SQAT Security Topics

S.Q.A.T. Security Topics
April 2009
Vol.4
INDEX
・ サイバー犯罪による収益、年間 100 兆円の予想が的中?!
・ 引き続き増加の傾向にあるフィッシング攻撃、さらなる注意が必要
・ 緊急度「中」以下の脆弱性も適切な対処が必要 ~米 Symantec が注意喚起~
・ 日本のインターネット利用者のセキュリティ知識不足が浮き彫りに?!
・ データ侵害の 87%は適切な対策を講じていれば予防できたはず!
・ 年々増加する Web サイトの脆弱性報告、特に 2008 年以降は激増
・ 大規模な DNS 障害、原因は SQL インジェクション?!
サイバー犯罪による収益、年間 100 兆円の予想が的中?!
今月初め、AT&T の SCO(最高セキュリティ責任者)であるエドワード・アモロソ氏は、米上院商業
委員会において「サイバー犯罪による収益は薬物犯罪収益を超え、全世界で年間 100 兆円強に達する
だろう」と発言し、「サイバー攻撃の手法は益々巧妙化しており、攻撃手法の多様化、攻撃発生頻度
の増加、被害の長期化等が懸念される」と続けた。
当初は単なる警告として捉えられていたが、英国のセキュリティ企業 Finjan の調査によって、そ
れが現実に起こりうることが確証付けられた。同社が実施した 2009 年第一四半期におけるサイバー
犯罪に関する調査で、いわゆる「スケアウェア」または「ローグウェア」一つあたり、一日 1 万 800
ドル(日本円にして約 110 万円)、年間にすると 3942 万ドル(日本円で約 40 億円)もの金額を攻撃者た
ちは荒稼ぎしていることが明らかになった。同社の CTO(最高技術責任者)を務めるユバル・ベンイツ
ハク氏は、この調査結果を受け「インターネット上には何千というサイバー犯罪組織がはびこってい
る。単純に計算しただけでも優に 100 兆円を超えることが分かるだろう」と言う。
また、ベンイツハク氏は「インターネットユーザのセキュリティ意識向上に対抗すべく、攻撃者は
常に新しい攻撃手法を模索している。こうした背景からもアモロソ氏の推測が非現実的なものではな
いことが言える」と付け加えた。
さらに「世界的な不況が続く中、企業は内部の脅威にも直面している」と警告するベンイツハク氏。
「当社の調査で、職を失った IT 技術者がプロのハッカーから攻撃ツールを購入し、それを利用して
あぶく銭を稼ぐ傾向が見られた。特に不当に解雇された技術者にその傾向が強いようだ。現時点では
それほど深刻ではないものの、2009 年今四半期以降および 2010 年にそうした傾向が広がることが懸
念される」と警鐘を鳴らした。
別の調査で「不正に解雇された IT 技術者の 9 割は企業情報を持ち出す」という衝撃的な結果が出
ていることもあり、企業は内部外部を問わず強固なセキュリティを実施することが求められている。
Copyright©BroadBand Security, Inc.
2
引き続き増加の傾向にあるフィッシング攻撃、さらなる注意が必要
2009 年 3 月 30 日、フィッシング対策協議会より 2 月におけるフィッシング情報の届出状況をまと
めた月次報告書が公開された。同報告書によると、フィッシングメールの届出件数は前月より 1 件少
ない 31 件だが、先月に引き続き過去 1 年間の平均を大きく上回っている。フィッシングメールの報
告件数は 18 件で、こちらは過去 1 年間の平均の 2 倍以上となった。フィッシングサイトの件数は前
月を大幅に上回る 14 件で、ブランド名を悪用された企業の件数は前月の 2 倍に増加した。業種別に
見た場合、金融サイトを標的とした攻撃が最も多く、続いてオークションサイト、電子マネーサイト
となった。
一方メールの内容だが、前月に引き続き「Yahoo!」を騙るメールが複数確認された。「【重要なお
知らせです】」と題されたフィッシングメールは日本語で作成されており、埋め込まれたリンクをク
リックしてしまうと偽サイトへと誘導される。また、2 月は「citibank」や「Livly Island」を騙るフ
ィッシングメールが新たに確認されている。これらもリンクをクリックすると偽サイトへと誘導され
る仕組みだ。「Yahoo!」を騙る偽サイトは、ユーザに会員情報の更新を促し、個人情報を登録させよ
うとする。一方の「citibank」偽サイトは、新着メッセージがあるとしてユーザを誘き寄せ、個人情
報を入力させる手口を使用。
さらに、同報告書には「その他の動向として QR コードを悪用したフィッシング攻撃が確認された」
との報告があるが、この手法は、URL を意識せずにカメラで撮影するだけでアクセスできるという便
利な機能を逆手に取り、攻撃者が偽サイトや悪意のあるサイトに遷移するよう設定した QR コードを
元の QR コードの上に重ねて貼ることで個人情報を搾取したり、マルウェアに感染させたりしようと
するものだ。フィッシング対策協議会では、この攻撃に対する対策として、QR コードからアクセス
する際は URL もあわせて表示させ、QR コードが貼り付けてあるサイトやチラシ等に記載されている
情報と照合し、正規のサイトであることを確認することが重要だとしている。
しかし、QR コードを悪用したフィッシングについては、現時点では単なる可能性のみでしかない
と反論するセキュリティ専門家も多数存在する。
「攻撃が確認された」という同協議会の報告書だが、
実際の事例については、当社では確認することができなかった。とはいえ、攻撃の可能性がある以上、
ユーザは最低限の注意を払うに越したことはない。QR コードの読み取りが可能な携帯電話は日本製
のものにほぼ限定されることからも、標的型攻撃が増加している昨今、決して軽視できる問題ではな
いだろう。事例の多い少ないに係わらず、攻撃が理論上可能であり、ある程度の知識を有する攻撃者
であれば偽 QR コードの作成・悪用サイトの構築・マルウェアの作成等も容易に行えることからも、
適切な対応が必要である。
同協議会は、「昨今のフィッシングは、様々な手口を使い、ユーザのちょっとした油断を突いて個
人情報を搾取しようと狙っています」と、引き続きフィッシング攻撃に対する注意を払うことを呼び
かけている。
フィッシング対策協議会:http://www.antiphishing.jp/
Copyright©BroadBand Security, Inc.
3
緊急度「中」以下の脆弱性も適切な対処が必要 ~米 Symantec が注意喚起~
世界的セキュリティ企業の米 Symantec より、「インターネットセキュリティ脅威レポート」の最
新版が公開された。同レポートは、200 カ国以上に展開された 24 万台以上の攻撃監視用プログラム
と、同社および第三者のネットワークから収集した情報を元に、世界におけるインターネット脅威の
動向、既知の脆弱性、および悪意のあるプログラム等を分析してまとめた報告書である。悪意のある
プログラムについては、同社製品を展開しているクライアント、サーバ、およびゲートウェイシステ
ム(世界で 1 億 3,000 万台以上)から情報収集を行った。今回で 14 回目の発行となる同レポートには、
昨今話題になっているフィッシング攻撃の傾向や、アンダーグラウンド社会の動きに関する情報も含
まれている。
【インターネット攻撃の傾向】
Web をベースとした攻撃が現在の主流である。攻撃者は、悪意のあるコンテンツを埋め込むなどして
正規の Web サイトを改ざんし、そこを訪れるユーザを攻撃。ユーザの機密情報を搾取するために、
Web アプリケーションの脆弱性(例えば入力値の検証不備)やオペレーティングシステムの脆弱性を悪
用する攻撃が継続して増加の傾向にあるという。同社が 2008 年を通じて検出した脆弱性のうち 63%
は Web アプリケーションに関連するものだった。
【マルチステップ攻撃】
攻撃を確実に成功させるために、何段階もの複雑なステップを経て攻撃を実行する。危険度の高い脆
弱性を突くこともあるが、昨今は危険度が「中」レベルの脆弱性を組み合わせて攻撃に悪用すること
が一般的となっている。これは、2008 年に攻撃された脆弱性の 80%が「中」レベルの危険度の脆弱
性であったことからも分かる。
【不十分な脆弱性対策】
多くの企業やエンドユーザは、危険度の高い脆弱性については即時に対応する傾向にある。しかし、
「中」および「低」レベルの脆弱性については、対応が遅れる、もしくは全く対応されないことが多
い。そのため、これら脆弱性の存在するシステムは、それだけ長い期間攻撃の脅威に晒されることに
なる。
現に、同社が 2008 年に検出したクロスサイトスクリプティング脆弱性を持つ Web サイト 12,885
件のうち、適切な対応策が講じられたのは 394 件(全体の 3%)のみだった。
【攻撃者の目的】
攻撃の 9 割は、機密情報の取得を目的としていることが明らかになった。
アンダーグラウンド社会は、
世界的な経済不況の影響を受けることなく、機密情報の売買により繁栄し続けている。アンダーグラ
ウンド市場において最も人気の高い「商品」はクレジットカード情報で、次に銀行口座情報、電子メ
ールアカウントが挙げられている。
Copyright©BroadBand Security, Inc.
4
【ゼロデイ脆弱性を狙うマルウェア】
2008 年末までに、100 万台を超えるコンピュータが Conficker(別名:Downadup)に感染したことが
確認されている。特に、アジア太平洋およびラテンアメリカにおける感染が顕著であり、これは同地
域において海賊版のソフトウェア使用率が高いことが原因とされている(ベンダの提供する自動セキ
ュリティアップデート等が利用できないため)。
【ボットネット】
米国を拠点とした 2 つの大規模なホスティング事業者が閉鎖されたことにより、一時は活動が沈下し
たように見えたものの、攻撃者はすぐに別のホスティングサイトを開拓し、数ヶ月のうちには元の状
態に戻ってしまった。これに伴い、2007 年に確認されたスパムメールが年間約 1 億 1,960 万通だっ
たのに対し、2008 年はその数が年間約 3 億 4,960 万通に急増した。
【フィッシング攻撃】
フィッシング攻撃はますます増加の傾向にある。2008 年に同社が確認したフィッシングサイトは 5
万 5,389 件で、2007 年から 66%増加している。また、金融機関を騙るサイトが増加しており、フィ
ッシングサイト全体の 76%を占めているという。
同レポートにおいて特に興味深かったのは、マルウェアを利用した攻撃手法がスパムメールベース
から Web ベースに変化しつつあることだ。前述の【インターネット攻撃の傾向】および【不十分な
脆弱性対策】からも分かる通り、今後 Web をベースとしたマルウェア攻撃が益々増加することが懸
念される。こうした攻撃は、Web サイトを運用する企業だけでなく、そのサイトを閲覧するユーザに
も影響が及ぶ。企業においては信用問題にも発展する可能性がある。企業は、同レポートの分析結果
を受け止め、適切な対策を講じることが推奨される。
同レポートは、米 Symantec の Web サイトからダウンロードすることが可能。
Symantec Global Internet Security Threat Report
Trends for 2008 Volume XIV(英文 PDF 全 110 ページ):
http://www.symantec.com/index.jsp
Copyright©BroadBand Security, Inc.
5
日本のインターネット利用者のセキュリティ知識不足が浮き彫りに?!
フィンランドに本社を構えるセキュリティ企業の F-Secure は、2008 年 12 月から 2009 年 2 月に
かけて、欧米・アジア 8 カ国の 20~40 歳のインターネット利用者を対象に、インターネットの安全
性に関する意識調査を実施した。実施国には、アメリカ、カナダ、フランス、ドイツ、イギリス、イ
タリア、インド、香港と、インターネット利用者の比較的多い国が選ばれた。これを受け、日本支社
のエフセキュア株式会社は、2009 年 3 月に日本国内のインターネット利用者に対して同様の調査を
実施した。
調査の結果、日本のインターネット利用者の 88%はウイルス対策ソフトを導入していることが分か
った。しかし、ウイルス対策ソフトは導入しているものの、PC の保護に必要なプログラムのアップ
デートを積極的に実施している人は全体の約半数にとどまり、ソフトを最新版に保つことの重要性の
啓蒙が必要であることが明らかになった。オンライン決済の安全性については、半数近くの人が「信
頼している」と答え、これは他国とほぼ同様の結果である。一方、クレジットカード情報の安全性に
懐疑的であると答えた人は、日本では 14.5%、他国では 31%という結果になった。
同調査結果で最も興味深いのは、フィッシング詐欺を見分ける自信がないと答えた日本のインター
ネット利用者が多かったことだ。イギリスでは 68%、カナダでは 60%、イタリアでは 67%もの人が
フィッシング詐欺を見抜く自信があると回答したのに対し、日本では 21.5%にとどまっている。他国
の半分にも満たない。
また、マルウェアに関する質問についても「わからない」と回答した人が 72%にも上った。他国の
平均が 42%であることから、日本のインターネット利用者のマルウェアに関する知識がいかに低いか
が分かる。インターネットセキュリティ脅威に関する質問に正しく答えられた人は全体の 9%で、10
人に 1 人もいない結果となった(他国平均は 4 人に 1 人)。なお、自身の PC から失いたくないデータ
の種類については、下記のような回答が得られた。
1位:個人情報に関するファイル
65.4%
2位:友人や家族の写真
50.5%
3位:メールアドレスと電話番号
44.0%
4位:メールおよび個人的なメール 38.0%
5位:仕事の書類
21.5%
他国の回答の平均を上回った項目は「個人情報に関するファイル」と「メールアドレスと電話番号」
の 2 項目のみだった。5 位の「仕事の書類」に関しては、他国平均の 44%を大きく下回っている。上
記の結果を見ると、消失を恐れる理由が直接セキュリティに関連があるのか、それとも単に便宜性を
気にしてのことなのかは分からない。「仕事の書類を失くすより、友人や家族の写真を失くすことの
ほうが重大である」という結果の背景には、当該書類に顧客情報などの機密情報が含まれていないこ
と、万が一紛失してもバックアップデータが存在すること等、適切な対策があってこその回答である
と願いたい。
Copyright©BroadBand Security, Inc.
6
データ侵害の 87%は適切な対策を講じていれば予防できたはず!
リスク分析を専門とする Verizon Business RISK Team より、2009 年 4 月 15 日、「2009 Data
Breach Investigation Report」と題されたデータ侵害に関する調査結果報告書が公開された。同報告
書は、2008 年における 90 件のデータ侵害事例を分析したものであるが、それら侵害によって影響を
受けたレコード(データ)は 2 億 8,500 件となっている。1 年 365 日として単純計算すると、1 日に約
78 万件のデータが侵害を受けていることになる(1 時間で約 3 万 2,500 件)。もちろん実際はこのよ
うに累積的に発生するものではないが、こう考えると実に驚異的な数字であることが分かる。
同報告書によると、74%のデータ侵害は外部要因により発生しており、内部要因によるデータ侵害
は 20%となった。また、データ侵害の 91%について、何らかの形で組織的な犯罪グループが関与し
ていることが推測されるという。
では、データ侵害はどのようにして起こるのか。下記に主な手法を列挙する。
・システムの脆弱性を利用
67%
・ハッキング攻撃
64%
・マルウェア
38%
・特権昇格(または乱用)
・物理的攻撃
22%
9%
お気づきの通り、これら数字を足しても 100%にはならない。なぜならば、攻撃者は単一の手法で
はなく、複数の手法を使用して攻撃を実行するからだ。具体的なシステムの脆弱性としては、ベンダ
提供のデフォルトのユーザ名・パスワードの使用や SQL インジェクションなどが挙げられる。
Verizon Business RISK Team の分析によると、「複雑な」または「高いスキルを要する」攻撃に
分類されるものは、今回の分析対象のうち 17%ほどであるという。多くの攻撃は、適切な対策を講じ
ていれば防げただろうとも述べている。一方で、この 17%の攻撃が侵害されたデータ数全体の 95%
を占めていることから、攻撃者は機会と動機さえあれば「大物」を狙いに行く傾向にあることが分か
る。
今回分析を行った結果、データ侵害の発生について、いくつかの共通点が見られたという。
[共通点 1]
発生したデータ侵害のうち 69%は、第三者により発見されている。
[共通点 2]
データ侵害を受けた企業や組織の 81%は、PCI DSS に準拠していない。
Copyright©BroadBand Security, Inc.
7
[共通点 3]
攻撃の 83%は、特に難しい攻撃手法を使用していない。
[共通点 4]
データ侵害の 87%は、簡単あるいは中級レベルの対策で予防できた。
[共通点 5]
侵害を受けたデータの 99.9%は、インターネット経由でアクセス可能なサーバまたはアプリケーシ
ョンが攻撃の入口となっていた。
同チームは、データ侵害を防ぐ対策として、(1)必要かつ適切な管理策を漏れなく実施すること、(2)
データの特定・追跡・評価を実施すること、(3)イベントログを収集・監視すること、(4)ユーザアカウ
ントおよび認証を監査すること、(5)Web アプリケーションの定期的な見直し・セキュリティ診断を
実施することを挙げている。
同報告書は、下記からダウンロード可能。
2009 Data Breach Investigation Report(英文 PDF 全 52 ページ):
http://www.verizonbusiness.com/products/security/risk/databreach/
Copyright©BroadBand Security, Inc.
8
年々増加する Web サイトの脆弱性報告、特に 2008 年以降は激増
独立行政法人 情報処理推進機構(略称:IPA)より、2009 年 4 月 21 日、同年第一四半期における「ソ
フトウェア等の脆弱性関連情報に関する届出状況」が公開された。IPA が同期間に受理した Web サ
イトの脆弱性に関する届出は 821 件で、その内訳を見ると、上位 2 種類の脆弱性が全体の 8 割以上を
占めている。
・DNS の設定不備:42%
・クロスサイトスクリプティング:41%
・SQL インジェクション:12%
・HTTP レスポンス分割:4%
・その他:1%
また、届出のあった対象 Web サイトの運営者は企業が 42%と最も多かったが、その半数が重要イ
ンフラ事業者であることが明らかになった。政府・行政サービスは 294 件と全体の 36%を占め、情
報通信が 88 件で 11%、医療が 27 件で 3%、金融が 12 件で 1%という結果となった。
IPA によると、現在 90 日以上対策が未完了の脆弱性は 592 件存在する。SQL インジェクションの
ように深刻度の高い脆弱性でさえ修正が長期化しているものがあり、IPA は、これら脆弱性が攻撃さ
れた場合の脅威を認識すること、および早期に対策を講じることを関係者に呼びかけている。
IPA では、Web サイトの脆弱性対策について、その役割ごとに少なくとも下記を実施することを推
奨。
【Web サイト開発者】
広く知れ渡っている脆弱性を作り込まないような技術スキルを身につけたうえで、Web サイトの企
画・設定にあたることが必要。
【Web サイト運営者】
自組織の Web サイトが使用しているソフトウェアの脆弱性対策情報を収集し、未対策の場合はパッ
チを迅速に適用することが必要。
さらに、一般インターネットユーザに対しては、各種脆弱性情報や対策情報を公開している Web
サイトを参照し、パッチの適用等、自発的なセキュリティ対策を普段から実施することを推奨してい
る。
独立行政法人 情報処理推進機構:http://www.ipa.go.jp/
Copyright©BroadBand Security, Inc.
9
大規模な DNS 障害、原因は SQL インジェクション?!
米 SANS をはじめとする複数のセキュリティ企業により、ニュージーランドのドメイン登録業者が
攻撃を受け、大手サイトの DNS 記録が書き換えられるという事件が伝えられた。攻撃者は、SQL イ
ンジェクションを使用して登録業者の管理パネルをハッキングし、ドメインの DNS 記録を改ざんす
ることに成功した模様。この攻撃により、Microsoft やソニー、コカコーラ、HSBC、Xerox、F-Secure、
BitDefender など、大手企業の同国向けサイトが被害に遭っている。DNS 記録が不正に書き換えられ
たこれらサイトにアクセスしたユーザは、別のサーバ上に攻撃者が用意したページへとリダイレクト
されてしまう。リダイレクトされた先のページには、両手に銃を持った人間のイメージと共に
「Hacked by Peace Crew」や「STOP THE WAR ISRAEL」といったメッセージが表示されている。
また Microsoft 関連のサイトについては、顔にパイをぶつけられたビル・ゲイツ氏の画像を載せる凝
りようだ。ページの表示には、「fatih1.turkguvenligi.info」および「fatih2.turkguvenligi.info」が
プライマリ DNS サーバとして使用されていたことが分かっている。
SANS によれば、「Sqlmap」といった自動的に SQL インジェクション攻撃を実行できるツールや
「Absinthe」と呼ばれる実際にデータベースからデータを抜き取れるツール、「Sqlninja」という
Microsoft SQL Server に対する攻撃専用のツール等がインターネット上で無料で入手できるという。
こうした危険なツールが出回っている中、Web アプリケーションのセキュリティは依然としてあるべ
き姿から程遠いと SANS は警告する。今回攻撃を行ったとされる「Peace Crew」は、以前にもカナ
ダや、モロッコ、チュニジア、オーストリア、アイルランド等の国内向け Microsoft サイト、および
イスラエル、韓国、スペイン、デンマーク、ノルウェー、中国等の国内向け MSN サイトを攻撃して
いる。Microsoft 以外では、NASA のサイトにもハッキング攻撃を仕掛けており、その際にも今回の
攻撃に使用したものと同じページを使用していた。
ここ数ヶ月の間、こうした「DNS ハイジャッキング攻撃」がしばしば見られる。セキュリティ専門
家は、大手 Web サイトをハイジャックするために、攻撃者は脆弱な登録業者を狙う傾向にある、と
分析している。Web アプリケーションの脆弱性は、攻撃を受けた際に深刻な影響を及ぼしかねないが、
修正は比較的容易に行えると SANS は指摘している。インターネットがダウンしない限り、Web ア
プリケーションを狙う攻撃はなくならない。開発者はセキュアコーディングを徹底し、運用者・管理
者は必要な更新やパッチの適用を漏れなく実施する等、適切なセキュリティ対策が求められる。
S.Q.A.T. Security Topics
発行人
2009 年 4 月号
株式会社ブロードバンドセキュリティ Security 技術部
〒160-0023 東京都新宿区西新宿 8-5-1 野村不動産西新宿共同ビル 4 階
TEL : 03-5338-7417
著者:田澤
http://www.bbsec.co.jp/
本書の全部または一部を無断で複写複製(コピー)することは、著作権法上での例外を除き、禁じられており
ます。本書からの複写をご希望の場合はお手数ですが上記までご連絡下さい。
10
Copyright©BroadBand Security, Inc.
BBSec セキュリティソリューションご紹介
Managed Security Service
セキュリティオペレーションセンターG-SOC(ジーソック)
BBSec で は 、 従 来 よ り ご 提 供 し て い た Management Service に 付 加 し て 、 MSSP ( Managed
Security Service Provider)機能をご提供する G-SOC を立ち上げました。これによりネットワークや
サーバといったシステムリソースの稼動監視・運用に加え、セキュリティデバイスの監視・運用・防御が
可能となり、お客様のシステム全般のトータル監視・運用とセキュリティ運用をワンストップでご提供す
る事を実現いたしました。
【サービス概要】
G-SOC でご提供するサービスは、 PCI DSS(ペイメントカード・インダストリー・データ・セキュリティ・ス
タンダード)でも推奨されている Web アプリケーション・ファイアウォールの監視・運用・防御を始め、従
前のファイアウォールや IDPS、今後お客様のニーズが増えることが予想される DB ファイアウォール、
DDoS 対策まで網羅したトータル・セキュリティ・オペレーションをご提供するものです。
【サービスフロー】
【Managed Security Service サービスご紹介 URL】
http://www.bbsec.co.jp/solution/mss.html
11
Copyright©BroadBand Security, Inc.