2013年は、個人のパスワードを狙った攻撃やソフトの脆弱性を執拗に突く攻撃などが相次ぎ、セキュリティにかかわる新たな課題が浮上した年だった。
発生した事件を順番に振り返り分析すると、これらの中からサービスやソフトウエア提供者に見過ごせない大きな転換点が浮かび上がってきた。
2013年は、元日早々のセキュリティにかかわる2つのニュースで幕を開けた。
2012年に発生した農林水産省でのウイルス感染事件により機密情報が外部に漏えいしていた可能性があったとの報道と、
遠隔操作ウイルス事件の犯人が差出人と推測しうるメールが報道機関に送付されたことだ。
2月には、オマーンの銀行の偽造カードを使い、約10時間のうちに世界24カ国のATMから計3万6000回の引き落としをして、
約4000万ドル(約40億円)もの大金を盗み出すという事件が発生した。
そのうち約1000万ドルは日本で引き出された。
9人組とみられる犯人たちは東京都内220カ所のATMで7時間40分うちに、約10億円を引き出したという。
犯人はオマーンの銀行のシステムに侵入し、上限金額を撤廃した口座の偽装カードにより犯行に及んだとされる。
これはまさしく実社会とサイバー社会を股に掛ける「スマート強盗」である。
犯罪者が本気でこうした犯行に及んだという事象は、“サイバー空間が社会化した”ことの証左と捉えられるだろう。
3月20日には韓国で、銀行や放送局のオフィスのパソコン合わせて数万台が一斉に動作しなくなる事件が起きた。
銀行で不正な決済が実行されたり、放送局で番組が入れ替えられたりするといった、あってはならない事象には発展しなかったものの大きな混乱を呼んだ。
原因はウイルス対策ソフトの管理サーバーに侵入され、自動更新システムが悪用されていたことだった。
結果的にウイルス対策管理サーバーが「ウイルス」の配布役を演じたという、笑うに笑えない前代未聞の事件だった。
また同じころ、日本国内でWebサイトが改ざんされるという事件が続発した。
閲覧者のパソコンにウイルスを感染させるための改ざんだったが、その実態はまだよく分かっていない。
さらにその前後から、ほかのサイトなどから漏れたと推測されるアカウント情報(IDとパスワード)により次々とログインを試す「リスト型攻撃」が数多く発生した。
NTTレゾナントが運営する「goo」などの有力サイトや「三越オンラインショッピング」などのコマースサイトで被害が相次いだ。
背景には、ユーザーが1種類のパスワードを複数のサイトで使い回していたことがあると見られる。
これは本来はユーザー責任ではあるが、被害に遭った多くのサイトで「再発防止」のためこの事実を発表する事態となった。
ただしセキュリティ意識が薄い日本のユーザーに対して、単純なセキュリティ強化策を打ち複雑な操作を強いると、客離れを引き起こしかねないという懸念がある。
利便性を損なわずにセキュリティを強化する必要があるため、ここは簡単にはいかない。
パスワードといえば、米国のツイッターやエバーノート、日本ではヤフーでアカウント情報が漏えいしたとの報道もあった。
同じパスワードに関連しているが、上記のユーザーによるパスワードの使い回しとは異なり、こちらは高度な手口によりサイトへの侵入によるとの発表があった。
恐らくは昨今話題になっている「標的型攻撃」(高度なサイバースパイ活動)と推測される。
恐らく犯人は何らかの方法でこれらサービス事業者の内部ネットワークに侵入し、遠隔操作により内部を徹底的に調べ上げて、情報を抜き出したのではないだろうか。
侵入には、内部の関係者が関与している可能性も否定できない。
いずれにせよ、組織による攻撃である可能性は高いと推測する。
5月になると、DNS増幅攻撃によるDDoS攻撃が話題になった。
DNS増幅攻撃とは、不適切な設定の状態にある“野良DNSサーバー”が、増幅反射装置として使われるもの。
送信元を攻撃対象のIPアドレスに書き換えてから“野良DNSサーバー”に問い合わせると、大量の回答データが送信元に返答されるため、効率良くDDoS攻撃を実行できるのだ。
日本でも悪用可能な大量の“野良DNSサーバー”の存在が確認されたことで、大きな問題となった。
こういったそれぞれの事件と、その事件を受けた社会の動きから、いくつかの課題が浮上してきた。
| 1. |
パスワード使い回しはユーザー責任とはいえなくなってしまった。 少なくとも換金などが可能なポイントを管理している、あるいはクレジットカード情報を保持しているなどユーザーの財産にかかわるサイトでは、 リスト型攻撃の発生を認識し、突破されてしまった利用者を保護しなければならない「空気」が醸成された。 |
| 2. |
防衛産業や政府機関だけではなく、数多くの利用者を抱える著名サイトも高度なサイバースパイの対象となることが再認識された。 数多くの利用者を抱えているサイトは、社会的責任も大きくなる。 アカウント情報が盗み出されるだけではなく、閲覧する利用者も多いので、サイトが改ざんされた場合の影響も計り知れない。 |
| 3. | 世界を股に掛け跳梁跋扈(ちょうりょうばっこ)する犯罪者の活動が顕著になった。 これは、世界で一番弱いところが標的になることを意味する。 さらに日本語の壁も昔ほど効果がなくなり、これまで保護されてきたユーザーがいる日本という国が、様々なタイプの犯罪者に美味しい市場であることが知れわたってしまった。 |
| 4. | それほど高い技術がなくてもサイトを持つことが可能となり、結果的に様々な“野良DNS”や“野良サーバー”が増加し、
攻撃側は高度な手口によらなくても効率の良い(サイト改ざんや反射増幅などの)攻撃が可能となった。 対象としては利用者の多いWordpressなどのCMS(Content Management System)やStruts2やColdFusionなどのアプリケーションサーバーの脆弱性が狙われた傾向がある。 これらは「運用が楽」にできることから、運用技術があまり高くないサイト所有者が利用することが多い。 結果的に脆弱性が放置されたり不適切な設定やパスワード管理の甘さがあり、標的になっていると推測される。 つまり、弱者が狙われている。 |
| 5. |
狙われるのはサイトだけでなくパソコンもである。 改ざんされたサイトを閲覧したパソコンは、気づかぬうちに侵入されて、登録しているアカウント情報が持ち出されるという連鎖的な攻撃を受け、 遠隔操作されてさらに深刻な事態が拡散していく。 |
パソコンへの侵入では、まずは操作している人そのものが狙われる。
つまり、だまされるのだ。
多くの事件で、添付されている実行形式のウイルスを直接実行してしまっているケースが多い。
ユーザー自身が脆弱性になっているケースである。
次に、パソコン内の様々なソフトの脆弱性を攻撃するものがある。
ユーザーが細工されたドキュメントタイプの添付書類を閲覧する、あるいはサイトに置かれている添付書類を閲覧することで攻撃を受け、ウイルスの侵入を許してしまうのだ。
さて、ユーザーの脆弱性は別途なくしていかなければならないが、ソフトの脆弱性については2013年にも数多くが明るみに出た。
その傾向はどうだったのかを明らかにするため、標的になっているとされる代表的なソフトを調べてみた。
マイクロソフト関連では、インターネットエクスプローラ(IE)が108個、オフィス(Word、Excel、Accessなど)で27個ほどが発表されている。
また、アドビシステムズ関連ではPDF閲覧ソフトのAdobe Readerで64個、アニメプレイヤーのFlash Playerで27個ほどだった。
オラクルのJavaは95個と多い。
日本の政府関連機関や大企業でよく使われているジャストシステムの一太郎では3個ほどあったようだ。
(各数値は2013年12月5日現在。ラック社調べ)
やはり、一番よく利用されているインターネット閲覧ソフトであるIEが最も多いが、Javaも非常に高い数値を示した。
次に、実際にその脆弱性が悪用された実績をとらえてみる。
(数値は報道などから行使されたことが確認された件数。ラック社調べ)
その結果は脆弱性件数とは異なり、以下のとおりなった。
| 1. Java | 8件 |
| 2. IE | 4件 |
| 3. Acrobat Reader | 3件 |
| 4. Flash Player | 3件 |
| 5. 一太郎 | 3件 |
| 6. Office | 3件 |
脆弱性の発見件数と悪用された実績の割合からうかがい知れたのは、マイクロソフトはIEについては悪用とは関係なく脆弱性を数多く発見し、
素早く対応をとっていると推測できることだった。
一方でOfficeについては、脆弱性の発見が後手に回っているようにみえる。
アドビシステムズのAcrobat ReaderとFlash Playerは悪用された実績は同じだが、脆弱性の発見件数で換算すると差異が見える。
ジャストシステムの一太郎は報告された脆弱性は少ないが確実に攻撃に使用されていることを考えると、自ら脆弱性を発見できる十分に体制が整っていないように見えてしまう。
スマートフォンが一般化し数多くのアプリが開発されている現在、開発者は自らのソフトの脆弱性に関して繊細になり、悪用を許さない姿勢が求められる。
Webサイト所有者もサイトを管理して改ざんなどにより悪用されない姿勢が重要である。
つまりサービスやソフトの提供者が自分のユーザーを保護するという姿勢が求められている時代になったということだろう。
総括すると、2013年はサービスやソフトの提供者が、自分のユーザーを守ることを求められる時代への転換点だったといえる。
西本 逸郎 (にしもと いつろう)
ラック 取締役 CTO
北九州市出身、日本最大級のセキュリティセンターJSOCの構築と立ち上げを行う
情報セキュリティ対策をテーマに講演、新聞・雑誌などへの寄稿など多数
代表的な社外活動は、日本スマートフォンセキュリティ協会 事務局長、セキュリティキャンプ実行委員 事務局長
著書「国・企業・メディアが決して語らないサイバー戦争の真実」(中経出版)
2009年度情報化月間 総務省 国際戦略局長表彰、2013年情報セキュリティ文化賞受賞
Copyright © 1995-2013 Nikkei Business Publications, Inc.