SQAT Security Topics

S.Q.A.T. Security Topics
March 2012
Vol.39
INDEX
・ 2011 年の情報漏えいインシデントの 85％は攻撃が原因～ Verizon 調査
・深まるモバイル端末への脅威、ユーザはさらなる注意を
・多目的に利用可能な APT、いかに早く気付けるかが重要な鍵
・米 VISA、スパム業者の収益モデルを潰すための取り組みを開始
2011 年の情報漏えいインシデントの 85％は攻撃が原因～ Verizon 調査
米 Verizon は 2012 年 2 月 29 日、同社が 2011 年に調査した情報漏えい・侵害インシデントに関す
る年次報告書「Data Breach Investigation Report」の概略版を公開した。同書によれば、2011 年に
おける情報漏えい・侵害インシデントの約 85％は攻撃によるもので、それらの約 90％は外部に第三
者によって実行されていた。内部犯行(従業員やビジネスパートナー)が原因の事件は、年々減少の傾
向にあり、2011 年においては 5％にも満たなかったという。
業界別に見ると、最も影響を受けたのは小売業、金融業、およびサービス業で、これについては前
年と変わっていない。また、攻撃の動機は依然として金銭狙いが主だが、「ハクティビズム」に関連
した攻撃の増加が目立った。
攻撃の手口としては、ハッキング(86％)とマルウェア(57％)が全体の大半を占め、多くのケースに
おいて複数の手口が使用されていた。攻撃に使用された具体的な手口のトップ 10 は次のようになっ
ている。
1 位：既知または推測が容易なパスワードの悪用(29％)
2 位：バックドア型マルウェアのインストール(26％)
3 位：盗んだログイン認証情報の悪用(24％)
4 位：バックドアや C&C 通信を利用したハッキング攻撃(23％)
5 位：キーロガー、入力フォーム窃取ツール、スパイウェア等の使用(18％)
6 位：外部へデータを送信するマルウェアの使用(17％)
7 位：システムユーティリティ/ネットワークユーティリティの悪用(14％)
8 位： SQL インジェクション(13％)
9 位：システム上に常駐しているデータ(キャッシュ等)の奪取(9％)
10 位：ダウンローダ型マルウェアの使用(9％)
Copyright©BroadBand Security, Inc.
2
また、攻撃の対象として最も狙われたのはサーバで全体の 90％を占めた。特に POS サーバ、Web
サーバ、アプリケーションサーバ、データベースサーバに対する攻撃が多く見られた。ユーザデバイ
スの中では、デスクトップ PC、ノート PC、POS 端末が最も狙われた。
情報漏えい・侵害インシデントが発覚するまでの期間については、過去の調査結果同様、大半の組
織において数ヶ月、場合によっては数年を要していることが明らかになった。つまり、顧客情報や機
密情報など、組織の重要情報はそれだけ長い期間脅威に晒されていたことになる。さらに組織自身が
インシデントに気付いたケースは全体の 20％に留まり、77％は漏えいした情報を悪用した詐欺行為の
発生、またはユーザからの連絡による発覚が占めた。
2011 年に発生した約 850 件の情報漏えい・侵害インシデントを分析した正式版の年次報告書は近
日リリースされる予定である(通常 4 月)。それには、同社の調査結果に加えて、米シークレットサー
ビスやロンドン警視庁、アイルランドの CERT、オランダハイテク犯罪ユニット、オーストラリア連
邦警察といった各国捜査機関の調査・分析結果も盛り込まれるという。
Verizon：http://www.verizonbusiness.com/
Copyright©BroadBand Security, Inc.
3
深まるモバイル端末への脅威、ユーザはさらなる注意を
フィンランドのセキュリティ企業 F-Secure より、モバイ
ル端末に関する脅威をまとめたレポート「Mobile Threat
Report」の 2011 年第 4 四半期版が公開された。同レポート
はこれまで同社社内でのみ共有されており、外部に公開され
たのは初めてである。
同レポートによると、Android 端末を狙うマルウェアは引き続き増加の傾向にあり、そのうちの大
半は「トロイの木馬型」マルウェアに分類されるという。攻撃者の目的が金銭狙いであるのは以前と
変わりないが、2011 年第四半期においては有料の SMS にメッセージを勝手に送るマルウェアが頻繁
に出現している。正規アプリの“無料版”に見せかけた不正なアプリをユーザがダウンロードさせて
マルウェアに感染させる手口が最も一般的なようだ。これについては、英 Sophos など、他のセキュ
リティ企業も注意喚起を発している。
F-Secure では、2011 年第 4 四半期に検出された脅威について、
次の 3 つの特徴をもとに分類している。
“迷惑”なソフトウェア
ユーザの望まない、または侵害的な動作をするプログラム。
スパイウェア
秘密裏にユーザの操作状況(検索キーワード、お気に入りサイト、お気に入りアプリなど)
を収集し、収集した情報を外部へ送信したり、ローカルに保存したりするプログラム。
マルウェア
ユーザのシステムやデータに大きなセキュリティ上の危険を及ぼすプログラム。
プラットフォーム(OS)ごとに比較すると、2011 年は Android を狙うマルウェアが最も多く 116 件
で、全体の約 65％を占めた。その後に Symbian の 55 件、J2ME の 5 件、Pocket PC の 2 件と続く。
iOS については 0 件であった。
Android マルウェアについては、既存のマルウェアの亜種が次々と出現していることが確認されて
おり、今後もさらに増えることが推測される。このことから、特に Android OS を搭載したスマート
フォンを利用しているユーザは引き続き注意が必要だとしている。
F-Secure：http://www.f-secure.com/ja/web/home_jp/home
Sophos：http://www.sophos.com/en-us/
Copyright©BroadBand Security, Inc.
4
多目的に利用可能な APT、いかに早く気付けるかが重要な鍵
2011 年に防衛関連や化学メーカー等の重要産業および政府機関が攻撃を受けたことにより、「標的
型攻撃」は国内でも広く認知されることになった。そしてこの標的型攻撃だが、近頃さらに進化を遂
げているという。
これまでの標的型攻撃は、特定の組織のシステムに侵入し、長期間システム内に潜伏し続けること
で機密情報などを盗み取る、いわゆる“諜報型”の攻撃が主流だった。この手の攻撃は、セキュリテ
ィソリューションによる検知を回避する策が講じられていたり、攻撃の性質が執拗であったりするこ
となどから、「APT：高度かつ持続的な脅威」とも呼ばれている。
ところが最近では、金銭目的の攻撃においても、より多くの利益を得ようとするサイバー犯罪者達
の間で APT の手口を利用した攻撃が増加していると、セキュリティ専門家らは警鐘を鳴らす。
また、現在では攻撃の手口がより洗練され、さらに検知が困難になっているという。APT 攻撃では
しばしばマルウェアが使用されるため、マルウェア検出ツール等による対策を実施している企業も多
い。しかし、APT の脅威はマルウェア感染だけに限らない。マルウェア感染は、数ある攻撃手段の一
つでしかない。米情報セキュリティ企業の Mandiant の調査によれば、APT 攻撃において被害を受け
たシステムのうち、マルウェア感染が原因だったのは全体の 54％にとどまっている。
APT の大きな特徴は、ターゲットのシステムにおける潜伏期間の長さである。攻撃者が長期間に渡
ってシステムにアクセスするための手段は様々存在するが、最も一般的なのはバックドアの設置、
Web シェルやリモートアクセスツールの使用、Metasploit Meterpreter(高機能なシェルを起動するペ
イロード)のインストールなどが挙げられる。
攻撃者がシステムへアクセスできる期間が長ければ長いほど被害も拡大するが、Mandiant による
と APT 攻撃の被害を受けた企業のうち、自身で攻撃を検知できたのは全体の 6％のみであったという。
残りの 94％は捜査当局などの外部機関から指摘されてはじめて気付いたケースで、それらの多くは、
攻撃を受けていたことが発覚するまでに一年以上を要していた。
Mandiant は、APT 攻撃を検知するためには、マルウェア検出ツールだけに頼るのではなく、シス
テムにおける“異常な動作”、つまり通常想定している動作とは異なる動作をいち早く発見すること
が重要だと述べた。また、APT 攻撃の発生を産業別にみると、通信産業(23％）、航空宇宙・防衛産
業(18％)、IT 産業(14％)、電子産業(10％)、エネルギー・石油・ガス産業(10％)、その他(25％)となっ
ており、もはや特定の産業のみを狙った攻撃でないことが分かる。
「企業は攻撃を受ける可能性を常に考え、攻撃を受けた場合に、いかに早くそ
れに気付き、適切な対応をとれるかが鍵となるだろう」と、同社は勧告した。
Copyright©BroadBand Security, Inc.
5
米 VISA、スパム業者の収益モデルを潰すための取り組みを開始
スパム業者の収益モデルを粉砕する取り組みの一環として、米 VISA
は、インターネット上で模倣品などを販売する業者の銀行口座を強制的
に閉鎖する方策に打って出た。この方策は、2012 年初めから実施されて
おり、既に大手スパム業者の銀行口座を複数閉鎖しているという。
銀行口座閉鎖までの流れは以下のとおりである。
1．スパム業者等によりインターネット上で模倣品が販売されていることを発見した
企業(または個人)が、International Anti-CounterfeitingCoalition（模倣品防止活
動を行う国際連合：Microsoft、Rolex、Apple などの企業の幹部で構成されたタス
クフォース)に連絡する。
2．連絡を受けた連合は事実関係を調査し、調査結果を VISA に報告する。
3． VISA は、問題のスパム業者が取引している銀行に対し、模倣品売買に使用されて
いる銀行口座の閉鎖を要請する。
4． VISA から要請を受けた銀行は、問題の銀行口座を閉鎖する。
これまでにも同様の取り組みが実施されたこともあったが、その際、銀行側は非協力的だったとい
う。今回、VISA から銀行に対してどのような要請があったかは明らかにされていないが、銀行側が
要請に応じたところをみると、“厳しい要請”が出されたに違いない。
スパム業者の収益モデルには、マルウェアの作成からスパムの送信、被害者のクレジットカード決
済の処理等、約 15 のステップがあるという。各ステップはどれも必要なものだが、中でも“換金”
に係るステップが抜けると大きな打撃を受けてしまう。例えば、使用していたマルウェアが使用でき
なくなった場合、また新たなマルウェアを作成すればよい。ボットネットが閉鎖されたら、また別の
ボットネットを設置すればよい。しかし、クレジットカード決済を処理するための銀行口座が閉鎖さ
れた場合、新たな銀行取引環境を整備するのは簡単ではないという。
VISA の取り組みはまだ始まったばかりだが、既に効果が見られており、今後の展開が大きく期待
されている。
Copyright©BroadBand Security, Inc.
6
S.Q.A.T. Security Topics
発行人
2012 年 3 月号
株式会社ブロードバンドセキュリティ
〒160-0023 東京都新宿区西新宿 8-5-1 野村不動産西新宿共同ビル 4 階
TEL : 03-5338-7417
文責：田澤
http://www.bbsec.co.jp/
本書の全部または一部を無断で複写複製（コピー）することは、著作権法上での例外を除き、禁じられており
ます。本書からの複写をご希望の場合はお手数ですが上記までご連絡下さい。
Copyright©BroadBand Security, Inc.
7
BBSec セキュリティソリューションご紹介
NEW
統合ログ管理/分析サービス ILMS Integrated Log Management Service
昨今の社会問題にも発展している情報漏えい事故に関して、事業継続を行なう上でこの問題を経営の最
重要課題の一つとして捉えている企業が増えています。情報セキュリティに対する脅威が増大し、個人情報
保護法や J-SOX 法の施行、クレジットカードセキュリティ基準 PCI DSS など法令に加え各種セキュリティ規格
においても、システムに起きたことを記録するログ収集の重要性が高まっています。
【お客様の課題】
【サービス概要】
お客様のネットワーク、セキュリティ、サーバシステムから発生する、膨大で多様なフォーマットのログ
を統合管理し、分析を行ないます。発生した障害やセキュリティリスクなどに対する能動的な対応、技
術的な問題点の特定、解決を図るサービスをご提供いたします。
【BBSec ILMS 導入による期待される効果】
■システムの運用業務及びサービス信頼性の保証
z
IT サービスの停止することのない安定的な運用支援を通じた信頼度及び対外イメージの向上
z
システム、ネットワーク、セキュリティシステムの運用高度化によるサービス安定性の確保
z
主要サービスの利用に対する可用性・セキュリティ強化によるサービス信頼度の向上
■ログ管理業務の効率性及び生産性の向上
z
ログの収集、保存、分析、アラーム、レポートの作成の自動化による運用負荷の削減
z
システム、ネットワーク、セキュリティシステム管理者などの各管理者別に最適化されたログ分析を提供
■障害・セキュリティ事故の発生時、迅速な対応支援
z
閾値ベース及びイベントベースのアラーム機能を通じ、障害及び事故発生の際の迅速な通知
z
イベント別の処理状況を記録することにより、業務・担当別に情報共有、共同対応が可能
■システムの運用業務及びサービス信頼性の保証
z
ログ保存のソリューションの検索及び分析の限界を克服
z
ログ分析のソリューションの事後分析及び多重ログの相関関係分析の限界を克服
z
SMS(Service Management System)、NMS(Network Management System)の障害原因把握のための分析
の限界を克服
z
ESM(Enterprise System Manager)の構成や運用(セキュリティ要員、構築費用)の限界を克服
【統合ログ管理分析サービス「ILMS」サービスご紹介 URL】
http://www.bbsec.co.jp/solution/ilms.html
Copyright©BroadBand Security, Inc.
8
Cracker Detect EXOCET サービス概要
2009 年 12 月からガンブラーと呼ばれるドライブバイダウンロード攻撃手法による Web 改
ざん被害が急拡大しております。また、さらなる亜種が増加、進化を続け新たな脅威を生ん
でおります。最新の攻撃では、パターンマッチングなどでの検出を回避するため、動的に生
成される高度に難読化された JavaScript 内に悪意のあるプログラム（マルウェア）へのリ
ンクを埋め込む攻撃手法が主流になっています。こうした進化する攻撃に対して BBSec で
は、新サービス「Cracker Detect EXOCET」にて防御を実践いたします。
【サービス概要】
■改ざんコンテンツの公開を水際で阻止
業界初の FTP プロキシー型のリアルタイム改ざん検知により改ざんコンテンツの公開を防ぎます
■リンク評価にクラウドマーク社のレピュテーション DB を採用
SNS だけで 1 億 3000 万アカウントを守る「Cloudmark Sender Intelligence」を採用しました
レピュテーション DB の情報更新が圧倒的に高速です
■難読化リンクも.htaccess の改ざんも未然に防ぎます
HTTP 経由の改ざん検知ソリューションの弱点は EXOCET（エグゾセ）には存在しません
■フィッシングサイト等へ向けたリンクの埋め込みも未然に防ぎます
レピュテーションは犯罪サイト全般を網羅しています
■改ざんに使用された FTP アカウントもお知らせします
事後処理のための完璧な情報を提供致します
■大規模サイトでは検出用アプライアンスを設置・運用
必要最小限の稼働コストで余計な設備投資や回線負荷を生じさせません
LDAP でのユーザ認証に対応しています（各種 DB に対応予定）
■小規模サイトでは FTP プロキシーの ASP を提供致します
FTP アカウント情報は弊社側で LDAP に登録致します
【サービスイメージ図】
世界で 1 億 3,000 万人が利用する
最大規模の SNS サイトでも採用
された、クラウドマーク社の
IP レピュテーションサービス
を採用し、リンク先サイトの信用度
を分析します。
【Cracker Detect EXOCET サービスご紹介 URL】
http://www.bbsec.co.jp/solution/exocet.html
Copyright©BroadBand Security, Inc.
9
Managed Security Service
セキュリティオペレーションセンターG-SOC（ジーソック）
BBSec では、従来よりご提供していた Management Service に付加して、 MSSP （ Managed
Security Service Provider）機能をご提供する G-SOC を立ち上げました。これによりネットワークや
サーバといったシステムリソースの稼動監視・運用に加え、セキュリティデバイスの監視・運用・防御が
可能となり、お客様のシステム全般のトータル監視・運用とセキュリティ運用をワンストップでご提供す
る事を実現いたしました。
【サービス概要】
G-SOC でご提供するサービスは、 PCI DSS（ペイメントカード･インダストリー･データ・セキュリティ・ス
タンダード）でも推奨されている Web アプリケーション・ファイアウォールの監視・運用・防御を始め、従
前のファイアウォールや IDPS、今後お客様のニーズが増えることが予想される DB ファイアウォール、
DDoS 対策まで網羅したトータル・セキュリティ・オペレーションをご提供するものです。
【サービスフロー】
【Managed Security Service サービスご紹介 URL】
http://www.bbsec.co.jp/solution/mss.html
Copyright©BroadBand Security, Inc.
10

Download Report