もあり、IIJのDDoSプロテクションサービスでも約39Gbpsが観測されているという。

最近のDDoS攻撃の状況

 傾向の一つとして、SYN/ACK攻撃が今年何度かバーストしたことが取り上げられた。

 この攻撃は、SYN/ACKのやり取りを悪用して攻撃に使うものだが、デバイスにTCPの口がある(TCPに反応する)だけで、脆弱性などがなくても、攻撃時の踏み台として利用されてしまう。攻撃そのものは従来からあったが、「(以前からSYN/ACK攻撃の踏み台として使われてしまっている)サーバーは台数が少なかったが、現在は、多くのIoT機器がTCPの口をあけている、というのが背景にある。NOTICEの定期レポートの2回目では、TCPの口をあけている機器は数十万台後半あった」と齋藤氏は語った。

SYN/ACK攻撃が今年何度かバースト

 もう1つのパターンに、恐喝DDoS攻撃がある。

 一度DDoS攻撃をかけて、もっとひどい攻撃を受けたくなければ、と恐喝する手口だ。4年前にDDoSビットコイン関係に攻撃があり、最近模倣犯が登場しているという。たとえば「20~30Gbpsの攻撃後に、“1Tbpsの攻撃能力を有する”という脅しが来る」という。ただし、「知っている事例のかぎりでは、その後の“ひどい攻撃”は起こらない」と齋藤氏。「とはいえ、20~30Gbpsが1時間という攻撃であっても、金融などには大きな脅威になる」として、最初の攻撃に備えることを勧めた。

恐喝DDoS攻撃

フェイクニュースの問題は「嘘ニュース」だけじゃない「順序を変える」「表示量を操作する」だけで人は操作されてしまう

 最後にフェイクニュースの問題が語られた。

 「フェイクニュース」というと「偽情報」という印象を持たれがちだが、実際に重要なのは偽情報だけでなく、情報操作そのものという。これは、もともと情報戦の領域の話だと齋藤氏は言う。

 その1つめの例が、元の情報に手を加えなくても、ポジティブな情報とネガティブな情報の量や順序を操作するだけで、読んだ人の発言に変化があるというFacebookの2014年の実験だ。これは、投票行動への影響があったと言われている。

Facebookの2014年の実験

 2つめがマイクロターゲティング広告だ。従来は年齢や性別程度の分類で広告を出していたのが、行動パターンを見て広告を出すようになった最近のシステムを指す。

 トランプ大統領戦におけるケンブリッジ・アナリティカ問題(ロシアゲート事件)も、このマイクロターゲティング広告による情報操作があったのではないかという疑惑だ。ブレグジット問題においても、ケンブリッジ・アナリティカ社とアグリゲートIQによる関与が指摘されているという。

 これらの問題に対し、SNSプラットフォームでは、偽情報配信を理由としたアカウント削除・凍結などの対策を模索している。ただし短期的な解決は難しく、「みんなでよく気をつけようということになっていて、それはつまり決定的な対策がないということでもある」と齋藤氏はコメントした。

マイクロターゲティング広告
ケンブリッジ・アナリティカ問題

 最後に各個人としてどう対応するか。

 齋藤氏は、「報道の偏向」「偽情報にあふれたインターネット」「個人による偽情報の拡散」「インフルエンサーによる広告(ステマ)」「検索結果の偏向(SEOポイズニング)」と全方向の問題を指摘。さらに前述の、「本物の情報の提示順をいじられるインターネット」と「マイクロターゲット広告で個人を狙った情報が提示されるインターネット」の2つを挙げた。そして「何かの判断は原典にあたってから実施しよう」と締めくくった。

個人としての対応

(協力:株式会社インターネットイニシアティブ)