 |
 |
記事検索 |
|
|||||||||||||
|
|||||||||||||
|
|||||||||||||
|
|||||||||||||
|
|||||||||||||
| 海の向こうの“セキュリティ” | |||||||||||||
 |
|||||||||||||
|
第24回:セキュリティ業界のイグノーベル賞? ラズベリー賞? ほか
|
|||||||||||||
|
|||||||||||||
|
|||||||||||||
|
|||||||||||||
|
|||||||||||||
|
|||||||||||||
|
|||||||||||||
|
■セキュリティ業界のイグノーベル賞? ラズベリー賞?
有名な賞のパロディとして、ノーベル賞に対する「イグノーベル賞」、アカデミー賞に対する「ラズベリー賞」というものがありますが、セキュリティ業界にも同じようなジョーク的な賞があります。それが今回紹介する「ポニー賞(Pwnie Awards)」です。 アカデミー賞のオスカー像に対して、ポニー賞で贈られるのは金のポニーにピンクの髪が生えている像。見るからに「欲しくない」と思わせる代物ですが、その表彰式が、8月にラスベガスで開催されたセキュリティカンファレンス「Black Hat USA」の場で行なわれました。 ポニー賞は、セキュリティの研究者やコミュニティの業績、「失敗」を表彰するもので、「funny」という点が重要視されているようです。今回は2007年6月1日から2008年5月31日までに発見されたバグを対象として、9つの部門に分かれています。 1)Pwnie for Best Server-Side Bug 2) Pwnie for Best Client-Side Bug 3)Pwnie for Mass 0wnage 4)Pwnie for Most Innovative Research 5)Pwnie for Lamest Vendor Response 6)Pwnie for Most Overhyped Bug 7)Pwnie for Best Song 8)Pwnie for Most Epic FAIL 9)Pwnie for Lifetime Achievement この中で特にジョーク的意味合いが強いと思われる「Pwnie for Most Epic FAIL」には、DebianのOpenSSLパッケージに重大なバグが仕込まれていた件が受賞しています。 また、非常に「不名誉な賞」である「Pwnie for Lamest Vendor Response」には、McAfeeのScanAlertサービスで安全であるとされた60以上のサイトにクロスサイトスクリプティングの脆弱性があり、しかもScanAlertのWebサイト自身も同じように脆弱だった件が受賞しました。 さらに興味深いのは「Pwnie for Most Overhyped Bug」。これには対象期間中、最も大きく報道されたDNSキャッシュポイズニングの件が受賞しました 表彰式の様子は、ポニー賞のサイトで公開されている動画で見ることができますが、ジョーク的な賞ということもあり、(当然のことながら)受賞者は受賞のスピーチで気の利いたジョークを飛ばさないといけないようです(笑)。 【お詫びと訂正 2008/09/05】 The Pwnie Awards http://pwnie-awards.org/ ■グルジア紛争開始後にDDoS攻撃、便乗のスパムメールも 北京オリンピックの陰で少々印象が薄くなってしまったかもしれませんが、国際的な「出来事」であるグルジアでの紛争に関連した話題を紹介します。 今回の紛争に際しては、多くのセキュリティ専門家が警戒した通り、まず紛争開始の数日後、グルジアの政府機関のサイトなどがロシアからDDoS(分散型サービス運用妨害)攻撃を受け、アクセス不能な状態になっていると、在英グルジア大使館が発表しました。しかもその攻撃がロシア軍によるものであると明言したために、世界中で大きく報道されました。 しかし、その攻撃の規模や被害がグルジア側の発表にあるほど甚大なものであったことが確認できなかったばかりか、ロシア政府の関与に明確な証拠がなく、さらに攻撃の内容とその有効性から考えて、ロシア政府が関与したとは考えにくい──つまり、単なる「反グルジア勢力」による示威行為に過ぎないのではないか、というのがセキュリティ専門家の大方の見方でした。 この件に関しては昨年、同じように国家レベルの大規模なサイバー攻撃を受けたとして大きな話題となったエストニアのCERT(Computer Emergency Response Team)から2名の専門家がグルジアに派遣されたとの報道もありました。 今回の紛争に関連して、大量のスパム配信によるボットネット構築も話題になりました。このスパムメールは英国BBCを騙り、「Mikheil Saakashvili gay scandal! New of this week」という件名で配信されました(Mikheil Saakashviliはグルジアの大統領)。そのメールには、架空の記事へのリンクに見せかけて、ボット感染を目的としたWebページに誘導するリンクがあり、そのリンクをクリックすることで感染してしまうようです。 このボットは新たなボットネットを構築することを目的に感染を広げていると見られ、そのボットネットの使い道については、グルジアの政府機関などへのサイバー攻撃に使われるのではないかと言われています。 次に話題になったのは典型的な「便乗」犯罪で、グルジアの紛争に関する情報を装ったメールに、パスワード保護された圧縮ファイルの形でウイルスが添付されているというものです。パスワード保護された圧縮ファイルを使って、ウイルス検知ソフトによる検知を回避する手法自体は昔からありますが、今回はそれにグルジアの紛争を絡めたわけです。 問題のメールは、「Journalists shot in Georgia」という件名で、メール本文に圧縮ファイルのパスワードが「123」であると書かれ、Georgia.zipという圧縮ファイルが添付されてばらまかれました。 このGeorgia.zipを開こうとするとパスワードを聞かれ、そこで「123」と指定すると、joined.exeという実行形式のファイルが生成されます。次にこのファイルを実行すると、攻撃者のWebサイトから偽ウイルス検知ソフトをダウンロードして実行します。すると偽のウイルス警告メッセージが表示され、ウイルスを駆除するために有料版を購入するように促して販売用のサイトに誘導し、そこでクレジットカードの番号などを入力させます。 この件に関して言えば、実行形式のファイルを実行しなければ何ら問題はありません。また、すでに多くのウイルス検知ソフトが、その実行形式のファイル自体をウイルスであると検出できるので、少なくとも実行前にファイルを検査すれば問題はなく、この便乗犯罪自体は大して深刻なものではありません。 しかし、紛争が完全に解決しない限り、今後もより悪質かつ巧妙な手法による犯罪が「便乗して」行われないとも限りません。引き続き、警戒は必要でしょう。 ■URLCNET News.com(2008年8月11日付記事) 「Georgia accuses Russia of coordinated cyberattack」 http://news.cnet.com/8301-1009_3-10014150-83.html?hhTest=1 eWEEK.com(2008年8月11日付記事) 「Is There Also A Russian Cyber War Against Georgia」 http://www.eweek.com/c/a/Security/Is-There-Also-An-EWar-Against-Georgia/ Computerworlduk(2008年8月12日付記事) 「Georgia calls in Estonia and Poland to fight cyber attacks」 http://www.computerworlduk.com/management/security/cybercrime/news/index.cfm?RSS&newsid=10484 Network World(2008年8月15日付記事) 「Anti-Georgia spammers building new botnet」 http://www.networkworld.com/news/2008/081508-anti-georgia-spammers-building-new.html Trend Micro TrendLabs Malware Blog(2008年8月21日付記事) 「Malicious Russian-Georgian Spam Uses .ZIP Password」 http://blog.trendmicro.com/malicious-russian-georgian-spam-uses-zip-password/ ■関連記事 ・ 海の向こうの“セキュリティ” 第9回(2007/06/12) ■北京オリンピックに便乗、偽チケットサイトやスパムメール 北京オリンピックの開催にあたっては、民族紛争などもあり、何らかの大規模な「サイバーテロ」の可能性が示唆されていましたが、幸いなことに特に致命的かつ甚大な被害を生むような事態は発生しませんでした。とはいうものの、やはり当然のことながら「便乗」したインシデントもいくつか発生しており、実際に被害を受けた方もいるようです。 まず話題になったのは、オリンピックの偽チケットを販売するサイトです。偽チケット詐欺については昨年から一般のニュースなどでも報道されていましたが、今回はオリンピック開始直前になって、「beijingticketing.com」や「beijingticketing2008.com」など、いかにも本物のようなドメイン名を使っていたサイトが登場し、日本でも被害に遭った方がいたようです。 しかし、このサイトについては、よく読めば「怪しい」ことがすぐにわかります。例えば、コンタクト情報として掲載された電話番号は英国、オフィスの住所はアリゾナであるにもかかわらず、事務所の場所はロンドン、ニューヨーク、シドニーの3カ所であると書かれているのです。この一貫性のなさは「怪しい」以外の何ものでもありません。 他にもSymantecの調査によると、嘘のカード情報を入力してもエラーにならず、購入手続きが「無事に」完了してしまったそうです。つまり、このサイトはカード情報のチェックをせずに、単にカード情報をはじめとする個人情報の収集を目的としていたわけです。 なお、偽サイトに対しては、国際オリンピック委員会(IOC)などが閉鎖請求の訴訟を起こし、いくつかはオリンピック開催前に閉鎖されたようです。 オリンピックが始まると、今度はオリンピックに関連したスパムメールが出回りました。このスパムメールは、オリンピックに関連した動画を装うなどして、ユーザーにリンクをクリックさせます。そのリンク先は、get_flash_update.exeやget_flash_codec.exe、またはinstall.exeのような実行ファイルになっており、これらのファイルを実行することで偽のウイルス検知ソフトがインストールされてしまうのです。あとはグルジア紛争関係で紹介した偽ウイルス検知ソフトと同じです。 この場合も、実行ファイル自体が正規のウイルス検知ソフトで検出可能であり、実行さえしなければ何も問題がないことから、深刻な事態には至りませんでしたが、今回の件は、相変わらず、何らかの国際的な「イベント」に際しては、この手の悪質な行為が必ず発生するという「いい事例」と呼べるかもしれません。 ■URLSymantec Security Response Blogs(2008年8月4日付記事) 「Buyer Beware - Scam Olympic Ticketing Sites About」 https://forums.symantec.com/syment/blog/article?blog.id=online_fraud&thread.id=93 Symantec Security Response Blogs(2008年8月15日付記事) 「Large-Scale Spam Campaign Continues」 https://forums.symantec.com/syment/blog/article?blog.id=malicious_code&thread.id=211 (2008/09/02)
- ページの先頭へ-
|
