BSK第25-3号 情報セキュリティの現状と動向について (平成 24 年度) ㈱ラック 中津留 勇 平成25年2月 公益財団法人 防衛基盤整備協会 1 発刊にあたって 2009 年のイランの産業制御システム(ICS)がサイバー攻撃を受け、攻撃手段としてマ ルウェア「Stuxnet」の存在が明らかとなり、極めて高度な技術が用いられていることが注 目されました。その後「Flame」といった「Stuxnet」に関連した高度な技術が用いられた マルウェアの存在が確認されております。一方、日本においても 2011 年 9 月、三菱重工業 がサイバー攻撃を受けていたことが明らかとなり、同時期に川崎重工業、IHI、三菱電機、 NEC がサイバー攻撃のメールを受け取っていたことが明らかとなりました。このような状 況下、我が国の防衛産業にとどまらず官公庁を含め、日本全体としてサイバー攻撃対策へ の取り組みを積極的に行う必要があります。 本研究においては、情報セキュリティを侵害する行為として、実際の事例からどのよう な攻撃手法であったかを明らかにし、その対策について解説します。技術的対策としては、 ゲートウェイにおける対策、サーバにおける対策、端末における対策として、Windows Vista 以降のセキュリティ機能の強化等について解説します。人的対策としては、IT セキュリテ ィ予防接種(疑似的な標的型攻撃メールを送信して対応させる体験学習)や、米国で行わ れている情報セキュリティ資格取得制度を紹介します。各国の対策については、米国をは じめとして、韓国等の実状は、我が国より一歩先んじている感があります。とはいえ、我 が国においてもサイバー犯罪に関する法改正を行う等、積極的な取り組みが行われており ます。 サイバー攻撃手法は年々高度化してきており、過去の主流であった単純なネットワーク 経由の攻撃から現在の標的型攻撃へと進化してきました。このような傾向は今後も継続す ると予想され、新たな脅威の出現及び適切な対策方法を可能な限り速いタイミングで知る ための情報収集活動が必要となります。本研究は株式会社ラック サイバーセキュリティ研 究所 主幹研究員 中津留勇氏に委託したものであり、氏の研究成果としてご紹介するもの です。本調査報告書が、情報セキュリティを侵害するサイバー攻撃への対策にご活用いた だければ幸いに存じます。 平成 25 年 2 月 公益財団法人 防衛基盤整備協会 理 2 事 長 宇田川 新一 目 次 発刊にあたって ...................................................................................................................... 2 1. 情報セキュリティを侵害するサイバー攻撃行為 ............................................................ 1 1.1. 1.1.1. 近年の標的型攻撃の特徴 .................................................................................. 2 1.1.2. 標的型攻撃の国内事例.................................................................................... 12 1.2. より高度に洗練された標的型攻撃(APT) .......................................................... 13 1.2.1. 制御システムを狙った攻撃事例 ..................................................................... 13 1.2.2. 高度に洗練されていた点 ................................................................................ 15 1.3. 2. 標的型攻撃 ............................................................................................................... 1 ハクティビズムによる DDoS 攻撃 ........................................................................ 19 1.3.1. Anonymous .................................................................................................... 19 1.3.2. 中国・韓国ユーザ ........................................................................................... 21 1.3.3. DDoS ツール .................................................................................................. 22 個人・企業における対策............................................................................................... 24 2.1. ゲートウェイにおける対策.................................................................................... 25 2.1.1. DDoS 検知 ...................................................................................................... 25 2.1.2. アプリケーションベースのファイアウォール ............................................... 26 2.2. サーバにおける対策............................................................................................... 27 2.2.1. 送信ドメイン認証 ........................................................................................... 27 2.2.2. Sandbox モデルによるファイルの確認 ......................................................... 31 2.2.3. Contents Delivery Network .......................................................................... 32 2.3. 端末における対策 .................................................................................................. 33 2.3.1. Windows 7 以降の OS .................................................................................... 33 2.3.2. EMET ............................................................................................................. 35 2.3.3. 各種ソフトウェア機能の無効化 ..................................................................... 40 2.3.4. ソフトウェア制限ポリシー ............................................................................ 43 2.4. 人における対策 ...................................................................................................... 45 2.4.1. IT セキュリティ予防接種 ............................................................................... 45 3 2.4.2. 2.5. 3. まとめ .................................................................................................................... 49 各国における対策.......................................................................................................... 51 3.1. サイバー攻撃への対応 ........................................................................................... 51 3.1.1. 日本における事例 ........................................................................................... 51 3.1.2. 諸外国における事例 ....................................................................................... 56 3.2. 4. 情報セキュリティ関連資格取得の義務化 .......................................... 47 サイバー犯罪に関する法制度 ................................................................................ 61 3.2.1. 日本における取り組み.................................................................................... 61 3.2.2. 諸外国の法制度............................................................................................... 68 おわりに ........................................................................................................................ 71 4.1. 防衛産業への提言 .................................................................................................. 71 4 1. 情 報 セ キ ュ リ テ ィ を 侵 害 す る サ イ バ ー 攻 撃 行 為 サイバー攻撃のモチベーションは変化している。2000 年以前であれば多くはコンセプト コードとしての攻撃や、自身の技術力をアピールするための攻撃が多くを占めていた。そ の後、攻撃者の目的は金銭へと変化していく。マルウェアにおけるボットの登場など、「攻 撃をいかに隠蔽するか」に焦点が当てられるようになった。またブラックマーケットの発 展により脆弱性情報やマルウェアの売買が可能となり、攻撃の高度化の速度が上がってい った。そして現在では、政治や戦争といったより大きな動きを目的とした攻撃が見られる ようになってきている。 そこで本章では、近年見られるようになった下記のサイバー攻撃に焦点を当て、その攻 撃の手口に関する情報をまとめる。 ① 標的型攻撃 ② 海外で行われたより高度な標的型攻撃(APT) ③ ハクティビズムによる DDoS 攻撃 1.1. 標 的 型 攻 撃 イタズラ目的や金銭を狙うサイバー攻撃であれば、多くの場合、誰にでも有効な攻撃を 手当たり次第行う方法が有効である。しかしながら、より価値のある情報を狙う攻撃や私 怨による攻撃にはその標的に合わせた効果的な攻撃が必要となる。このように標的を定め、 その標的に合わせた攻撃が標的型攻撃である。 標的型攻撃は 2005、2006 年頃から海外で主として観測されていたが、徐々に日本でも 観測されるようになり、近年では特に政府関係組織を対象に定常的に行われるようになっ ている。 図 1 は標的攻撃の典型例を示す。攻撃者は標的組織を十分に調査した上、なりすましメ ール、マルウェアによる攻撃を試みる。 1 図 1: 典型的な標的型攻撃の流れ ① 攻撃者が標的組織、ユーザの情報を収集する ② 攻撃者が文書型マルウェアを添付したなりすましメールを送付する ③ 標的となったユーザが文書型マルウェアを開く ④ 文書型マルウェアが閲覧ソフトウェアの脆弱性を悪用し、本体マルウェアをインスト ールする ⑤ 感染端末の制御が攻撃者に渡る 1.1.1. 近 年 の 標 的 型 攻 撃 の 特 徴 前述の図にあるとおり、現在の標的型攻撃の多くは同じ手口で実行されており、その中 にはいくつかの特徴が存在している。 巧妙ななりすましメール マルウェアを実行させるための鍵となる文面は、添付ファイルを開きたくなる内容であ る必要がある。近年の標的型攻撃では、標的が開きたくなるような、関係のありそうな日 本語文面を作成するだけではなく、個人名の特定や実際に送受信されたメール内容に基づ 2 く文面が使用されている。図 2 は、警察庁が発表した実際の標的型攻撃で使用されていた メールである。 図 2: 実際の標的型攻撃メール (引用元: http://www.npa.go.jp/keibi/biki7/231014shiryou.pdf) 警察庁の発表では、この例では、実際に組織内でメールのやりとりがあった約 10 時間後 に、そのメールの本文をほとんどそのまま引用した標的型攻撃メールが送信されている。 また、メール本文が流出した経路は、最初のメールを受け取った人物の PC がマルウェアに よって乗っ取られたためとも記載されている。 上記も踏まえ、標的型攻撃で使用されるメールの特徴をまとめると以下のとおりとなる。 メールの仕様を把握し詳細なヘッダ調査を行わない限り、なりすましだと見抜くことが難 しくなっている。 差出人(From) 標的組織と関連のある組織・個人名 標的組織内の特定個人 宛先(To) 標的組織内の特定個人・ML 問わず様々な宛先 件名・内容・添付ファイル名 3 標的組織に関係のありそうな事柄を含んだ内容 実際に送付されたメールの内容 実際に送付されたメールの内容に関連した内容 文書作成・閲覧ソフトウェアの脆弱性の悪用 メールの添付ファイルとして実行ファイル形式のマルウェアを添付する手法は、従来の 無差別攻撃でも使用されており、現在においては「添付された実行ファイル(拡張子が exe であるファイル)を実行しない」という対策が広く浸透している。しかしながら現在にお いても、ソフトウェアのアップデート管理が不十分な組織や、事情がありアップデートで きない組織は存在している。そのため、現在では文書作成・閲覧ソフトウェアの脆弱性を 悪用する文書ファイルを用いている場合が多い。 よく狙われる文書作成・閲覧ソフトウェアとしては下記の製品が挙げられる。 Microsoft Office 製品 1. Microsoft Word 2. Microsoft Excel 3. Microsoft PowerPoint JUSTSYSTEM 一太郎 Adobe Reader / Acrobat 近年狙われている脆弱性は表 1、表 2 及び表 3 のとおりであり、各文書作成・閲覧ソフ トウェアの脆弱性だけでなく、その中で読み込まれるアドオン(プラグイン)の脆弱性や OS そのものに存在する脆弱性を突くものも存在している。 表 1: Microsoft Office 形式のマルウェアが悪用する脆弱性 脆弱性識別番号 影響範囲 拡張子 CVE-2009-0556 Microsoft Office 2003 SP3(KB957784)とそれ以前 ppt MS09-017 Microsoft Office 2007 SP2(KB957789)とそれ以前 CVE-2009-0557 Microsoft Office 2003 SP3(KB969681)とそれ以前 MS09-021 Microsoft Office 2007 SP2(KB969682)とそれ以前 4 xls CVE-2009-3129 Microsoft Office 2003 SP3(KB973475)とそれ以前 MS09-067 Microsoft Office 2007 SP2(KB973593)とそれ以前 CVE-2010-3970 Microsoft Windows XP SP3 doc CVE-2010-3333 Microsoft Office 2003 SP3(KB2289187)とそれ以前 rtf MS10-087 Microsoft Office 2007 SP2(KB2289158)とそれ以前 CVE-2011-0105 Microsoft Office 2003 SP3(KB2289187)とそれ以前 MS11-021 Microsoft Office 2007 SP2(KB2289158)とそれ以前 CVE-2011-0609 Adobe Flash Player 10.2.152.33 とそれ以前 xls MS11-006 xls doc xls APSA11-01 APSB11-06 CVE-2011-0611 Adobe Flash Player 10.2.153.1 とそれ以前 doc xls APSA11-02 APSB11-07 doc CVE-2011-1991 Microsoft Windows XP SP3 MS11-071 Microsoft Windows 7 SP1 CVE-2012-0158 Microsoft Office 2003 SP3(KB2597112)とそれ以前 MS12-027 Microsoft Office 2007 SP3(KB2598041)とそれ以前 CVE-2012-0754 Adobe Flash Player 11.1.102.55 とそれ以前 doc Adobe Flash Player 11.3.300.270 とそれ以前 doc CVE-2012-1854 Microsoft Office 2003 SP3(KB2687626)とそれ以前 docx MS12-046 Microsoft Office 2007 SP3(KB2596744)とそれ以前 CVE-2012-1856 Microsoft Office 2003 SP3(KB2726929)とそれ以前 doc MS12-060 Microsoft Office 2007 SP3(KB2687441)とそれ以前 xls CVE-2012-4163~ Adobe Flash Player 11.3.300.271 とそれ以前 doc doc APSB12-03 CVE-2012-1535 APSB12-18 CVE-2012-4168 APSB12-19 5 CVE-2012-5248~ Adobe Flash Player 11.4.402.278 とそれ以前 doc CVE2012-5272 APSB12-22 表 2: Adobe Reader / Acrobat 形式のマルウェアが悪用する脆弱性 脆弱性識別番号 影響範囲 拡張子 CVE-2009-0658 Adobe Reader 9.0 とそれ以前 pdf Adobe Reader 9.0 とそれ以前 pdf Adobe Reader 9.1.0 とそれ以前 pdf Adobe Reader 9.1.0 とそれ以前 pdf Adobe Reader 9.1.2 とそれ以前 pdf Adobe Reader 9.1.3 とそれ以前 pdf Adobe Reader 9.2 とそれ以前 pdf Adobe Reader 9.2 とそれ以前 pdf Adobe Reader 9.2 とそれ以前 pdf APSA09-01 APSB09-04 CVE-2009-0927 APSB09-04 CVE-2009-1492 APSA09-02 APSB09-06 CVE-2009-1493 APSA09-02 APSB09-06 CVE-2009-1862 APSA09-03 APSB09-10 CVE-2009-3459 APSB09-15 CVE-2009-3953 APSB10-02 CVE-2009-3954 APSB10-02 CVE-2009-3957 APSB10-02 6 Adobe Reader 9.2 とそれ以前 pdf Adobe Reader 9.2 とそれ以前 pdf Adobe Reader 9.3.0 とそれ以前 pdf Adobe Reader 9.3.2 とそれ以前 pdf CVE-2010-1297 Adobe Reader 9.3.2 とそれ以前 pdf APSA10-01 Flash Player 10.0.45.2 とそれ以前 CVE-2009-3959 APSB10-02 CVE-2009-4324 APSA09-07 APSB10-02 CVE-2010-0188 APSB10-06 APSB10-07 CVE-2010-1240 APSB10-15 APSB10-17 APSB10-15 Adobe Reader 9.3.3 とそれ以前 pdf Adobe Reader 9.3.4 とそれ以前 pdf Adobe Reader 9.3.4 とそれ以前 pdf CVE-2010-3654 Adobe Reader 9.4.1 とそれ以前 pdf APSA10-05 Flash Player 10.1.85.3 とそれ以前 CVE-2010-2862 APSB10-17 CVE-2010-2883 APSA10-02 APSB10-21 CVE-2010-2884 APSA10-03 APSB10-22 APSB10-26 CVE-2010-4091 Adobe Reader 9.4.1 とそれ以前 APSB10-28 Adobe Reader 10.0.0 CVE-2011-0609 Adobe Reader 9.4.2 とそれ以前 APSA11-01 Adobe Reader 10.0.1 とそれ以前 7 pdf pdf APSB11-05 Flash Player 10.2.152.33 とそれ以前 CVE-2011-0611 Adobe Reader 9.4.3 とそれ以前 APSA11-02 Adobe Reader 10.0.1 とそれ以前 APSB11-08 Flash Player 10.2.153.1 とそれ以前 CVE-2011-2100 Adobe Reader 9.4.4 とそれ以前 APSB11-16 Adobe Reader 10.0.3 とそれ以前 CVE-2011-2462 Adobe Reader 9.4.6 とそれ以前 APSA11-04 Adobe Reader 10.1.1 とそれ以前 pdf pdf pdf APSB11-30 表 3: JUSTSYSTEM 製品形式のマルウェアが悪用する脆弱性 脆弱性識別番号 影響範囲 拡張子 CVE-2011-1331 一太郎 2011 とそれ以前 jtd JVN#87239473 また、これらの脆弱性は、修正パッチが配布された直後から悪用が始まり、数年間継続 して攻撃に利用されるという特徴がある。つまり、攻撃される時点で未修正の脆弱性が狙 われるということは非常に少なく、アップデート不備を突くための既知の脆弱性を使用し た攻撃が多いことが分かる。 また、文書ファイルを開いた後に閲覧ソフトウェアが不正に終了してはユーザに気付か れてしまう。そのため、脆弱性の悪用後に実行される攻撃コードには、表示用の無害な文 書(ダミーファイル)を作成し表示する機能を持つ場合が多い。図 1 の③に示したように、 通常の文書が表示されることによって、標的型攻撃によるマルウェア感染の発覚が遅れて しまうことが考えられる。図 3 は、実際に使用されたダミー文書である。 8 図 3: 標的型攻撃で使用されたダミー文書 RAT(Remote Administration Tool/Trojan) 感染端末を攻撃者の管理下に置くため、脆弱性を悪用した後にインストールされるマル ウェアはボットであることが多い。そして、そのボットは機能面・管理面に優れた Remote Administration Tool(又は Remote Administration Trojan)と呼ばれるマルウェア製品で ある場合が多い。 RAT はその名称のとおり、端末を管理することが可能であり、管理インターフェースを 用いて様々な動作を感染端末上で行うことが可能となっている。RAT に感染した際には、 図 4 のように感染端末から通信が開始される。またそれらの通信はファイアウォールに止 められることのないよう HTTP/HTTPS で使用される TCP80 番又は 443 番ポートを使用し て行われる場合が多い。 9 図 4: RAT に感染した際の通信例 RAT は非常に高機能であり、開発・バージョンアップ体制が整えられている。そのため 一部の RAT については攻撃者コミュニティにて販売が行われている。下記は RAT 製品の 例であり、それぞれが標的型攻撃に使用されている。これら RAT 製品の内、日本における 標的型攻撃で最も使用されているのは無料で配布されている Poison Ivy1である。 DarkComet-RAT Ghost RAT Poison Ivy Shady RAT Incognito RAT PlugX 図 5 は Poison Ivy における、攻撃者の使用する操作画面である。画面左が感染端末に対 して行うことが可能な操作の一覧になっている。 1 Poison Ivy - Remote Administration Tool, http://www.poisonivy-rat.com/ 10 図 5: Poison Ivy の感染端末操作画面 具体的には Poison Ivy では下記の操作が可能であり、感染端末を完全に操作することが 可能である。他の RAT においても、基本的には同様の機能を備えている。 ファイルの送受信、検索、削除、実行 レジストリエントリの作成、修正、削除、閲覧、検索 起動プロセス一覧の取得、停止 サービス一覧の取得、開始、停止、追加、削除 デバイスの起動、停止、削除 アプリケーション一覧の取得、アンインストール スクリーンキャプチャの送信 リモートデスクトップ 任意の OS コマンドの実行 11 ユーザ ID とパスワードハッシュの送信 キー入力情報の窃取 様々な命令を実行可能な RAT では、感染した際にどのような動作を行ったのかがマルウ ェアからだけでは判断できない。そのため、被害の全容を把握するためには通信履歴やハ ードディスクのデータの詳細な調査が必要となり、場合によってはその究明に至らないこ ともある。 1.1.2. 標 的 型 攻 撃 の 国 内 事 例 標的型攻撃は攻撃対象が限定的なため、その被害実態の把握は難しいとされてきた。し かしながら日本では、2011 年の三菱重工のマルウェア感染報告をきっかけとし、政府関係 組織を含む様々な組織が標的型攻撃によるマルウェア感染を報告しており、情報が公開さ れるように変化してきた。標的型攻撃が感染のきっかけであったと報道された事例を表 4 にまとめる。 表 4: 標的型攻撃の国内事例抜粋 公開時期 組織名 被害規模 2011 年 9 月 三菱重工 83 台の端末が感染 2011 年 10 月 衆議院 32 台の端末が感染 2011 年 11 月 総務省 23 台の端末が感染 2011 年 11 月 参議院 31 台の端末が感染 2012 年 1 月 JAXA 1 台の端末が感染 2012 年 2 月 農林水産省 感染なし 2012 年 3 月 国際協力銀行 1 台の端末が感染 2012 年 6 月 原子力安全基盤機構 19 台の端末が感染 なお、ここで挙げた事例はあくまでも、実際に感染し、感染が発覚し、且つ公表した、 という事例であり、実際に行われている攻撃数や感染事例はより多いものと推察される。 12 1.2. よ り 高 度 に 洗 練 さ れ た 標 的 型 攻 撃 ( APT) 国内で定常的に観測できる標的型攻撃とは別に、海外ではより洗練された標的型攻撃が 確認されている。国内にて同様の洗練された攻撃が行われる可能性は今後高まると考えら れており、本項では海外で確認された事例の特徴について明らかにする。 1.2.1. 制 御 シ ス テ ム を 狙 っ た 攻 撃 事 例 2010 年 6 月、イランの産業制御システム(ICS)を狙った高度なマルウェア Stuxnet が 確認された。制御システムを狙った明確な攻撃として初めての事例として世界中から注目 された。表 5 に Stuxnet 発見からの時系列をまとめる2。 表 5: Stuxnet に関する出来事 時期 概要 2010 年 06 月 17 日 VirusBlokAda 社が発見 2010 年 07 月 15 日 Brian Krebs が VirusBlokAda の発見を取り上げる 2010 年 07 月 16 日 Siemens 社が情報を掲載 マイクロソフトが関係する最初のアドバイザリを公開 2010 年 09 月 28 日 トレンドマイクロがイランへのサイバー攻撃について報告 2010 年 11 月 12 日 シマンテックが詳細解析レポート3を発表 ウイルス対策ソフトベンダの解析結果によると、Stuxnet は制御システム内にある周波数 変換ドライブの動作変更を目的としていると判明した。また、その動作条件となっている 周波数変換ドライブは、ウラン濃縮に使用可能な、米国では輸出規制が行われているよう なドライブであると言われている。この動作、また周波数変換ドライブに至るまでの様々 な動作から、制御システムを狙った事実だけでなく、かつてない攻撃内容の高度さについ ても注目が集まることとなった。 Stuxnet ~制御システムを狙った初のマルウエア~, http://www.jpcert.or.jp/ics/2011/20110210-oguma.pdf 2 W32.Duqu: The precursor to the next Stuxnet , http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepape rs/w32_duqu_the_precursor_to_the_next_stuxnet.pdf 3 13 また、Stuxnet に関わる事件はこれだけにとどまらず、以降、Stuxnet に類似した検体が 複数発見されており、その調査が行われている。 表 6: Stuxnet に類似したマルウェア 名称 発見時期 概要 Duqu 2011 年 10 月 機密情報の窃取を目的としたマルウェア。ウイルス対策ソ フトベンダの解析によって Stuxnet と共通するコードを持 っていることが判明した4、極一部の標的型攻撃でのみ確認 されているマルウェアである。その共通点から Stuxnet の 作者が関与したと考えられている一方、それを否定する記 事も存在する5。 Flame 2012 年 5 月 イランで確認された標的型攻撃にて使用されていたマルウ ェア。多数のモジュールから構成されており、情報窃取等 様々な機能を備えている。そのためファイルサイズは Stuxnet や Duqu を上回る 20MB 以上となっている。 Gauss 2012 年 8 月 中東ユーザを標的とした標的型攻撃にて確認されたマルウ ェア。銀行(特にレバノンの銀行)のアカウント情報を盗 む機能を持ち、その構造や多くの機能は Flame と酷似して いるとされる。Kaspersky 社は両マルウェアの関連性から 米国とイスラエルによる国家主導で開発された疑いがある と述べている6。 このような事例から、国家の関与が疑われるような高度で洗練された技術を用いた標的 型攻撃が行われ続けていることが分かる。 4 エフセキュアブログ : Duqu - Stuxnet 2, http://blog.f-secure.jp/archives/50633639.html Duqu not developed by Stuxnet author, http://www.net-security.org/malware_news.php?id=1892 5 Gauss: Abnormal Distribution - Securelist , http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution 6 14 1.2.2. 高 度 に 洗 練 さ れ て い た 点 制御システムを狙ったマルウェアとして注目された Stuxnet、及び Stuxnet に関連して いるマルウェアには、国内でよく見られる標的型攻撃では見られていない数々の「高度さ」 を示す特徴が存在している。本項ではその高度な点を明らかにしていく。 情報収集とそれに合わせた実装 Stuxnet において最も注目すべき点は制御システム情報の収集及びそれに伴う実装であ る。攻撃者は対象のシステムがどのようなハードウェア、ソフトウェアで構成されている かを徹底的に調べ、そのシステムの最深部への侵入を試みた。下記は具体的なシステム侵 入順序となる。 ① Siemens WinCC/PCS 7 システムの感染 ② 感染した Siemens WinCC/PCS 7 システムに接続された PLC のコード改ざん ③ コードが改ざんされた PLC を接続した周波数変換ドライブの動作変更 また、これらの攻撃コードを持つ Stuxnet は複数のモジュールから構成され、難読化等 多くの耐解析機能を備えていた。このように、「特定のシステム」及び「高度な耐解析実 装」により解析が困難を極め、事件の全容を把握するまでに多大な時間を要することとな った。 また、Gauss においては感染端末のシステムを調査し、標的となるシステム環境と一致 する環境でのみ目的を達成するための挙動を示す作りになっている。この機能は攻撃対象 のみに攻撃を行うという目的だけでなく、その環境がなければ解析が行えないという耐解 析の目的も達成することが可能となる。 未知の脆弱性の悪用 Stuxnet では、標的のシステムの制御を奪うために様々な脆弱性を用いる。表 7 は Stuxnet が悪用した脆弱性とその用途の一覧である。 15 表 7: Stuxnet が悪用した脆弱性 脆弱性識別番号 概要 用途 MS10-046 Windows のショートカットファイ USB メモリ経由の感染 ルの脆弱性 MS08-067 Server サービスの脆弱性 MS10-061 印刷スプーラーサービス MS10-073 キーボードのレイアウトの脆弱性 MS10-092 タスクスケジューラの脆弱性 CVE-2010-2772 Siemens SIMATIC WinCC/PCS 7 ネットワーク経由の感染 感染端末上での権限昇格 システムの改ざん の初期パスワードの脆弱性 注目すべき点は、この脆弱性の内(MS08-067 以外の)5 つもの脆弱性が未知の脆弱性で あり、攻撃時点ではセキュリティパッチ等の対策ができなかった点である。 また、未知の脆弱性の悪用は Stuxnet のみならず、Duqu でも表 8 の未知の脆弱性が悪 用されていた。 表 8: Duqu が悪用した脆弱性 脆弱性識別番号 概要 用途 MS11-087 Windows カーネルの TrueType フ Word ファイルからの感染 (MS12-034) ォントファイル処理の脆弱性 また、Flame では、感染を拡大する手法として Stuxnet には無い新しい手法が採用され ていた。Flame は図 6 のように他マシンの Windows Update 通信の乗っ取りを行う。 16 図 6: Windows Update 通信の乗っ取り ① 感染していない Windows 端末の自動プロキシ検索機能が働く ② Flame 感染端末が偽のプロキシ情報を送信する ③ 感染していない Windows 端末に偽のプロキシ情報が保存される ④ 感染していない Windows 端末が偽のプロキシ情報に基づき、Windows Update 要求 を「Flame 感染端末に」行う ⑤ Flame 感染端末が Windows Update のファイルとして Flame のダウンローダを送信 する ⑥ Windows Update 機能がファイルを検証し、Microsoft のバイナリであることを確認 して実行し、Flame に感染する Windows Update は Microsoft 社のデジタル証明書をベースとした通信であるため、通常 この方法での乗っ取りはできない(⑥での検証に失敗する)ようになっている。しかしな がら、Flame は MD5 ハッシュの衝突攻撃を元に Microsoft のデジタル証明書を偽造するこ とで、Microsoft が配布しているバイナリだと認識させることで感染拡大を成功させている 7。 「アプリケーションを信頼させてユーザに実行させる」という目的で正当なデジタル証 明書をマルウェアに付与する方法は、以前から複数例確認されており、Stuxnet も例外では Flame malware collision attack explained - Security Research & Defense - Site Home TechNet Blogs, http://blogs.technet.com/b/srd/archive/2012/06/06/more-information-about-the-digital-ce rtificates-used-to-sign-the-flame-malware.aspx 7 17 ない。しかしながら、このように Windows OS の根幹に関わる動作の脆弱な点を突いた例 は初めてであった。 定常的に行われる近年の標的型攻撃では上述のような未知の脆弱性が用いられることは 非常に少ない。しかしながら、高度に洗練された攻撃においては未知の脆弱性を発見し、 攻撃コードを開発してから実行に移すという動きが存在することが分かる。このことから、 ソフトウェアアップデート等による脆弱性対策だけでなく、未知の脆弱性にも対応できる 仕組みが必要とされる。 高コストなマルウェア生産体制 Stuxnet はその高度な攻撃手法から、高コストな開発体制が必要であると指摘されている。 脆弱性の調査・攻撃コードの作成、制御システム調査・侵入コード実装といったそれぞれ のチームを構成し、プロジェクトとして開発が行われていたのではないかと言われており、 Kaspersky 社は図 7 のような構成だったのではないかと推測している。 図 7: Kaspersky 社が予想した Stuxnet 開発チームの全体像 (引用元: http://www.securelist.com/en/blog/208193182/The_Mystery_of_Duqu_Part_One ) 18 1.3. ハ ク テ ィ ビ ズ ム に よ る DDoS 攻 撃 近年のサイバー攻撃の目的の一つとして挙げた政治活動では、様々な攻撃手法を用いて 政治的主張が行われる。その主要な攻撃手法は、Web サイトの改ざん及び DDoS 攻撃であ る。Web サイト改ざんではコンテンツを改ざんし自分達の主張を行うことが目的となる場 合が多く、DDoS 攻撃では政治的な出来事に関係する組織のサイトを停止させることで反対 の意志を伝えることが目的となっている場合が多い。 Web サイト改ざんは、かつて Gumblar8と呼ばれる大規模なマルウェア感染被害を伴う Web サイト改ざん攻撃が行われており、SQL インジェクション対策をはじめ、コンテンツ 改ざん監視や、FTP によるサイト管理の撤廃、アクセス制御などの対策が進んできている。 しかしながら DDoS 攻撃については根本的な解決が難しく、正規の通信と DDoS 通信の見 極めや機器の負荷耐性向上の困難さから敬遠されてきている。 そのような中、政治的活動として頻度の増す DDoS 攻撃に関し、本項ではどのような思 想のもと、どのようなタイミングで、どのような手法を用いて行われているのかについて 述べる。 1.3.1. Anonymous ハクティビズムによる活動を行っている集団として、Anonymous が最も有名である。 Anonymous は海外の掲示板「4chan9」にて生まれ、社会的・政治的な抗議活動を行い世界 中で認知されるまでに至っている。 Operation Japan(#OpJapan) Operation Japan は、2012 年 6 月 20 日に違法ダウンロードの罰則化を含む改正著作権 法が成立したことを受け開始された活動である。Anonymous は「この改正では問題を解決 できないだけでなく市民への不必要な懲罰に繋がる」と主張10し、複数の Web サイトに対 し DDoS 攻撃及びコンテンツ改ざん攻撃を行った。 8 研究・調査レポート, http://www.jpcert.or.jp/research/webdefacement.html 9 4chan, http://www.4chan.org/ 10 #opJapan – Expect US, http://anonpr.net/opjapan-expect-us-512/ 19 この活動期間は約一ヶ月に渡り、セキュリティ関係者の観測によるとアクセス不可状態 に陥った Web サイトは 5 件あった。 音楽著作権を管理する JASRAC サイトにおいては Web サーバの停止及び被害状況確認を行うに至った。 表 9: Operation Japan による被害 攻撃対象 被害内容 財務省(国有財産情報公開システム) Web サイトの改ざん 裁判所 DDoS により一時アクセス不可 国土交通省関東地方整備局霞ヶ浦事務所 Web サイトの改ざん 自民党 DDoS により一時アクセス不可 民主党 DDoS により一時アクセス不可 JASRAC DDoS により一時アクセス不可 日本経済団体連合会 一時アクセス不可(原因不明) 海外で行われた DDoS 攻撃 Anonymous の活動は海外が拠点であるため、明確に日本の組織が標的となった Operation Japan 以外にも、数多くの DDoS 攻撃を行っている。Anonymous の活動の内、 DDoS 攻撃が含まれている主要な事例を表 10 に挙げる。 表 10: Anonymous による DDoS 攻撃を含むオペレーション 時期 名称 2010 年 12 月 Operation Payback 概要 匿名で機密情報を公開する Web サイトである WikiLeaks の活動の是非に関連し、WikiLeaks への寄 付金の送金処理を停止することとした PayPal や MasterCard に対して DDoS 攻撃が行われた。 2011 年 04 月 Operation Sony PlayStation 3 のハッキングによって公開された情報 (ルートキー)を止めるための Sony による訴訟行為を きっかけとして開始された活動であり、DDoS 攻撃も行 20 われた。この活動により、PlayStation に関連する複数 の Web サイトが断続的にアクセス不可状態となった。 2012 年 01 月 Operation Megaupload 米国当局がオンラインストレージサービスである Megaupload の運営関係者を著作権侵害等の容疑で逮 捕し、サービスを閉鎖させたことをきっかけとして DDoS 攻撃が行われた。米司法省、米映画協会、米音楽 著作権協会等の Web サイトが攻撃対象となり、一時的 なアクセス不可状態に追い込まれた。 Operation Japan をきっかけとし、 法改正や外交問題に関連した日本組織を標的とした、 ここで挙げたような頻度・規模による DDoS 攻撃が行われる可能性も考慮しなければなら ない。 1.3.2. 中 国 ・ 韓 国 ユ ー ザ また、日本に深く関係する集団として韓国及び中国のネットユーザの存在が挙げられる。 これらのユーザは、日韓及び日中の国交に関する出来事があった際に DDoS 攻撃による抗 議活動を行う。 韓国ユーザは多くの場合、NAVER 上のコミュニティベースで形成され、その標的は国内 掲示板「2 ちゃんねる」である場合がほとんどである。そのため、2 ちゃんねる以外の国内 組織が標的になることは多くない。中国の場合、その活動主体は中国のハッカー集団であ り、Anonymous と同様ハクティビズム活動を行うため、活動内容によっては日本国内の 様々な組織が標的となる。 中国反日デモ 尖閣諸島の国有化が閣議決定された 9 月 11 日から、反日デモとして中国ユーザによる大 規模な DDoS 活動及びサイト改ざん活動が行われた。このデモは、満州事変の発端となっ た柳条湖事件記念日である 9 月 18 日も関連し、1 週間以上継続的に行われた11。 11 川端総務大臣繰下げ閣議後記者会見の概要, http://www.soumu.go.jp/menu_news/kaiken/01koho01_02000086.html 21 警視庁の発表12では、9 月 19 日までに政府機関や銀行など少なくとも 19 の Web サイト が攻撃を受け、各種被害が出たとされている。これらの攻撃の中、DDoS 攻撃による被害と 思われる閲覧障害は、11 サイトで確認され、その中には下記サイトが含まれる。 外務省 東京都 日本航空 総務省統計局 防衛省 政府インターネットテレビ 東日本銀行 裁判所 1.3.3. DDoS ツ ー ル Anonymous や反日デモにおける DDoS 攻撃では、それぞれ専用の DDoS ツールが用意 されていた。攻撃者達はツールにて攻撃対象・攻撃方法を指定することによって DDoS 攻 撃を行っていた。 下記に実際に確認されたツールに実装されていた DDoS 攻撃手法である。 ICMP フラッド TCP フラッド SYN フラッド UDP フラッド HTTP フラッド 図 8 は、Anonymous の DDoS 活動にて使用されたツール HOIC バージョン 2 の操作画 面である。HOIC バージョン 2 は複数の HTTP フラッド攻撃に対応しており、攻撃対象、 攻撃種類及び攻撃量の調整が可能となっている。 12 時事ドットコム:サイバー攻撃、19サイト被害=政府・企業のHP改ざん-中国ハッ カー集団が予告, http://www.jiji.com/jc/zc?k=201209/2012091900734 22 図 8: HOIC の動作画面 前述のとおり DDoS 攻撃の攻撃手法は一つだけではなく、活動によって異なる場合があ るため、DDoS 対策を行う場合には、どの手法に対して有効な防御方法かを考える必要があ る。 23 2. 個 人 ・ 企 業 に お け る 対 策 2 章では近年の情報セキュリティを侵害する行為として特徴的なものを挙げてきた。これ らの攻撃には、今まで行われてきた下記のような基本的な対策だけでは防ぎきれない要素 が存在している。 OS やソフトウェアの更新及びその管理システム ウイルス対策ソフト導入及び更新 一般的なネットワーク機器(ファイアウォールや IDS/IPS 等)の導入及び監視 アクセス制御 情報セキュリティポリシー策定 そこで本章では近年特有の攻撃への対策を述べていく。既存の各種脅威への対策として 挙げられる上記のような原則とも言える施策については触れないこととし、現在あまり普 及していない、又は近年新しく出た対策について重点を置いて述べる。 セキュリティ対策では以前から多層防御の概念が必要とされている。外部からの攻撃を 考慮する際、図 9 のような階層構造が考えられ、対策はサーバや端末から人まで、それぞ れにおいて実施する必要がある。また、情報セキュリティポリシー等全体にまたがる対策 も存在する。 図 9: サイバー攻撃に対する階層防御 24 以降では、どの階層における対策であるかも含め言及していく。 2.1. ゲ ー ト ウ ェ イ に お け る 対 策 ここでは、組織とインターネットを繋ぐゲートウェイ及び、その周辺のネットワークに 関する対策について触れる。 2.1.1. DDoS 検 知 DDoS 攻撃における被害を最小限に抑えるため、 正規の通信と DDoS 通信を区別し、DDoS 通信を遮断する方法が存在する。マルウェアによる DDoS が問題とされた 2004 年ごろから DDoS 通信の検知技術は向上してきており、そのようなサービスや製品を使用することが DDoS 対策として効果的な方法となる。 DDoS 対策では、複数手法の DDoS 攻撃通信が検出できること、そして DDoS 攻撃の通 信量に耐えられることが求められる。現在では、ISP やセキュリティ機器ベンダが表 11 の ようなサービスや製品を展開している。 表 11: DDoS 対策サービスの概要 サービスの種類 概要 ISP による DDoS 対策 ISP 側のネットワークにて、ISP の技術によって DDoS 攻 撃通信を検知し遮断する。ISP のバックボーンを使用する ため通信量への耐性が非常に強い。 セキュリティ機器による 自組織のネットワークに設置し、通信を監視し、DDoS 攻 DDoS 防御 撃を検知・遮断する。ISP の提供するサービスとは異なり 自組織内での対応となるため、機器の負荷耐性はもちろ ん、ネットワークの帯域幅に十分な能力が必要となる。 これらのサービスを導入する際には、DDoS によって受ける被害や許容できる攻撃量とい った点についても考慮して必要十分なサービスを選択することが求められる。 25 なお、ISP による対策を使用した場合であっても、より大規模な DDoS 攻撃や新しい手 法での攻撃が行われた場合には、防げない可能性があることに注意しなければならない。 2.1.2. ア プ リ ケ ー シ ョ ン ベ ー ス の フ ァ イ ア ウ ォ ー ル ネットワークのゲートウェイに設置する機器として以前から重要視されてきたファイア ウォールは下記のような方法にて通信を制御してきた。 表 12: 従来のファイアウォールにおける通信制御方式 名称 概要 パケットフィルタリング IP アドレス及び TCP/UDP ポート番号、そして TCP/IP ヘッダにおける情報を基に通信制御を行う 方法 ステートフルインスペクション パケットフィルタリングを回避するための意図的 にヘッダが書き換えられたパケット等に対応する ため、通信セッションを記録し、そのセッションと して適切なパケットかどうかを判断して通信制御 を行う方法 しかしながら、図 10 のように標的型攻撃で使用されるマルウェアによる攻撃を防ぐこと が非常に難しい状況となっている。 図 10: 従来のフィルタリング方式では対応できない RAT の通信 26 このような攻撃を防ぐためには、TCP や IP のレイヤの上位のアプリケーションレイヤを 確認し、どのアプリケーションの通信であるかを特定し通信を制御する必要がある。近年 では、このような通信主体のアプリケーションをベースとした通信制御方式を持つファイ アウォール製品が登場しており、「次世代ファイアウォール」とも呼ばれている。これら の製品を導入することで、図 11 のようにマルウェアの通信の防御が可能となる。 図 11: アプリケーションベースのファイアウォールの通信制御 しかしながら、現在のマルウェアには他アプリケーション(主要な Web ブラウザ)を用 いて通信を行うものが存在すること、アプリケーションベースでの制御が技術的に発展途 上であることも考慮した上で、慎重に導入を考慮する必要がある。 2.2. サ ー バ に お け る 対 策 本項では、ゲートウェイと端末(ユーザ)の中間地点に位置するサーバに関係する対策 について述べる。2 章で述べたサイバー攻撃手法への対策となるため、標的型攻撃メールを 受け取り各ユーザへ配送する役割を持つメールサーバにおける対策を主に挙げていく。 2.2.1. 送 信 ド メ イ ン 認 証 標的型攻撃のようなメール経由での攻撃に対し、メールサーバ上で考えられる最も重要 な対策は「攻撃メールを拒否する(ユーザへの配送を行わない)こと」である。メールサ 27 ーバで送信ドメイン認証技術を使用することで、本物のメール文面が使われた場合であっ てもそれがなりすましメールであることが機械的に判定でき、ユーザまでの到達を阻止す ることが可能となる。本項では、送信ドメイン認証として代表的な Sender Policy Framework 及び DomainKeys Identified Mail について述べる。 なお、ここで挙げる対策は、自組織だけではなくメールを送受信する相手組織の対応が 必須であり、自組織だけの取り組みだけでは近年のサイバー攻撃に対しての施策となりえ ないという点に注意が必要である。 Sender Policy Framework(SPF) SPF は自ドメインのメールを送信する IP アドレス範囲を SPF レコードとして公開する ことで、他者がメールの送信元が適切かどうかを判断できるようにするフレームワークで ある13。 自組織において SPF レコードを公開するには、送信元となりうる IP アドレス範囲を下 記のように DNS の SPF リソースレコード又は TXT リソースレコードに追加すれば良い。 example.com. IN TXT "v=spf1 ip4:192.0.2.0/28 -all" SPF レコードを追加することにより、図 12 のとおり、自ドメインが差出人となってい るメールの送信元 IP アドレスが適切であるかどうか、すなわち正当なユーザから送信され たメールかどうかを受信側でチェックすることが可能となる。 SPF(Sender Policy Framework) : 迷惑メール対策委員会 , http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/ 13 28 図 12: SPF による送信元検証の流れ WIDE プロジェクト及び JPRS との共同研究結果によると、2012 年 12 月現在の SPF 普及率は 43.89%(普及率の変化は図 13 に示す)となっており、メールのやりとりを行う 組織が対応していない可能性も十分に存在する。そのため、SPF の導入について相手側の 組織に確認するといった運用が必要となると考えられる。 29 図 13: 送信ドメイン認証普及率 (引用元: http://member.wide.ad.jp/wg/antispam/stats/index.html.ja) また、メーリングリスト等によるメール転送の際に検証が出来なくなるという問題点が 存在しており、SPF のみの判定によるメール遮断については慎重に検討する必要がある。 DomainKeys Identified Mail(DKIM) DKIM は、メール送信時にメールサーバ上で電子署名を付与し、送信先メールサーバ上 でその署名を検証することで送信元の認証を行う手段である14。電子署名を用いる DKIM の場合、SPF の課題となっている転送されたメールであっても正しく送信ドメイン認証を 実現することができる。 DKIM では、図 14 のようにしてメールの送信ドメイン認証を行う。 DKIM (Domainkeys Identified Mail) : 迷惑メール対策委員会, http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/dkim/ 14 30 図 14: DKIM による電子署名検証の流れ DKIM に対応するためには、電子署名を行う鍵ペアの作成及びメールサーバと DNS の設 定変更が必要となる。なお、電子署名に用いる鍵には、HTTPS で用いられるような第三者 認証された証明書は不要であるため、簡単に作成が可能である。 しかしながら、電子署名用の鍵管理の発生等から普及が進んでおらず、現状では 0.50% と発表されている(図 13 を参照)。DKIM についても SPF と同様、メールのやりとりを 行う組織との相互確認が必要となる。 2.2.2. Sandbox モ デ ル に よ る フ ァ イ ル の 確 認 Sandbox とは、図 15 のように隔離・監視された環境下(図の黄枠内)にてプログラム を動作させ、その影響が外部の環境に及ぶことを防止するセキュリティモデルを指す。 31 図 15: Sandbox モデルの概念 なりすましメールの機械的確認とは別に、このような Sandbox モデルを用い添付ファイ ルを実際に開いて挙動を確認するのも、マルウェア感染対策として有効な手段である。 Sandbox 環境を構築することで、短時間でのファイル検証が可能となる。通常 Sandbox 製品は、自身で構築した実機又は仮想環境の管理及びそれらの環境下で動くプログラムの 監視・レポーティング機能を提供するものが多いが、標的型攻撃に特化した製品としてメ ールサーバと連動させ、報告までが自動化される製品や添付ファイルを開いた際の画面キ ャプチャを送信する製品も存在している。 なお、Sandbox 環境の構築の際には、文書作成・閲覧ソフトウェアのバージョン等を実 際のクライアントの環境に可能な限り近づけなければ、その検証の意味が無くなってしま うことに注意する必要がある。 2.2.3. Contents Delivery Network ファイルサイズの大きいメディアファイルが多く活用される近年では、DDoS 攻撃に限ら ず、ニュースで取り上げられた場合をはじめ、一時的にアクセスが集中した際に Web コン テンツの配信に支障をきたす例がいくつも存在する。 32 このような、一時的にアクセスが集中した場合でも Web コンテンツを継続して配信し続 けるため、Web コンテンツ配信経路を最適化(負荷分散)したネットワークを Contents Delivery Network(CDN)と呼ぶ。現在では、下記の技術を用いたクラウド化されたイン フラを持つ CDN 事業者が CDN サービスの提供を行っている。 通信回線の増強 サーバの処理能力の増強 サーバ台数の増加 DNS ラウンドロビン 一つのドメイン名に複数の IP アドレスを割り当てる技術 P2P CDN のみでも DDoS 対策として大きな効果があるが、 CDN 事業者のサービスの中には、 2.1.1 で挙げた DDoS 検知サービスと組み合わせて提供するものも存在する。 2.3. 端 末 に お け る 対 策 現在使用されている多くの端末は Microsoft Windows を使用している。本項では、 Microsoft Windows を使用した状態で標的型攻撃をはじめとする近年のサイバー攻撃を防 御するための対策について述べる。 2.3.1. Windows 7 以 降 の OS マルウェア感染対策の原則としてソフトウェアアップデートが挙げられるが、ソフトウ ェアのアップグレードを行うことも非常に重要である。Microsoft 社は、マルウェア感染被 害の増加を防止するため、Windows XP 以降様々なセキュリティ機能を追加してきた。特 に Windows Vista での変更は大きく、Windows Vista 以降(特に利便性も向上した Windows 7 以降)の OS を使用することの重要性は以前から言われている1516。 Windows 7 vs Windows Vista/Windows XP 使い比べ 七番勝負 Round 5: Microsoft Windows, http://www.microsoft.com/ja-jp/windows/explore/feature/w7vsvistaxp/round5.aspx 15 CiNii 論文 - マルウェア検出情報ログの分析による対策の検討, http://ci.nii.ac.jp/naid/110007991008 16 33 表 13 は Windows Vista 以降に追加された具体的な機能の一覧である。また、ここで挙 げた機能の他にもシステムの各種変更が行われており、より安全な環境を提供している。 表 13: Windows Vista 以降で追加・強化されたセキュリティ機能 機能名 概要 ユーザアカウント制御 Windows Vista におけるセキュリティ上最も大きな変更 (User Account Control: 点。 UAC)の導入 ユーザアカウント制御では、管理者権限ユーザであって も Windows に新しいプログラムをインストールした り、重大な変更を加えたりするときには、確認のメッセ ージが表示されるようになり、必ず人間による操作が必 要となる。そのため、マルウェアに感染したとしても、 ユーザの承認無しではシステムに大きな影響を及ぼすこ とが出来ないようになっている。 脆弱性の影響緩和機能の追 Windows Vista では、各種ソフトウェアの脆弱性を悪用 加 された際の影響を緩和する機能が複数追加された。 Address Space Layout Randomization(ASLR) Windows Service Hardening Structured Exception Handling(SEH) Overwrite Protection(SEHOP) Windows 7 及び Windows 8 ではこれら機能の改良がおこ なわれている。 Windows Defender の標準 マルウェアの中でも機密情報を窃取する「スパイウェア」 搭載 に特化した対策ツールである Windows Defender が、 Windows Vista 以降は標準搭載されており、Windows の インストール直後でも最低限の対策が出来ている状態と なった。 Windows 8 においては、Microsoft 社が提供する無償ウイ ルス対策ソフトである Microsoft Security Essentials と の統合が行われ、インストール直後に総合的なマルウェ 34 ア対策が出来ている状態となる17。 BitLocker の搭載 ファイルやフォルダ単位でしか暗号化を行えない Windows ファイルシステム NTFS の機能と異なり、ハー ドディスク全体を暗号化することが可能な機能が Windows Vista(Ultimate エディションのみ)では搭載 された。 また、Windows 7(Ultimate エディションのみ)では更 に機能が強化され、USB メモリ及び USB 外付けハード ディスクも暗号化することが可能となった。なお、名称 も「BitLocker To Go」と変更されている。 Internet Explorer 9 対応 Windows Vista 以降の OS では、各種保護機能が強化さ れた Internet Explorer 9 以降のバージョンに対応してい る。Windows 8 からは Internet Explorer 10 が標準搭載 されている。 バックアップ機能の強化 Windows XP では、各種ファイルのバックアップを行う 場合には毎回手動で作業しなければならなかった。また システム全体をバックアップする機能が無く、ユーザに とって非常に不便な機能となっていた。 Windows Vista 以降では、定期バックアップやシステム バックアップといった不便さを取り除く機能強化が行わ れており、バックアップ及び復元作業がより簡単になっ た。 Secure Boot18 Windows OS の起動前にマルウェアを実行されることを 防ぐための機能が Windows 8 から搭載された。 2.3.2. EMET 脆弱性の修正パッチを適用していたとしても、未知の脆弱性を狙われてしまわれては意 味をなさない。マイクロソフト社は、そのような未知の脆弱性に対する攻撃や、パッチを Windows 8 | セキュリティ機能, http://www.microsoft.com/ja-jp/security/pc-security/windows8.aspx#antivirus 17 18 Secure Boot Overview , http://technet.microsoft.com/en-us/library/hh824987.aspx 35 適用できない状況における攻撃の防御ツールとして Enhanced Mitigation Experience Toolkit(EMET)を提供している。 EMET は脆弱性を塞ぐことを目的としたツールではなく、脆弱性が悪用された後の影響 を緩和することを目的としているツールである。この EMET を使用することで、たとえ脆 弱性を悪用されたとしても、その後に実行される攻撃コードを止めることが可能となる。 EMET 3.019では下記に示す Windows の持つセキュリティ機能と EMET 独自のセキュリテ ィ機能を有効化することができる。なお、一部機能は Windows XP では対応していないた め、Windows Vista 以降の OS 上で使用することが推奨される。 表 14: EMET 3.0 が搭載しているセキュリティ機能 名称 概要 Data Execution メモリ上でデータ領域と定義された場所でのコード実行を Prevention(DEP) 禁止する機能であり、Windows XP Service Pack 2 で搭載 された。バッファオーバーフロー等によってデータ領域に コードを書き込むような攻撃を阻止することが可能とな る。 EMET により、この機能の設定が簡単に行えるようになる。 Structured Exception Windows の例外処理機構の一つである構造化例外ハンドラ Handling(SEH) の上書きを検出し、止める機能。Windows Vista SP1 以降 Overwrite Protection において使用可能。 (SEHOP) この機能により構造化例外ハンドラを悪用しようとする攻 撃を防ぐことが可能となる。 EMET により、この機能の設定が簡単に行えるようになる。 Null Page Allocation アドレス 0 番地のメモリ領域を予め確保することで、悪用 を防ぐ機能。 現在はまだ攻撃手法が確立されていない箇所への防御策で ある。 Heapspray Allocation 攻撃の成功率をあげるためのヒープスプレー手法にて使用 EMET の最新バージョン EMET 3.0 を公開しました - 日本のセキュリティチーム Site Home - TechNet Blogs, http://blogs.technet.com/b/jpsecurity/archive/2012/05/17/3498449.aspx 19 36 されやすいメモリ領域を予めいくつか確保しておくこと で、攻撃の成功率を低下させる機能。 Export Address Table 脆弱性悪用後の攻撃コードで使用される、ライブラリファ (EAT) Access イル内の EAT の参照を検知、拒否する機能。 Filtering 攻撃コード中に Windows の各種操作を行うには EAT 参照 が必須と言える状況であるため、この機能によって近年使 用されているすべての攻撃コードを止めることが可能であ る20。同時に、この機能による検知を回避する技術研究も行 われている。 Mandatory ASLR 及び メモリ上の各種アドレスをランダムにして攻撃成功率を下 Bottom-up げる機能を、対応していない実行ファイルに対して強制す Randomization る機能。 場合によってはプログラムの正常な動作を妨げてしまう。 また、2013 年 1 月現在評価版である EMET 3.521においては更に表 15 の機能が追加さ れており、より脆弱性の悪用を困難にしている。 表 15: EMET 3.5 において追加された機能 名称 概要 Caller 攻撃に利用されやすい API が正しい命令で呼び出されたか どうかを検証する機能。 SimExecFlow 攻撃に利用されやすい API の呼び出し元のアドレスから命 令をエミュレートし、近年の脆弱性悪用における攻撃手法の 一つである ROP 攻撃の特徴が無いか確認する機能。 StackPivot スタック領域に割り当てたメモリ領域以外をスタックに使 用することを防ぐ機能。 20 制御システムのセキュリティリスク軽減対策~EMET のご紹介~, http://www.jpcert.or.jp/ics/2011/20110210-tamura-sama.pdf EMET 3.5 Tech Preview leverages security mitigations from the BlueHat Prize Security Research & Defense - Site Home - TechNet Blogs, http://blogs.technet.com/b/srd/archive/2012/07/24/emet-3-5-tech-preview-leverages-secu rity-mitigations-from-the-bluehat-prize.aspx 21 37 LoadLib リモートホスト上の DLL が読み込まれることを防ぐ機能。 Memory Protextion スタック領域のメモリページが実行可能属性に変更される Checks ことを防ぐ機能。 EMET はインストール直後、DEP、ASLR 及び SEHOP 以外のアプリケーション毎に適 用される機能については設定されていない。そのため、ユーザが自身のアプリケーション を登録する必要がある。そのため導入にコストがかかっていたが、バージョン 3 から代表 的なアプリケーションの設定をまとめたプロファイルがあらかじめ 3 つ用意されるように なったため、プロファイルの読み込みだけで済むようになった。各プロファイルの概要は 下記の通りである。 Internet Explorer.xml Internet Explorer に対する緩和策を有効にする Office Software.xml Internet Explorer、Office 製品、Adobe Acrobat / Reader 8~10 に対する緩和 策を有効にする All.xml Internet Explorer や Office をはじめとした、一般的に家庭や企業で使用され るアプリケーションすべてに対する緩和策を有効にする また、以下に設定手順について示す。 ① ダウンロードとインストール http://www.microsoft.com/en-us/download/details.aspx?id=29851 からダウン ロードし、インストール ② EMET 設定ツールの起動 スタートメニューから「EMET 3.0」を起動 ユーザアカウント制御のポップアップが表示された場合には、許可する ③ アプリケーション設定画面への移動 画面右下の「Configure Apps」をクリック ④ プロファイルの読み込み 「File」メニューの「Import…」をクリック EMET のインストールフォルダに格納されているプロファイル「All.xml」を読 み込む 38 通常「C:¥Program Files¥EMET¥Deployment¥Protection Profiles」に格 納されている 設定が完了すると、図 16 のようにマイクロソフト社が推奨する設定が各アプリケーショ ンに対し有効化された状態となる。 図 16: プロファイル読み込み後のアプリケーション設定画面 EMET は特に近年の標的型攻撃に関しては非常に大きな効果を発揮する。日本 IBM は、 文書作成・閲覧ソフトウェアの脆弱性を悪用した後の不正な動作が EMET によって防御で きるかを検証し22下記の結果を得ている。Export Address Table(EAT) Access Filtering 機能の理論だけでなく、この検証結果からも EMET による未知既知を問わない脆弱性攻撃 への耐性が分かる。 IBM 2011 年下半期 東京 SOC レポート – Japan, http://www-06.ibm.com/jp/press/2012/02/0201.html 22 39 図 17: EMET による文書型マルウェアの感染防御結果 (引用元: http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2011_h2.pdf) なお、EMET は Active Directory グループ ポリシーとの連携も強化されており、組織 独自のポリシーを全端末に簡単に適用することが可能となっている。 2.3.3. 各 種 ソ フ ト ウ ェ ア 機 能 の 無 効 化 標的型攻撃にて使用されている脆弱性の一覧のとおり、文書作成・閲覧ソフトウェアの 脆弱性の一部は、マルチメディア等の高度な機能に起因している。そのような機能を制限 又は無効化することで、たとえファイルを開いてしまった場合においてもマルウェアの実 行を阻止することが可能となる。そして、多くのユーザはこれらの機能を使用せず文書作 成を行っているため、無効化による業務の阻害はほぼ無いことが利点として挙げられる。 以下は、無効化すべき設定項目とその設定方法の一覧である。 表 16: 無効化すべき文書作成・閲覧ソフトウェアの機能 品 機能 詳細 Microsoft Office ActiveX Microsoft のインターネット関連コンポーネン コントロール トを使用する機能。 Microsoft Windows コンポーネントや、Adobe 40 Flash 等の脆弱性の影響を受けてしまう。 Adobe Acrobat PDF 文書に JavaScript を埋め込み、インタラ Reader / Acrobat JavaScript クティブな表示を可能にするための機能。 Adobe が独自拡張している箇所において脆弱 性が過去多数発見されている。 外部アプリケー PDF に用意されている「/launch」機能を使い、 ションの呼び出 外部アプリケーション(コマンド)を呼び出す し 機能。 呼び出す際にダイアログが表示されるものの、 誤って「開く」ボタンを押してしまいマルウェ アを実行してしまう可能性がある。 また、以下にそれぞれの機能の無効化方法を述べる。 Microsoft Office 製品の ActiveX コントロール ① Word や Excel 等の「Office ボタン」をクリックし、「(各アプリケーション名) のオプション」を開く。 ② 「セキュリティ」画面から「セキュリティセンター」を開く。 ③ 「ActiveX の設定」画面(図 18)にて「警告を表示せずにすべてのコントロー ルを無効にする」を選択する。 この機能は設定すると「すべての Office アプリケーション」に適用される。 Adobe Reader / Acrobat の Adobe JavaScript ① メニューの「編集」から「環境設定」を開く。 ② 「JavaScript」画面(図 19)の「Acrobat JavaScript を使用」のチェックを外 す。 Adobe Reader / Acrobat の外部アプリケーションの呼び出し ① メニューの「編集」から「環境設定」を開く。 ② 「信頼性管理マネージャー」(図 20)の「外部アプリケーションで PDF 以外 の添付ファイルを開くことを許可」のチェックを外す。 41 図 18: ActiveX の設定画面 図 19: Adobe JavaScript の設定画面 42 図 20: 信頼性管理マネージャーの設定画面 2.3.4. ソ フ ト ウ ェ ア 制 限 ポ リ シ ー マルウェアの中には、Windows のファイル名として使用可能な Unicode 制御文字を用い、 ユーザをだますものが存在する。本来アラビア語のように右から左へと記述する言語のた めの RLO(Unicode の制御文字 U+202E)を用い、図 21 のように拡張子を偽装し、ユー ザにファイルを実行させようとする23。 23 情報処理推進機構:情報セキュリティ:ウイルス・不正アクセス届出状況について(2011 年 10 月分), http://www.ipa.go.jp/security/txt/2011/11outline.html 43 図 21: RLO による拡張子偽装 Windows XP から搭載されているソフトウェア制限ポリシーを使用することで、このよ うなマルウェアへの対策が可能となる。 ソフトウェア制限ポリシーは、不要なアプリケーションを実行させないことを目的とし た機能である。システム管理者があらかじめ実行させる又は実行させないアプリケーショ ンを登録しておくことで、ユーザがポリシー違反アプリケーション実行を禁止することが できる。この機能を下記のとおり設定することで、RLO がファイル名に含まれるファイル の実行を禁止することができる。 ① コントロールパネルから管理ツールを開き、「ローカルセキュリティポリシー」を起 動する。 ② 「ソフトウェア制限のポリシー」を右クリックし「新しいポリシーの作成」を選択す る。 ③ 「ソフトウェア制限のポリシー」の下にある「追加の規則」を選択し、右ペインの右 クリックし「新しいパスの規則」を選択する。 ④ 任意のパスを入力し、セキュリティレベルに「許可しない」を選択して OK を押す ことで、制限が有効になる。 メモ帳で「**」を記述し、「*」と「*」の間で右クリックし「Unicode 制御文字 の挿入」の RLO を選択することで、「*[RLO]*」となった文字列を作成できる。 この文字列をコピーして、パス部分に貼り付けることで、RLO が含まれるすべ てのファイル名の実行を制限できる。 44 また、この機能において、リムーバブルメディア(が挿入された際のドライブ)のパス (例: E:¥)を登録すれば、リムーバブルメディア上でのプログラム実行を禁止するマルウ ェア感染防止策も可能である。 なお、ソフトウェア制限ポリシーはファイル命名規則だけでなく、ハッシュ値や電子署 名による制限も可能であり、その用途は幅広い。また、Windows 7 Ultimate 及び Enterprise では、ソフトウェア制限ポリシーの機能を拡張する AppLocker24が導入されており、より 細かな規則設定が可能となっている。 2.4. 人 に お け る 対 策 標的型攻撃で使用されるなりすましメール等は、ソーシャルエンジニアリングの手法を 使用し人の脆弱性を攻撃していると言い換えることができる。ソフトウェアの脆弱性であ れば、ソフトウェアベンダが脆弱性の原因を特定しセキュリティパッチを作成・配布する ことで修正が完了するが、人の場合にはその脆弱性を修正することは容易ではない。 本項では、人の脆弱性を攻撃するソーシャルエンジニアリング手法への対策に関連する ものを述べる。 2.4.1. IT セ キ ュ リ テ ィ 予 防 接 種 IT セキュリティ予防接種とは、疑似的な標的型攻撃メールを従業員に対し送信して対応 させる、体験学習型の訓練である。具体的には、下記の流れにて疑似標的型攻撃を送り、 その対応内容を確認する。 ① 疑似標的型攻撃メールの準備 ② 疑似標的型攻撃メールを送付 添付ファイルを開いてしてしまったユーザには注意喚起文面が表示される ③ 全体に訓練の実施報告と注意喚起の実施 ④ しばらく期間をおく ⑤ 再度別文面で疑似標的型攻撃メールを送付 24 AppLocker の技術概要, http://technet.microsoft.com/ja-jp/library/hh831440.aspx 45 ⑥ 1 回目と 2 回目の開封結果の変化を確認 訓練によって、2 度のメール送付にて送付された一人ひとりのソーシャルエンジニアリン グへの耐性が向上するだけでなく、受信時及び開封時の組織として必要な対応を確認する など、複数の効果が期待できる。 IT セキュリティ予防接種のアプローチを確立した、一般社団法人 JPCERT コーディネー ションセンターは IT セキュリティ予防接種を複数企業で実施しており、その報告書25内で のメール例を示している。IT セキュリティ予防接種では、このような時期に合わせた内容 から、組織に特化した内容様々な文面でメールを送ることで、様々なパターンでの耐性を 身に付けることが可能となる。 表 17: IT セキュリティ予防接種のメール例 件名 緊急!新型インフルエンザ強毒化の恐れ 差出人 インフルエンザ対策委員会<[email protected]> 本文 新型インフルエンザの登場以来、感染力は強いものの、毒性が比較 的弱いことが指摘されて来ました。 しかし、ついに強毒型の新型インフルエンザが出現し、急速に罹患 者を拡大している模様です。 そこで、各位におかれましては、添付の「すぐできるインフルエン ザ対策」を参考に、改めてインフルエンザ対策を強化していただき ますようにお願いいたします。 新型インフルエンザ対策は初動が大切です。日本発のパンデミック (世界流行)を起こさないために、今こそ行動が求められています。 インフルエンザ対策委員会 添付ファイル すぐできるインフルエンザ対策.doc その結果、図 22 のような開封率減少傾向が得られており、標的型攻撃対策として機能す ることが分かる。 IT セキュリティ予防接種調査報告書 2009 年度 - 研究・調査レポート, http://www.jpcert.or.jp/research/inoculation2009.html 25 46 図 22: IT セキュリティ予防接種のメール開封率の変化 (引用元: http://www.jpcert.or.jp/research/2011/inoculation20110309.pdf) また、IT セキュリティ予防接種を簡単に実施できるようにするため、JPCERT コーディ ネーションセンターは疑似標的型攻撃メール作成ツールキットの無償提供を行っている26。 また、IT セキュリティ予防接種サービスとして全行程を請け負うサービスも存在する。 2.4.2. 情 報 セ キ ュ リ テ ィ 関 連 資 格 取 得 の 義 務 化 従業員の全体又は特定の専門部署における IT リテラシーや情報セキュリティ意識・知識 を一定水準に引き上げる方法として、資格取得の義務化が考えられる。一般企業における 重要性は高くないものの、日本政府や日本の重要インフラ事業者、防衛産業、情報セキュ リティに関連した企業等において非常に重要な要素となってくる。 表は、情報セキュリティに関連する幅広い知識を要求する代表的な資格である。 26 情報処理推進機構 情報セキュリティスペシャリスト27 標的型メール攻撃に関する注意喚起, http://www.jpcert.or.jp/at/2011/at110028.html 27 情報処理推進機構:情報処理技術者試験センター:情報処理技術者試験制度:制度の概 要, http://www.jitec.ipa.go.jp/1_11seido/sc.html 47 (ISC)2 CISSP28/SSCP29 ISACA CISM(公認情報セキュリティマネージャー)30 CompTIA Security+31 米国政府では資格取得義務化に積極的な姿勢を見せており、国家安全保障局、国防総省に おいて CISSP の取得を義務化している32。また、(ISC)2 の調査によると、CISSP 認定保持 者の所属組織においても、表 18 のとおり国防や重要インフラに関わる組織が上位にランク インしている。 表 18: CISSP 認定保持者の所属組織ランキング 順位 組織名 1 United States Department of Defense 2 IBM 3 Booz Allen Hamilton 4 Cisco 5 Microsoft 6 Lockhead Martin 7 Symantec 8 Deloitte 9 General Dynamics 10 SAIC 11 Northrop Grumman 12 Raytheon 28 (ISC)2 Japan , https://www.isc2.org/japan/what_index.html 29 (ISC)2 Japan , https://www.isc2.org/japan/other_sscp.html 公認情報セキュリティマネージャー (CISM: Certified Information Security Manager), http://www.isaca.gr.jp/cism/ 30 認定資格の種類と概要-改訂 CompTIA Security+ : CompTIA JAPAN (コンプティア 日本支局), http://www.comptia.jp/cont_certif_securityplus_sy0-301.html 31 32 (ISC)2 Japan https://www.isc2.org/japan/what_world.html 48 2.5. ま と め 本項では外部からユーザまでの各階層における対策を示してきた。それぞれの対策とそ の効果をまとめると表 19 のようになる。効果においては、現状の脅威として最も大きい標 的型攻撃への影響度を優先して 3 段階表示をしている。導入・運用コストにおいては、サ ービスや製品の金額及び、作業量を鑑み 3 段階で示している。 表 19: 対策のまとめ 階層 ゲート 対策 DDoS 検知 概要 効果 DDoS 通信を検知し DDoS 通 導入 運用 コスト コスト 低 高 中 中 高 高 中 低 低 高 高 高 中 高 中 高 高 低 高 中 低 高 低 低 信のみを遮断する。 ウェイ アプリケーション 通信元のアプリケーションを ベースのファイア 判定して通信制御を行う。 ウォール サーバ 送信ドメイン認証 メールの送信元を確認し、な りすましメールを機械的に見 抜く。 Sandbox モデルに 安全な環境下でファイルを開 よるファイルの確 き、マルウェアかどうかを判 認 定する。 Contents Delivery Web コンテンツ配信経路を最 Network 適化し、アクセス過多による Web サイト停止を防ぐ。 端末 Windows 7 以降の よりセキュリティ機能が強化 OS された OS を使用し、耐性を 高める。 EMET 脆弱性を悪用された場合の影 響を最小化し、マルウェア感 染等を食い止める。 各種ソフトウェア 悪用されやすい機能を予め無 効化することで、攻撃成功率 49 機能の無効化 を下げる。 ソフトウェア制限 ソーシャルエンジニアリング ポリシー によって人が誤ってマルウェ 中 中 低 中 低 低 高 中 低 アを実行してしまうことを防 ぐ。 人 IT セキュリティ 疑似標的型攻撃メールを送付 予防接種 することで、人の意識を高め、 組織の体制を確認する。 情報セキュリティ 国内資格・海外資格による IT 関連資格の取得義 リテラシー及びセキュリティ 務化 意識・知識を必要最低限のレ ベルまで向上させる。 これらのそれぞれ対策を行っていくことで、2 章で挙げた脅威による被害を最小限に抑え ることが可能となる。しかしながら、すべての対策を同時に実施することは簡単ではない ため、対策を行う際には、何の対策なのか目的を明確にすると共に、その効果を確認し費 用対効果の高いものから対策していくことが推奨される。 50 3. 各 国 に お け る 対 策 サイバー攻撃は年々増加・高度化しており、各組織での防御策のみでは攻撃を減らすこ とはできない。世界各国では、このようなサイバー攻撃をなくすための国レベルでの対策 に乗り出している。 3.1. サ イ バ ー 攻 撃 へ の 対 応 サイバー攻撃(犯罪)への対応として、サイバー攻撃や犯罪に立ち向かう基盤となる体 制整備が必要となる。その上で、サイバー攻撃への直接的な対応が可能となる。 日本をはじめとした世界各国では、政府の体制整備を軸に、情報共有といった間接的な 活動や、攻撃者が使用するインフラそのものを停止するといった直接的な活動が行われて いる。 3.1.1. 日 本 に お け る 事 例 日本国内では、サイバー攻撃の対応に関わる政府組織として内閣官房情報セキュリティ センター(NISC)や防衛省、警察庁などが存在している。また、サイバー攻撃にて発生し たインシデントへの対応をサポートする組織として情報処理推進機構や JPCERT コーディ ネーションセンター等が存在しており、サイバー攻撃への対応を行っている。 この状況下において、近年実施された、又は実施予定のサイバー攻撃関連の対策活動を 以下に挙げる。 サイバー攻撃対応部隊の新設 防衛省は、サイバー攻撃への対応をより強固なものとするため、自衛隊指揮通信システ ム隊に「サイバー空間防衛隊(仮)」の新設を予定している。サイバー空間防衛隊は当初 平成 24 年度に 60 名程度で編成される予定であったが、計画が見直され、より強固な基盤 を整備した上で平成 25 年度に新設される予定となっている33。 33 防衛省・自衛隊:情報通信・情報保全, http://www.mod.go.jp/j/approach/others/security/cyber_security_sisin.html#adx2 51 警察庁でも同様に、増加の一途であるサイバー犯罪への対応基盤を拡大するため、平成 25 年度に向け警察庁サイバーセキュリティ重点施策を発表している34。その中で、「サイ バー攻撃対策官」及び「サイバー攻撃対策隊」の新設を発表している。 官民の情報共有の枠組みの構築 現在では、それぞれの組織・部隊が単独で情報収集を行うだけでは、増加・高度化する サイバー攻撃・犯罪を迅速に把握し対応することが困難な状況となっている。 そこで、警察庁ではインフラ事業者・セキュリティサービス事業者間による情報共有の 枠組みの整備を進めている。現在までに下記の情報共有の枠組みが整備されており、それ ぞれが相互に作用し合うことによって図 23 のようにサイバー攻撃・犯罪に対応しようとし ている35。 サイバーインテリジェンス情報共有ネットワーク サイバーインテリジェンス対策のための不正プログラム対策議会 サイバーインテリジェンス対策のための不正通信防止協議会 34 警察庁サイバーセキュリティ重点施策, https://www.npa.go.jp/keibi/biki3/20120906kouhou.pdf サイバーインテリジェンスに係る最近の情勢(平成 24 年上半期)について, http://www.npa.go.jp/keibi/biki3/20120823kouhou.pdf 35 52 図 23: 警察庁を中心とした情報共有の枠組み (引用元: https://www.npa.go.jp/keibi/biki3/20120823kouhou.pdf) また、警察庁の取り組みとは別に、経済産業省はサイバー攻撃による被害拡大防止を目 的として、2011 年 10 月 25 日に重要インフラ事業者の情報共有と早期対応の場である、サ イバー情報共有イニシアティブ(J-CSIP)を発足している36。J-CSIP は 9 社のメンバー企 業と経済産業省、JPCERT コーディネーションセンター、日本情報システム・ユーザー協 会、情報処理推進機構で構成されており、情報共有だけにとどまらず、被害拡大防止のた めの社内のインシデント対応チーム(CSIRT)の設置や強化の支援も行われている。 ボット対策推進事業 2000 年ごろから日本にとっての大きな脅威として捉えられていたボットへの対策として、 総務省及び経済産業省主導の対策事業が実施され、サイバークリーンセンターとして活動 36 情報処理推進機構:情報セキュリティ:J-CSIP, http://www.ipa.go.jp/security/J-CSIP/index.html 53 を行った37。この事業では、ボット感染被害を減らすことを目的とし、図 24 の組織構成で 官民が連携した大規模な対策が実施された。 図 24: サイバークリーンセンターの体制図 (引用元: https://www.ccc.go.jp/ccc/index.html) サイバークリーンセンターでは、図 25 のように、ボットに感染し意図せず攻撃者となっ ているユーザの特定と注意喚起、入手したマルウェアの解析と駆除ツールの作成、民間ウ イルス対策ソフトベンダへの検体提供を行うことで、感染ユーザを減らしていくことを主 に活動してきた。 CCC |サイバークリーンセンター https://www.ccc.go.jp/index.html 37 ~今すぐ感染の有無をチェック!~, 54 図 25: サイバークリーンセンターの活動 (引用元: https://www.ccc.go.jp/report/h21ccc_report.pdf) また、その他の対策アプローチを模索し、収集した検体に関する知見を様々な場所で共 有する等、学術活動等の支援も行っていた。代表的な活動として、マルウェア対策研究人 材育成ワークショップ38が挙げられる。結果として、ボット対策推進事業は感染者を減らす だけにとどまらず、日本全体のサイバー攻撃対応力の向上に貢献した。 ボット対策推進事業は 2006 年から 2011 年 3 月まで行われ、現在終了しているものの、 サイバー攻撃への対策として重要な活動であるとの認識から、現在では民間にて CCC 運営 連絡会39として継続して活動が続けられている。 マルウェア対策研究人材育成ワークショップ 2012 (MWS 2012), http://www.iwsec.org/mws/2012/ 38 マルウェア対策研究人材育成ワークショップ 2012 (MWS 2012), http://www.iwsec.org/mws/2012/about.html 39 55 3.1.2. 諸 外 国 に お け る 事 例 諸外国でも、日本とは異なるアプローチにて国としてのサイバー攻撃(犯罪)への対応 環境の整備や、世界中に影響するサイバー攻撃のテイクダウン活動が行われている。ここ では、近年行われている他国・企業等における活動を取り上げる。 米国におけるサイバーセキュリティ戦略 2009 年からのオバマ政権では、サイバーセキュリティ対策を重視しており、発足後に現 状の政策の問題点を洗い出すためにサイバースペース政策レビュー40を行った。このレビュ ーの結果を受け、以降様々なサイバーセキュリティに関する取り組みが行われている41。具 体的には、下記の取り組みが挙げられる。 表 20: 近年の米国におけるサイバー攻撃の対応に関わる取り組み 時期 取り組み 2009 年 12 月 ホワイトハウスにサイバーセキュリティ調整官の新設 2010 年 3 月 2008 年に策定された包括的国家サイバーセキュリティ イニシアチブの改定 2010 年 5 月 サイバー軍42の新設 2010 年 9 月 国家サイバー攻撃対応計画の発表 2011 年 5 月 サイバー空間のための国際戦略43の発表 2011 年 8 月 国家サイバーセキュリティ教育戦略計画の発表 2011 年 12 月 連邦サイバーセキュリティ研究開発戦略計画の発表 Cyberspace Policy Review - The White House, http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf 40 米国におけるサイバー犯罪に対する戦略動向 - DIGITAL GOVERNMENT, http://e-public.nttdata.co.jp/topics_detail2/id=683 41 U.S. Cyber Command Fact Sheet - US Department of Defense, http://www.defense.gov/home/features/2010/0410_cybersec/docs/CYberFactSheet%20U PDATED%20replaces%20May%2021%20Fact%20Sheet.pdf 42 サイバー空間のための国際戦略 (INTERNATIONAL STRATEGY FOR CYBERSPACE) , www.bsk-z.or.jp/info/pdf/24-1shousassi.pdf 43 56 韓国におけるサイバー安保マスタープラン 韓国では、2009 年 7 月 7 日及び 2011 年 3 月 4 日に韓国政府を含む複数組織に対し、大 規模なサイバー攻撃が発生した。その攻撃内容は DDoS やスパムメール、マルウェア感染 と多岐に渡り、結果として Web サイトの閲覧障害や情報窃取等の大規模な被害をもたらし た。 このような事件の再発を防止するため、韓国では 2009 年 8 月以降コントロールタワー構 築をはじめ自国のインシデント対応体制の整備を行ってきた44。 図 26: コントロールタワー構成図 サイバー安保マスタープランはこの対応の一環であり、2011 年 8 月に発表された韓国の 政府・重要インフラの安全性を高めるための施策である45。サイバー安保マスタープランに より、サイバー攻撃の予防・検知・対応及びサイバー安全保障の制度や基盤作りが進めら れている。 44 韓国における情報セキュリティのケーススタディ, http://www.iwsec.org/mws/2012/presentation/2A4-1-slide.pdf National Cyber Security Masterplan, http://service1.nis.go.kr/eng/120802_masterplan_eng.pdf 45 57 また、サイバー安保マスタープランに基づき、マルウェア拡散防止等に関する法律につ いての議論が行われている。2011 年 4 月 18 日に韓国国会に上程された法律案であり、感 染端末の強制遮断だけでなく、マルウェアの強制駆除等を盛り込んだ内容となっている。 現時点では反対が強く可決されるには至っていない。 Microsoft 社のボットネット対策 マルウェアの動作するプラットフォームとして最も多いのは Windows である。 Microsoft 社はそのようなマルウェアの中でも犯罪行為に繋がるボット及びボットネット対策を継続 して行っており46、法務執行機関を含む関係組織との連携によるボットネットテイクダウン 活動はこれまでで 9 件にのぼる。表 21 はそれぞれの活動の詳細である47。 表 21: Microsoft 社のボットネットテイクダウン活動 時期 ボット名 備考 (活動名) 2010/02/22 Waledac 1 日当たり 15 億通以上のスパムメール送信に悪用さ (Operation b49) れていたボットネットをテイクダウン 2010/10/25 Bredolab オランダ当局ハイテク犯罪チーム主導。ボットネッ トの停止の他、追加コマンドを送信し、コンピュー タが感染していることを表示するプログラムをダウ ンロードさせてユーザに通知 2011/04/11 Coreflood FBI 主導のオペレーション。感染した PC に対して マルウェアの停止コマンドを送信 2011/03/17 Rustock 全スパム流通量の 47.5%とされる 1 日当たり 300 億 (Operation 通以上のスパムメール送信に利用されていたボット b107) ネットをテイクダウン 2011/09/27 Kelihos スパムの大量送信、個人情報の窃盗、DDoS 攻撃に (Operation b79) 利用されていたボットネットをテイクダウン Virus and Security Solution Center, http://support.microsoft.com/contactus/cu_sc_virsec_b107 46 47 Botnet Takedown 事例, http://www.iwsec.org/mws/2012/presentation/2A3-3-slide.pdf 58 2012/03/19 ZeuS 5 億ドルに上る被害をもたらしている Zeus、 (Operation B71) SpyEye、Ice-IX をテイクダウン 2012/09/13 Nitol 市場で販売されているコンピュータから検出された Nitol ボットネットをテイクダウン マルウェアの駆除、C&C サーバの個別テイクダウン活動のみでは、攻撃者がまた別の感 染者や C&C サーバを用意することになり、ボットネットそのものを無くすことは困難を極 める。そこで、これらの活動ではそのようなアプローチに終始することをせず、下記の取 り組みを積極的に行うことで、ボットネットの一斉テイクダウンを行った。 Fast-Flux となっているドメイン名の停止 アメリカ合衆国連邦裁判所による一方的な仮処分 ハーグ条約に基づいて、中国法務省への依頼 被告人名不詳としての起訴、及びサーバの押収 ドメイン名の自動生成機能対策 アルゴリズムを解析した結果得られたドメイン名を Microsoft 社が購入 DNS Changer の停止措置 DNS Changer は 2005 年に確認されたマルウェアであり、その名の通り感染端末の DNS 設定を書き換えることで正常な通信に見せかけて偽物のサーバに接続しようとする。偽物 のサーバに誘導されるのは特定の検索エンジンサイトなど 14000 サイトにも及び、偽サイ トに誘導された後には偽ウイルス対策ソフトのダウンロード・実行・金銭詐取といったこ とが行われる。その感染端末数は 400 万台にも及び大きく注目を浴びた。 このような状況を打破するため、FBI を筆頭に DNS Changer の犯人逮捕及びそのイン フラの停止・そして感染者への被害を最小限に防ぐための対応が、国をまたぐ多数の組織 の協力の下に行われた4849。DNS Changer 対応を時系列にまとめたものを表 22 に示す。 48 DCWG | DNS Changer Working Group, http://www.dcwg.org/ DCWG(DNS Changer Working Group)における連携について, http://www.iwsec.org/mws/2012/presentation/2A3-1-slide.pdf 49 59 表 22: DNS Changer に関する出来事 時期 内容 2006 年 トレンドマイクロ社による犯人グループの把握 2008 年 DNS Changer のインフラ停止を目的としたインシデント対応が行わ れる 2008 年 9 月 カリフォルニアのホスティング業者 Atrivo が操業停止 2008 年 10 月 エストニアのドメイン業者 Estdomains が ICANN のレジストラ契約 を停止される 2011 年 11 月 FBI、オランダ警察、エストニア警察の協力により犯人グループを逮 捕 この一連の活動において重要な点は、犯人グループの逮捕により DNS Changer による被 害拡大は阻止された後も、DNS Changer のインフラ停止によって感染者がインターネット 接続できなくなってしまう問題に対応した点にある。FBI をはじめとして、各国の National CSIRT 及び ISP 等の連携により、DNS Changer のインフラ停止後にもインターネット接 続可能な状態、 そして感染通知による感染者撲滅のための活動が 8 ヶ月に及んで行われた。 以下は DNS Changer による感染数の推移である。国境を超え各組織がそれぞれのできる 活動によって被害を最小限に抑えることができた事例となった。 60 図 27: DNS Changer の感染者数の推移 (引用元: http://www.dcwg.org/last-day-of-dcwg-data/) 3.2. サ イ バ ー 犯 罪 に 関 す る 法 制 度 ハクティビズムを除く現在の多くのサイバー攻撃は、不正アクセスからの情報窃取とい った犯罪行為を含む場合が多い。サイバー攻撃対応を行い、その防御やテイクダウン等の 活動だけでは、犯罪者が次の手段を用いて攻撃を継続してしまうため、犯罪者を取り締ま らなければならない。ここでは、近年のサイバー攻撃に関わる犯罪者を取り締まる法律に ついて着目し、整備状況と適用状況について述べる。 3.2.1. 日 本 に お け る 取 り 組 み 日本では、不正アクセス禁止法が以前から施行されているが、サイバー攻撃の増加・高 度化に伴いサイバー犯罪に関わる条約の批准、それに伴う各種法改正を進めている。 61 サイバー犯罪に関する条約 サイバー犯罪に関する条約5051は、インターネットの普及に伴い、国境を超えて行われる ようになったサイバー犯罪に、国際的に協調して対応していくために成立した国際条約で ある。欧州評議会にて問題提起・案文の作成が行われ、2001 年に欧州評議会にて正式に採 択された。2004 年には批准国が規定数に到達し、効力を発揮することとなった。 日本は 2001 年の署名式典に参加し署名を行い、2004 年に国会で批准の承認を得たもの の、サイバー犯罪に関する条約における国内法の整備がなされておらず、効力の無い状態 が続いていた。2011 年 6 月に情報処理の高度化等に対処するための刑法等の一部を改正す る法律案が成立し、国内法が整備されたことから、2012 年 11 月 1 日に日本国について効 力が生じることとなった。 下記はサイバー犯罪に関する条約に批准するため、2011 年 6 月に情報処理の高度化等に 対処するための刑法等の一部を改正する法律案52にて改正された内容である。 刑法の一部改正 不正指令電磁的記録に関する罪の新設 わいせつ物頒布等の罪(刑法 175 条)の処罰対象の拡充 電子計算機損壊等業務妨害罪(刑法 234 条の 2)未遂の処罰 刑事訴訟法の一部改正 接続サーバ保管の自己作成データ等の差押えの導入 記録命令付差押えの新設 電磁的記録に係る記録媒体の差押えの執行方法の整備 電磁的記録に係る記録媒体の差押えを受ける者等への協力要請の規程の整備 通信履歴の電磁的記録の保全要請の規程の整備 電磁的記録の没収に関する規程の整備 組織的犯罪処罰法の一部改正 第三者所有物没収手続応急措置法の一部改正 Convention on Cybercrime - CETS No.: 185, http://conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=185&CL=ENG 50 51 外務省: サイバー犯罪に関する条約, http://www.mofa.go.jp/mofaj/gaiko/treaty/treaty159_4.html 52 法務省:情報処理の高度化等に対処するための刑法等の一部を改正する法律案, http://www.moj.go.jp/keiji1/keiji12_00025.html 62 国際捜査共助法の一部改正 不正アクセス禁止法の一部改正 不正指令電磁的記録に関する罪 サイバー犯罪に関する条例批准のための法改正により、2011 年 7 月 14 日から不正指令 電磁的記録に関する罪(刑法 168 条の 2 及び 168 条の 3)が試行され、マルウェアの作成・ 共用・保管を処罰できるようになった。これにより、マルウェア感染によって発生した被 害はその被害内容に基づいた別の法律を適用して起訴するしか無かった現状(実際に感染 端末のデータを使用不可にするマルウェアの感染被害が出た際には、その作成者を器物損 壊罪にて起訴している53)を解決することが可能となった54。 この罪では、正当な理由無くマルウェアを作成・供用・保管した場合に 3 年以下の懲役 又は 50 万円以下の罰金に処すとされており、施行後から表 23 のとおり数多くの検挙事例 があり、その影響は大きい。 表 23: 不正指令電磁的記録に関する罪に関わる検挙事例 時期 適応部位 2011/07/21 保管罪 概要 岐阜県にて感染したパソコンをフリーズさせて以後の操作 をできなくさせるマルウェアを作成・保管していた男を逮 捕。2010 年春から計 10 回程度、ファイル共有ソフト 「Share」上に漫画の画像データとともに放流し、約 1900 台のパソコンが感染したとみられている。 なお、マルウェア作成時点には施行前であったため、保管 罪のみでの検挙となった。 2011/11/01 供用罪 他人の Web サイトにマルウェアを送信したとして、栃木県 警が岡山市の男を逮捕。供用罪の初適用となった。 男はチャットサイトのユーザだったが、利用をめぐって運 53 ウィルス作成罪-イカタコウィルス器物損壊罪起訴を受けて|知っておかないと損をす る中小企業経営の為の法律情報 法律コラム|J-Net21[中小企業ビジネス支援サイト] , http://j-net21.smrj.go.jp/well/law/column/post_147.html 54 不正指令電磁的記録に関する罪(いわゆるコンピュータ・ウイルスに関する罪):警視 庁, http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku441.htm 63 営者とトラブルになり、チャットサイトを攻撃するために マルウェア(ブラウザクラッシャー)を作成した。 2012/01/18 供用罪 パソコンにアダルトサイトの料金請求画面を繰り返し表示 させるマルウェアを不特定多数に送信したとして、京都府 警サイバー犯罪対策課がネット広告会社「スマートマネー ジメント」代表取締役ら計 6 人を逮捕した。 2012/01/26 供用罪 作成罪による初摘発事例。大阪府の男が CSRF(クロスサ 及び イトリクエストフォージェリ)により、神奈川県に住む Web 作成罪 サイトの共同運営者を陥れようとした。 CSRF であったことから、適用に疑問の声が挙がった。 2012/06/04 供用罪 キーボードで打ち込んだ内容を記録して自動送信するマル ウェアを、元交際相手のパソコンに無断で入れたとして神 奈川県警が会社員の男を逮捕。男はストーカー規制法違反 ですでに起訴されていた。 2012/06/14 供用罪 利用者の電話番号などの情報を勝手に外部に送信すると共 (及び に、架空請求を行うスマートフォンマルウェアを提供した 詐欺罪) 等として、警視庁は容疑者ら男 6 人を逮捕した。 2012/07/04 作成罪 (補導) 「パソコンを強制終了させるウイルス」を自宅のパソコン で作成した 13 歳の中学生を作成罪の非行事実で補導。 マルウェアはいわゆる「ブラウザクラッシャー」で、Web ブラウザで「強制終了してください」と表示されたページ が大量に開かれるものであった。 2012/09/11 供用罪 長野県警はパソコン画面に複数のタコ画像を表示させるマ ルウェアを配布したとして、中学 3 年の男子生徒を書類送 検した。2012 年 4 月に福岡県の男子中学生にダウンロード させた疑いであり、供用罪による少年の初摘発となった。 2012/09/19 供用罪 パソコンのオンラインゲームでトラブルになった広島市の 男性に対し、マルウェアを送信した等として、広島県警高 校 1 年の男子生徒を書類送検した。 64 2012/09/27 作成罪 京都府警はオンラインゲームのパスワード等を盗み出すマ ルウェアを作成したとして、佐賀県内の高校1年の男子生 徒ら 3 人を逮捕した。 男子生徒らは、オンラインゲームで不正をするツールを開 発して販売しており、自身が開発した商品を購入せずに無 料で手に入れようとする利用者を狙っていた。 2012/10/30 保管罪 電話帳のデータを抜き取るスマートフォンマルウェアをサ ーバに保管したとして、京都府警はメール送信業者 「MobyDick」の代表取締役を逮捕した。マルウェアは「電 池長持ち」「無料通話」といった名称であった。 2012/10/30 供用罪 個人情報を無断で外部に送信するスマートフォンマルウェ アを公開していたとして、警視庁はマルウェア作成した「ア ドマック」元会長ら男女 5 人を逮捕。配布したアプリは「ぴ よ盛り the Movie」という名称であった。 この一件は 2012 年 12 月 26 日には嫌疑不十分で不起訴処 分となっており、その対応に疑問の声が多数挙がっている。 2012/11/20 作成罪 及び 電話帳データを抜き取るスマートフォンマルウェアを作成 した等として、京都府警は東京の男 2 人を逮捕した。 供用罪 2012/12/17 供用罪 石川県警は金沢市の男を書類送検した。男は 2012 年 5 月 15 日、知人女性のスマートフォンにマルウェアをインスト ール、マイクやカメラ機能を遠隔操作した疑い。 なお、警察庁では、図 28 のとおり 2012 年の上半期までに不正指令電磁的記録に関する 罪での検挙が 29 件あったことを報告している55。 平成 24 年度上半期のサイバー犯罪の検挙状況等について, http://www.npa.go.jp/cyber/statics/h24/pdf01-1.pdf 55 65 図 28: 不正指令電磁的記録に関する罪の検挙数推移 不正アクセス行為の禁止等に関する法律の改正 フィッシングといった ID やパスワードを窃取する行為が現行法で処罰できないといった 問題点を解決するため、2012 年 3 月に不正アクセス行為の禁止等に関する法律の改正が行 われた。改正により、不正アクセスに至る前の ID・パスワードの窃取行為等を取り締まる ことが可能となった5657。以下は具体的に新設された内容である。 フィッシング行為の禁止・処罰 ID・パスワードの不正取得等の禁止・処罰 不正アクセス行為に係る法定刑の引上げ 情報セキュリティ関連事業者団体に対する情報提供 ID・パスワードの不正取得には、標的型攻撃でも見られるマルウェアを用いた情報窃取 が考慮されており、標的型攻撃による情報窃取も処罰できるようになっている。 改正後には、2012 年 6 月 13 日の改正条項による初摘発から下表に示す事例があり、不 正指令電磁的記録に関する罪と同様にサイバー犯罪の取り締まりに貢献している。 56 不正アクセス禁止法改正の概要, http://www.ipa.go.jp/security/event/2012/ist-expo/documents/preso_02.pdf 57 情報処理推進機構:情報セキュリティ:ウイルス・不正アクセス届出状況について(2012 年 6 月分及び上半期), http://www.ipa.go.jp/security/txt/2012/07outline.html 66 表 24: 改正不正アクセス禁止法に関わる検挙事例 時期 適応部位 概要 2012/06/13 第五条 ゲームサイトに不正アクセスして他人の ID やパスワー 不正アクセス ドを盗み出し、インターネット掲示板で公開したとし 行為を助長す て、京都府警は和歌山市の少年を逮捕した。改正された る行為の禁止 五条が適用された初めての事例となった。 第六条 六条の初めての適用事例。元交際相手が所有する通販サ 他人の識別符 イトの ID とパスワードを不正に入手・保管したとして、 号を不正に保 警視庁は無職の女を書類送検した。なお、女は以前男性 管する行為の のマンションに侵入したとして、住居侵入容疑で逮捕、 禁止 起訴されていた。 第七条 フィッシングサイトを開設したとして、熊本県警は大阪 識別符号の入 府の中学 3 年の男子生徒を検挙した。フィッシング行為 力を不正に要 による検挙は全国初となった。また、千葉県警はフィッ 求する行為の シングサイトを開設するプログラムを公開した石川県 禁止 の中学 2 年の男子生徒を補導した。 2012/09/14 2012/10/30 なお、大阪府の中学 3 年男子生徒は 2012 年 12 月 5 日 に書類送検された。 2012/12/11 第四条 マルウェアを使い、オンラインゲームなどの ID とパス 他人の識別符 ワードを不正に取得したとして、秋田県警は大阪府の高 号を不正に取 校生と愛知県の専門学校生を書類送検した。 得する行為の 禁止 なお、図 29 のとおり不正アクセス禁止法(改正部分以外も含む)による検挙数は 2011 年から減少しているものの、検挙事件数や検挙人員数は横ばいであると警察庁は発表して いる58。 平成 23 年中のサイバー犯罪の検挙状況等について, http://www.npa.go.jp/cyber/statics/h23/pdf01.pdf 58 67 図 29: 不正アクセス禁止法の検挙数推移 デジタルフォレンジック(フォレンジクス) デジタルフォレンジックは、「インシデント・レスポンスや法的紛争・訴訟に対し、電 磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等につい ての分析・情報収集等を行う一連の科学的調査手法・技術のこと」と定義されており59、サ イバー攻撃に関わる訴訟において重要視されている。 日本では、サイバー犯罪に関わる条約への批准のための刑法等の改正により、限られた 領域でデジタルデータを証拠として認めることとしている。また、刑事訴訟法第 99 条では 「コンピュータネットワークなどの電気通信回線に接続する電子計算機の自己作成データ などの差押え」が新設されたことにより、大容量のデータの中から、捜査に関わるデータ のみを捜査機関が差し押さえることが可能となった。 3.2.2. 諸 外 国 の 法 制 度 インターネットが普及している他先進国においても、日本同様サイバー犯罪条約の批准 等を理由に法改正の動きがあった。 59 デジタル・フォレンジック研究会, http://www.digitalforensic.jp/wdfitm/wdf.html 68 サイバー犯罪条約批准国の増加 3.2.1 で述べたサイバー犯罪条約は、日本だけでなく他国においても対応が行われている。 2010 年以降だけを見ても、他国の内表 25 のとおり 10 カ国においてサイバー犯罪条約の効 力が生じている。2013 年 1 月現在では、38 カ国が批准している60。 表 25: 2010 年以降におけるサイバー犯罪条約に批准した国 国名 批准時期 効力の発生時期 モンテネグロ 2010 年 3 月 3 日 2010 年 7 月 1 日 アゼルバイジャン 2010 年 3 月 15 日 2010 年 7 月 1 日 ポルトガル 2010 年 3 月 24 日 2010 年 7 月 1 日 スペイン 2010 年 6 月 3 日 2010 年 10 月 1 日 イギリス 2011 年 5 月 25 日 2011 年 9 月 1 日 スイス 2011 年 9 月 21 日 2012 年 1 月 1 日 マルタ 2012 年 4 月 12 日 2012 年 8 月 1 日 グルジア 2012 年 6 月 6 日 2012 年 10 月 1 日 オーストリア 2012 年 6 月 13 日 2012 年 10 月 1 日 ベルギー 2012 年 8 月 20 日 2012 年 12 月 1 日 一方で、条約内容に反対する国も存在している。代表的な国は中国とロシアであり、下 記事項等を理由にサイバー犯罪条約に反対している61。 欧州評議会を中心とした作成関与国の利害関係が含まれる 国連において作成すべきである 新たなるサイバー犯罪に対応できない内容である 国として、国際協力におけるデータ提供義務等の内容を受け入れられない Convention on Cybercrime - CETS No.: 185, http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=&DF=&CL= ENG 60 61 サイバー攻撃に対する国際社会と日本の取組, http://www.digitalforensic.jp/archives/2011/1105.pdf 69 反対に関連した活動としては、2011 年 9 月 12 日に中国、ロシア、ウズベキスタン及び タジキスタンが「情報セキュリティ国際行動規範」の案を国連に提出したことが挙げられ る62。2012 年 10 月 10 日に開催されたサイバー空間に関するブダペスト会議においても、 中国、ロシアはサイバー犯罪条約でなく情報セキュリティ国際行動規範を規範作りのたた き台とするべきとの主張を行っている63。 オーストラリアにおけるサイバー犯罪関連法制度の改正 サイバー犯罪条約に批准していないオーストラリアでは、サイバー犯罪条約の批准に向 けた取り組みを 2011 年ごろから開始し、下記の法律の改正を行った6465。 1979 年通信法 1987 年刑事事件相互支援法 1995 年刑法典 1997 年通信法 この改正の結果として、刑法上でのサイバー犯罪の範囲を拡大されると共に、通信事業 者は法執行機関等からの要請に備え、通信データを最大 90 日間保存する義務を課せられる こととなった。また、海外の法務執行機関との捜査協力を行うための、手続きの簡略化や データ利用範囲の拡大が行われた。 なお、改正法は 2012 年 9 月 12 日に制定され、2012 年 10 月 10 日から施行されている。 2013 年 1 月現在ではサイバー犯罪条約の批准が達成されていないものの、今後批准及び効 力発生の動きがあると推察される。 China, Russia and Other Countries Submit the Document of International Code of Conduct for Information Security to the United Nations, http://www.fmprc.gov.cn/eng/zxxx/t858978.htm 62 63 外務省: サイバー空間に関するブダペスト会議, http://www.mofa.go.jp/mofaj/gaiko/soshiki/cyber/cyber_1210.html Cybercrime Legislation Amendment Bill 2011 - Parliament of Australia, http://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results /Result?bId=r4575 64 65 【オーストラリア】 サイバー犯罪条約加盟, http://dl.ndl.go.jp/view/download/digidepo_3948093_po_02530210.pdf?contentNo=1 70 4. お わ り に 第 2 章で述べた標的型攻撃をはじめ、日常的に行われているサイバー攻撃による被害を 減らす為には、第 3 章で挙げた被害者にならないための対策と、第 4 章で挙げたような攻 撃者(犯罪者)を減らす取り組み両方が必要となる。 4.1. 防 衛 産 業 へ の 提 言 このような状況下において我が国日本の防衛機密漏えい等を防ぐため、関係組織は保有 する機密情報を明確に把握した上で、前述の内容を踏まえた下記の点を満たす体制を構築 することが望まれる。 1. 基本的対策の徹底 近年見られているような攻撃に特化した対策は、基本的対策を十分に実施した環境で実 施しなければ十分な効果は得られない。そのため、下記に代表される基本的な対策を実施 しているかどうか再度確認し、近年見られる攻撃だけでない様々な攻撃に対し最低限対抗 できる状態を確保・維持しなければならない。 OS 及びソフトウェアの更新及びその管理システム アップデートが出来ない場合の対応策 脆弱性診断 ウイルス対策ソフト導入及び更新 リアルタイムスキャンの有効化 スパムフィルタ等も含む 一般的なネットワーク機器(ファイアウォールや IDS/IPS 等)の導入及び監視 業務上不必要なアクセスの遮断、内外の攻撃に関わる通信の検知・遮断 アクセス制御 権限の設定と、それに合わせた各種アクセス制御 ソフトウェアの制限ポリシー 情報セキュリティポリシー策定 組織としての情報セキュリティに関する体制整備 従業員教育の実施 71 2. 近年の攻撃に合わせた対策の実施 基本的対策の後、近年の攻撃に合わせた第 3 章で述べた対策を検討し実施する。なお、 特に人に依存しない技術的対策の内、効果が非常に高く且つ無償で(作業コストを除く) 実施可能である EMET や各種ソフトウェア機能の無効化はすみやかに実施すべきである。 なお、技術的対策が十分に出来たとしても人の脆弱性は残り続けるため、予防接種をは じめとした攻撃動向に関する教育については一度ではなく継続的に行わなければならない と言える。 3. 情報発信・共有の取り組みの実施 標的型攻撃を筆頭に、近年の特定組織を狙ったサイバー攻撃は、その全貌が非常に見え づらくなっている。そのため、これらのサイバー攻撃を根本から断つためにはその情報を 積極的に共有していく必要がある。具体的には、下記に示すような取り組みが必要とされ る。 被害予防としての、関係事業者間でのサイバー攻撃関連情報の共有 インシデント対応や犯罪の取り締まりのための、関係機関へのサイバー攻撃情報の 届け出 これら情報発信・共有の取り組みを、実際のサイバー攻撃が発生した際に円滑に行える よう、業界全体及び関係機関との連携や連絡手段を確立させておくことも重要である。 4. 継続した情報収集 サイバー攻撃手法は年々高度さを増しており、過去の主流であった単純なネットワーク 経由の攻撃から、現在の標的型攻撃のようなアプローチへと進化してきた。このような傾 向は継続して見られることが予想でき、今回述べた対策では効果の無い脅威の出現も考え られる。そのため、新たな脅威の出現及び適切な対策方法を可能な限り早いタイミングで 知るための情報収集活動が必要とされる。 72 また、このような情報収集にかかるコストを減らすための、脅威と対策の取りまとめを、 情報セキュリティに関わる組織が 1 年といった間隔で実施・集約・蓄積していくことが望 まれる。 以上 73 平成21~24年度発刊資料 BSK 第22- 1号『標 的 に さ れ る 合 衆 国 技 術』 BSK 第22- 2号『我 が 国 を め ぐ る 兵 器 技 術 情 報 管 理 の 諸 問 題 (平 成 21 年 度 ) 』 BSK 第22- 3号『カウンターインテリジェンスの最前線に位置する防衛関連企業の対策について(平成 21 年度)』 BSK 第22- 4号『新 し い 防 衛 調 達 モ デ ル の 探 索 的 調 査 研 究 ( そ の 3 )』 BSK 第22- 5号『中華人民共和国のサイバー戦とコンピュータ・ネットワーク・エクスプロイテーション能力』 『米 中 経 済 安 全 保 障 調 査 委 員 会 議 会 報 告 2009 か ら 抜 粋』 BSK 第23- 1号『セ キ ュ リ テ ィ 計 画 立 案 の ガ イ ド』 BSK 第23- 2号『サ イ バ ー ス ペ ー ス 政 策 の 再 検 討』 BSK 第23- 3号『我 が 国 を め ぐ る 諸 外 国 の 技 術 情 報 等 の 取 得 活 動 と 波 及 問 題』 BSK 第23- 4号『グローバル IT 社会におけるサイバーセキュリティの脅威に対するリスクマネジメントについて(平成22年度)』 BSK 第23- 5号『わ が 国 の 防 衛 調 達 改 革 に お け る C P T 実 現 の た め の 調 査 研 究』 BSK 第24- 1号『サ イ バ ー 空 間 の た め の 国 際 戦 略』 BSK 第25- 1号『情報優位の獲得:コンピュータ・ネットワーク作戦及びサイバースパイ活動のための中国の能力 』 BSK 第25- 2号『防 衛 産 業 基 盤 セ ク タ ー 計 画』 BSK 第25- 3号『情 報 セ キ ュ リ テ ィ の 現 状 と 動 向 に つ い て 』 情 報 セ キ ュ リ テ ィ の 現 状 と 動 向 に つ い て (24年度) 平成25年2月 発行 非 売 品 禁 無 断 転 載・複 製 発 行 :lpl 公 益 財 団 法 人 編 集 : 防衛調達研究センター刊行物等編集委員会 〒160-0003 電 話 : 防衛基盤整備協会 東京都新宿区本塩町21番3-2 03-3358-8754 FAX : 03-3358-8735 メール : [email protected] 74 BSKホームページ: htt p :/ /w w w .b s k - z.o r.j p 本報告書の中で意見にわたるものは、委託研究先の見解であることをお断りし ておきます。 75
© Copyright 2026 Paperzz
