情報セキュリティ事件の実例 - NPO情報セキュリティフォーラム

特定非営利活動法人
情報セキュリティトピックセミナー
情報セキュリティトピックセミナー
『情報セキュリティ
情報セキュリティ事件
セキュリティ事件の
事件の実例』
実例』
・日時：平成 18 年 6 月 27 日（火） 18:30～20:30
・会場：相鉄岩崎学園ビル
（横浜市神奈川区鶴屋町 2-17）
・講師：リコー・ヒューマン・クリエイツ株式会社
リコー情報セキュリティ研究センター
主任研究員広口正之氏
・主催：特定非営利活動法人 NPO 情報セキュリティフォーラム
NPO 情報セキュリティフォーラム
目
次
第１章情報セキュリティ事件の最近の傾向
1
第２章ハッキングの実例
4
第３章コンピュータウイルスの実例
9
第４章外部からの攻撃・内部からの攻撃の実例
16
第５章その他の実例
20
NPO 情報セキュリティフォーラム
■本日の
本日の内容
リコー・ヒューマン・クリエイツ株式会社の広口と申します。宜しくお願いいたします。普段は、
ISMS の認証取得、プライバシーマーク取得、情報セキュリティ監査など、情報セキュリティに関
するコンサルティングや、情報セキュリティに関する企業研修などに携わっています。
本日は、情報セキュリティ事件・事故の実例を取り上げます。人間の考えることには限りがある
ので、過去の事例と類似した情報セキュリティ事件・事故が発生します。したがって、最新の実例
を追いかけるだけではなく、過去の実例も併せて把握しておくことが情報セキュリティ対策を行う
上で効果的です。今日は、過去の情報セキュリティ事件・事故のポイントを中心に紹介してまいり
ます。
第 1 章情報セキュリティ
情報セキュリティ事件
セキュリティ事件の
事件の最近の
最近の傾向
■情報セキュリティ
情報セキュリティに
セキュリティに関する最近
する最近の
最近の傾向
情報セキュリティ事件に関する傾向を紹介します。まず、個人情報の流出です。最近発生してい
る流出事件を調査していると、個人情報の流出を完全に防ぐことは難しいと考えています。例えば、
銀行の利用明細を利用者に郵送する際、銀行の記した宛先が正しくても、配達人が誤った住所に配
達すると、個人情報が流出する可能性があります。この場合、銀行がどのような対策を行っていた
としても、流出を完全に防ぐことはできません。
次は、ファイル交換ソフトによる事件です。Winny（ウィニー）や、Share（シェア）と呼ばれ
るファイル交換ソフトを利用しているユーザが暴露ウイルスに感染したために、パソコンの情報が
流出する事件が起きています。防衛庁の職員が業務に使用していた私物パソコンが暴露ウイルスに
感染していたために、機密情報が流出した事件もあります。暴露ウイルスには、アンティニーや、
山田オルタナティブと呼ばれるウイルスがありますが、山田オルタナティブは、Winny などのファ
イル交換ソフトがなくても、ウイルスに感染しただけで情報が流出します。Winny などのファイル
交換ソフトをインストールしていなくても、暴露ウイルスに感染すれば情報が流出する危険があり
ます。
最後は、SQL インジェクション攻撃の増加です。SQL インジェクション攻撃とは、データベー
スを使用した Web サイトに SQL 文を使用した命令を注入することで、データの改ざんや情報の漏
えいを起こす攻撃です。中国の Web サイトなどで SQL インジェクションを使用して攻撃を行うツ
ールが公開されており、SQL インジェクション攻撃の８割が中国からであるといわれています。
■個人情報漏えいの
個人情報漏えいの状況
えいの状況
次に、NPO 日本ネットワークセキュリティ協会の資料をもとに個人情報漏えいの状況について
紹介します※1。
まずは被害件数です。2002 年は 62 件、2003 年は 57 件の報告がありましたが、2004 年は 366
件、2005 年は 1,032 件と報告件数が爆発的に増えています。2005 年は、1 日に 3 件弱の被害が発
生していますが、これは被害者数が一桁の事件も公表されるケースが増えたためと考えています。
注：※印については、巻末に原文が掲載されている Web ページの URL を記載してあります。
1
NPO 情報セキュリティフォーラム
個人情報漏えい
個人情報漏えい事件
えい事件の
事件の被害件数
被害事件数（件）
1032
2005年
2005年
366
2004年
2004年
2003年
2003年
57
2002年
2002年
62
0
200
400
600
800
1000
1200
出典：NPO 日本ネットワークセキュリティ協会
「2005 年度個人情報漏えいインシデント調査結果」
http://www.jnsa.org/result/2005/20060601_pol_01.pdf
次に被害者数ですが、2002 年は 42 万人、2003 年は 155 万人、2004 年は 1,044 万人、2005 年
は 881 万人となっています。2004 年は、大手プロバイダにおいて、約 450 万人の個人情報が漏え
いする事件が発生したため被害者数が突出しています。2006 年は、大手電話会社で大規模な個人
情報漏えい事件が発生したので、被害者数は、2005 年よりも増加すると考えています。
個人情報漏えい
個人情報漏えい事件
えい事件の
事件の被害者数
被害者数（
数（万人）
人）
881
2 005年
005年
1044
2 004年
004年
155
2 003年
003年
2 002年
002年
0
42
200
400
600
800
1000
120 0
出典：NPO 日本ネットワークセキュリティ協会
「2005 年度個人情報漏えいインシデント調査結果」
http://www.jnsa.org/result/2005/20060601_pol_01.pdf
これら個人情報漏えい事件の想定損害賠償額を算出したのが次の資料です。想定損害賠償額とは、
被害者すべてが損害賠償を請求したと仮定した場合の金額で、実際請求された損害賠償の総額では
ありません。昨年の想定損害賠償額は、総額で 7,002 億円にのぼります。1 件あたりの損害賠償額
としては、それぞれのケースと実際の訴訟を参考に千円～150 万円の範囲で算出しています。
2
NPO 情報セキュリティフォーラム
個人情報漏えい
個人情報漏えい事件
えい事件の
事件の想定損害賠償額
想定損害賠償額（億円）
円）
7002
2005年
2005年
4667
2004年
2004年
2003年
2003年
281
2002年
2002年
189
0
2000
4000
6000
8000
出典：NPO 日本ネットワークセキュリティ協会
「2005 年度個人情報漏えいインシデント調査結果」
http://www.jnsa.org/result/2005/20060601_pol_01.pdf
2005 年の個人情報漏えい事件の原因、経路をまとめたものが以下の資料です。個人情報漏えい
の原因としては、電車の網棚にカバンを置忘れたといった「紛失･置忘れ」が 43%、置き引き、車
上荒しといった「盗難」が 27%、メールの操作を誤り、顧客のメールアドレスを送信してしまった
といった「誤操作」が 12%と続いています。技術的な原因から個人情報が漏えいするというより、
人間のミスが原因で発生する人的ミスの割合が大半を占めています。なお、最近発生しているファ
イル交換ソフトによる情報漏えい事件は、「不正情報持ち出し」3%の中に含まれています。
2005 年の個人情報漏えい
個人情報漏えい事件
えい事件の
事件の漏えい原因
えい原因･
原因･経路
出典：NPO 日本ネットワークセキュリティ協会
「2005 年度個人情報漏えいインシデント調査結果」
http://www.jnsa.org/result/2005/20060601_pol_01.pdf
3
NPO 情報セキュリティフォーラム
第２章ハッキングの
ハッキングの実例
■フリーキング
ハッキングの歴史を辿ると、1969 年にアメリカカリフォルニア州バークレーのジョン・ドレイ
パーが考え出したフリーキングと呼ばれる、長距離電話を不正に利用する手法までさかのぼります。
当時のアメリカでは、「キャプテン･クランチ」というシリアルコーンフレークが販売されており、
その景品のおもちゃの笛が出す音の周波数が、長距離電話を行う際に使用される電話局交換機シス
テムの制御信号の周波数と同じ 2,600Hz であり、この笛を使用すると長距離電話を無料で利用する
ことができました。ジョン･ドレイパーは、この笛を参考にブルーボックスと呼ばれるこの笛と同
じ周波数を発する電子装置を開発しましたが、それが雑誌に公開されたため 1972 年に逮捕されま
した。
ジョン･ドレイパーがこの装置を開発できた理由は２つあります。１つ目は、電話局が音声信号
と制御信号に同じ回線を使用していたという点です。したがって、2,600Hz の音声を流すだけで無
料で長距離電話を利用することができました。その後、電話局は音声信号と制御信号に別の回線を
使用する対策を行いました。２つ目は、電話局が電話交換機に関する技術情報を専門誌に掲載して
しまった点です。この実例から得られる教訓は、セキュリティに関係する情報をみだりに外部に公
開してはならないということです。
■ソーシャルエンジニアリング
ソーシャルエンジニアリングは、事前に攻撃目標の情報収集を行ったうえで、内部の人間を装っ
て、パスワードなどの情報を聞き出すといった社会工学的手法を使用します。例えば、上級管理職
を装い、担当者からパスワードを聞き出そうとしたり、システム部門を装い、ユーザからパスワー
ドを聞き出したりなどの例があります。この他にも、ユーザが情報を入力するときに肩越しにのぞ
き込むショルダーハッキングを行ったり、パスワードを書いてあるメモなどを盗み見たり、カメラ
で撮影したり、ゴミ箱をあさって情報を盗んだり、実際に攻撃目標の建物に物理的に侵入するなど
のケースもあります。
ソーシャルエンジニアリングの
ソーシャルエンジニアリングの手法
電話
・電話でシステム管理者や、メーカーの担当者、会社の経営陣
などになりすまして、個人情報やパスワードを聞き出す
のぞき見（ショルダーハッキングともいう）
・ユーザがパスワードや暗証番号を入力するときに、キーボードや
キーパッドを肩越しにのぞき見する
盗み見
・コンピュータ周辺にある、パスワードのメモを盗み見る
・手帳や電子手帳、携帯情報端末(PDA)などのパスワードを盗み見る
・デジタルカメラやカメラ付き携帯電話で写真を撮る
ゴミ箱あさり
・攻撃目標のゴミ箱などから機密文書やパスワードを入手
物理的侵入
・攻撃目標の建物内部に、物理的に侵入する
平成 18 年 6 月 27 日セミナー資料より抜粋
4
NPO 情報セキュリティフォーラム
■西ドイツの
ドイツの国際スパイ
国際スパイ事件
スパイ事件
この事件は西ドイツの攻撃者が、アメリカのローレンス・バークレー国立研究所などのシステム
をハッキングしたものです。ローレンス･バークレー国立研究所で、システム利用者の利用状況を
チェックした際、システムの利用者が支払うべき料金の総額と、利用者から支払われた料金に 75
セントの不一致があり、不正利用者がいる疑いが生じました。そこで、システム管理者のクリフ･
ストールが調査を行い、電子的に何者かが侵入しシステムを不正使用していること、使用している
電話回線のうち４本の電話回線から侵入された疑いがあること、そして侵入は西ドイツから来てい
ることを突き止めました。
一方、西ドイツでスパイ活動を行っていたのは、少年によって組織されたハッカーグループでし
た。ハッカーグループがローレンス・バークレー国立研究所にハッキングして入手した UNIX のソ
ースプログラムを、グループの一人が東ドイツに売却しました。このハッカーグループの活動は雑
誌社などからも注目を集めましたが、彼らの活動が犯罪行為に該当するものであったため、雑誌社
は彼らに自首をすすめました。その結果、ハッカーグループのうち 3 人が逮捕されています。
ローレンス･バークレー国立研究所のシステムがハッキングを許した原因は、UNIX マシンのア
クセス権限が不適切だったことです。UNIX マシンでは、特権を持つプログラムは一般ユーザから
実行できないようになっていますが、ローレンス・バークレー国立研究所で使われていた UNIX で
は、その特権を持つシステムプログラムの一つである atrun のアクセス権限の設定が適切でなかっ
たため、偽物の atrun で上書きされてしまい、特権を持つその他のプログラムを実行され、情報を
盗まれてしまいました。
■サンディエゴ・
サンディエゴ・スーパーコンピュータ･
ーパーコンピュータ･センター侵入事件
センター侵入事件
1994 年 12 月 25 日、アメリカのノースカロライナ州にいたケビン・ミトニックが、カリフォル
ニア州にあるサンディエゴ・スーパーコンピュータ・センターのコンピュータにハッキングを行い
ました。このコンピュータは、下村努という日系の研究者が管理していました。
下村は、侵入の経路や手口を分析し、大手プロバイダを経由して侵入していること、侵入者がミ
トニックであること、接続のアクセスポイントの半数以上がノースカロライナ州の携帯電話会社か
ら接続されていることを突き止めました。下村のいるカリフォルニア州は西海岸、ミトニックのい
るノースカロライナ州は東海岸ですが、下村はノースカロライナ州に行き、携帯電話の発信電波を
頼りにミニトックのアパートを突き止め、FBI の協力を得てミトニックを逮捕しました。
■ウォードライビング
ウォードライビングとは、自動車にノートパソコンと指向性アンテナを積み込み、街中をゆっく
りと走行し、脆弱な無線 LAN のアクセスポイントを探すことをいいます。表向きは、脆弱な無線
LAN のアクセスポイントの実態を調査し、セキュリティ意識を高める啓蒙活動として行われていま
すが、実際はセキュリティの甘いネットワークを探し出し、侵入することが目的と考えられます。
世界的な規模でウォードライビングを行い、電波を受信できる場所と、そのセキュリティレベルを
地図にプロットし、Web に公開した事例もあります。ウォードライビングは特定の方向に強い感度
を持つ指向性のアンテナを使用するため、通常のノートパソコンでは受信できない電波も受信でき
5
NPO 情報セキュリティフォーラム
ることがあります。セキュリティの甘い無線 LAN が公表されることもあるため、ユーザは無線 LAN
のセキュリティを強固にする必要があります。具体的には、WPA、WPA2 などを用いて通信の暗号
化を行ったり、MAC アドレスフィルタリングを行ったり、アクセス可能な端末を制限したりなどの
無線 LAN のセキュリティ対策を行います。
ウォードライビングの
ウォードライビングの実例
2002 年 8 月 31 日から 9 月 7 日にかけて、アメリカ、カナダ、
ヨーロッパで一斉に実施
企画の表向きの趣旨は、脆弱な無線 LAN のアクセスポイント
の実態調査であり、セキュリティ意識を高める啓蒙活動
2004 年 6 月までの間に合計で 4 回実施
最終的には日本を含む全世界が調査の対象になった
平成 18 年 6 月 27 日セミナー資料より抜粋
■パスワード解析
パスワード解析
長いパスワードを使用すれば安全だと思いがちですが、それだけでは不十分です。あるスイスの
研究者は、Windows のパスワードは平均で 13.6 秒あれば解析することが可能と発表しています。
Windows のパスワードファイルはハッシュ関数で暗号化されシステムに保存されます。しかし、
Windows は、どのパスワードに対しても同じ暗号化の手法を用いて暗号化を行うため、ハッシュ
関数で考えられる計算結果の全てのパターンを求めておき、入手した Windows のパスワードファ
イルの値を事前に計算した値と照合するだけで暗号を解くことができます。
Windows のパスワードを強化するには、パスワードの文字数を 15 文字以上にすることが必要で
す。14 文字以下の場合、Windows は 7 文字を単位に分割しそれぞれにハッシュ関数を適用します。
分割されたパスワードにはそれぞれ 7 文字分のパスワードの強度しかありません。したがって、15
文字以上のパスワードを使用することで、パスワードの安全性を高めることができます。
攻撃者は様々な方法を用いてパスワードの解析を試みます。攻撃者がパスワードを解析する際は、
パスワードの推測、辞書攻撃、ブルートフォース攻撃という攻撃を順番に行います。
パスワードの推測は、初期設定パスワードや、パスワードなし、ユーザ ID と同じパスワード、
ユーザの固有情報に基づくパスワードなどを推測して攻撃する方法です。攻撃に時間がかからない
上、企業でもこのようなパスワードを使用する例がしばしば見受けられます。これら攻撃者が推測
しやすいパスワードを使用しないように留意することが必要です。
辞書攻撃は、パスワードによく使用される単語を集めたパスワード辞書を使用する攻撃方法です。
パスワード辞書は攻撃ツールを配布する Web サイトなどから入手でき、それにはパスワードとし
て考えられる 5～１０万語の単語が記載されています。パスワード辞書には日本語版も存在するの
で、パスワードを設定する際には辞書などに載っている単語を使用しないように留意することが必
要です。
ブルートフォース攻撃は、総当り攻撃、しらみつぶし攻撃ともいわれ、パスワードとして考えら
れる全ての組合せを試す攻撃方法です。しかし、長いパスワードを使用すると、解析に時間がかか
るので、長いパスワードを使用したり、パスワードとして使用する文字の種類を増やすことが有効
な対策方法になります。
攻撃者は、パスワードの推測、辞書攻撃、ブルートフォース攻撃の順番でハッキングを行います。
6
NPO 情報セキュリティフォーラム
したがって、対策もパスワードの推測、辞書攻撃、ブルートフォース攻撃の順番で行うのが効果的
です。推測できたり、辞書に載っているパスワードは使用せず、長いパスワードを使用することが
有効な対策方法です。
パスワードの
パスワードの解析方法
パスワードの推測
・初期設定パスワード
・パスワードなし、ユーザ ID と同じ、ユーザ ID の派生系など
・ユーザの固有情報に基づくパスワード
⋅
本人や家族、ペットの名前、所有している車やパソコンの
モデル名、電話番号、好きなタレントの名前などの情報か
ら類推する方法
辞書攻撃
・一般的な英語の辞書や、統計的に使用される確率の高いパスワードを
集めた辞書を使用する方法
・日本語用の辞書もある
ブルートフォース攻撃
・ブルートは「獣」、フォースは「力」
・つまり総当り攻撃、しらみつぶし
・対策としては、長いパスワードを使うこと、
使用する文字の種類を増やすことが有効
平成 18 年 6 月 27 日セミナー資料より抜粋
しかし、どれだけ効果的なパスワードを使用しても攻撃者にパスワードが漏えいするケースがあ
ります。キーロガーやスニファーなどのプログラムが使用される場合です。
キーロガーとは、キー入力をひそかに攻撃者に送信するプログラムやハードウェアのことです。
キーロガーが使用されると、キーボードに入力した文字情報などがすべて漏えいします。日本にお
いてもインターネットカフェにキーロガーが仕掛けられ、オンラインバンキンクのユーザ ID とパ
スワードが漏えいした事件がありました。不特定多数の人が使用するパソコンはキーロガーがイン
ストールされている可能性があるため、このようなパソコンには重要な情報を入力しないようにす
ることが必要です。
また、スニファーとは、ネットワーク上のパケットを監視するプログラムです。くんくん嗅ぐと
いう意味の“sniff”が語源になっています。攻撃者はネットワーク上でスニファーを使用して、ユ
ーザが Telnet、FTP、POP3 などのパスワードを平文で送信するプロトコルを使用している通信内
容を盗聴します。スイッチングハブを使用しても、情報を盗聴するスニファーもあり、注意が必要
です。対策としては、パスワードがそのまま平文でパケットに含まれるようなプロトコルは使用し
ないことと、スニファーを検出するソフトウェアや仕組みを導入することが有効な方法です。
■トロイの
トロイの木馬
トロイの木馬は、有用なプログラムに見せかけてユーザに実行させようとする不正なプログラム
のことで、その名称は紀元前 12 世紀にギリシアとトロイアが戦争した際、戦利品の木馬からギリ
シア軍の兵士が現れ、トロイアの街を壊滅させたことに由来します。一度実行されると、パスワー
ドを盗んだり、バックドアを作ったりなどの不正行為を行います。Windows などの OS の起動時に
7
NPO 情報セキュリティフォーラム
CTRL+ALT+DELETE キーを押し、ログイン画面を表示させるのはトロイの木馬対策です。
CTRL+ALT+DELETE キーを押すと、OS が本物のプログラムを起動するため、パスワードを入力
させる画面がトロイの木馬でないことを保証しています。トロイの木馬の実例としては、1998 年
に公開されたバックオリフィスというプログラムが有名です。
トロイの
トロイの木馬の
木馬の実例
1998 年 7 月、ハッカーグループの「Cult of the Dead Cow」はバックオリフィスというト
ロイの木馬型のプログラムを公開
攻撃者は、120 キロバイトほどの小さなサーバプログラムをメールに添付
して相手に送りつける。受信者がうっかり添付ファイルを開くとサーバ
プログラムがインストールされる
攻撃者はクライアントプログラムを使用し、被害者のコンピュータに
接続する
平成 18 年 6 月 27 日セミナー資料より抜粋
■SQL インジェクション攻撃
インジェクション攻撃
SQL とは、“Structured Query Language”の略で、リレーショナルデータベースに問合わせを
行う際に使用する言語です。Web アプリケーションでは、Web サーバとデータベースサーバを連
携させて使用することが多いのですが、ユーザからの入力コマンドをそのままデータベースサーバ
に受け渡す設計になっていると、ユーザがデータベースサーバに命令を送信することができるよう
になります。インジェクションは、注入するという意味で、ユーザがデータベースサーバに命令を
注入することが由来です。昨年、カカクコムの Web サイトが不正アクセスの被害を受けましたが、
これは SQL インジェクションによる攻撃といわれています。この事件では、複数の会社の Web サ
イトに不正アクセスして個人情報を盗んだ容疑で中国人留学生が逮捕されています。
SQL インジェクション攻撃
インジェクション攻撃の
攻撃の実例
カカクコム、不正アクセスでサイトを一時閉鎖
・ 2005 年 5 月、価格比較サイトを運営するカカクコムのウェブサイトが
不正アクセスの被害を受け、10 日間にわたりサイトを閉鎖
・不正アクセスによりウェブサイトが改変された
・サイトを訪れたユーザが別のサイトに誘導され、ウイルスに感染する被害が出た
・ 2 万 2511 件のメールアドレスも流出
・不正アクセスによる同社の売り上げへの影響は 1.5～2.5 億円
中国人留学生が逮捕される
・ 2005 年 6 月、27 歳の中国人留学生が不正アクセス禁止法違反
で警視庁に逮捕された
・クラブツーリズム、アデコ、カカクコムなど 14 社のウェブ
サイトから 52 万件以上の個人情報を盗んだ疑い
・攻撃方法は SQL インジェクションと見られている
・留学生のパソコン上には、カカクコムのデータが存在していた
・ SQL インジェクションという攻撃手法は、以前から知られてい
たが、2004 年 10 月頃から中国で攻撃ツールが出回り、攻撃が
急増
平成 18 年 6 月 27 日セミナー資料より抜粋
8
NPO 情報セキュリティフォーラム
第３章コンピュータウイルスの
コンピュータウイルスの実例
■初期の
初期のウイルス
ウイルスは、プログラムに知的な動作を行わせることを目的に作成されたのがはじまりです。
1961 年、ベル研究所のビクター・ビソツキーは、同一メモリ上にアセンブラで作成された複数
のプログラムを配置し、最後に残ったプログラムが勝者になるダーウィンというプログラムを開発
しました。後にこのプログラムはコア戦争と呼ばれるようになりました。
その 10 年後、クリーパーと呼ばれるワーム型のプログラムが登場します。このプログラムは、
他のコンピュータを探し出し、そこに移動して自動起動し、画面に「おれはクリーパーだ！捕ま
えてみろ！」というメッセージを表示し、別のコンピュータに移動します。
1982 年にエルククローナーと呼ばれるウイルスがリチャード・スクレンタという 15 歳の少年に
より開発されました。このプログラムは、友人を驚かせることを目的に作成され、アップルⅡのシ
ステムが格納されたフロッピーディスクに感染し、以後フロッピーディスクに次々と感染します。
フロッピーを 5 回起動するごとに、シャットダウンさせたり、画面を切り替えたり、画面を点滅さ
せたりしました。また、50 回起動するごとに短い詩の表示を行いました。
そして 1986 年にパキスタンブレインという IBM のパソコンに感染するウイルスが登場します。
これは不正コピーを防止するために作成されたウイルスで、不正コピーをしようとするとフロッピ
ーディスク経由で感染します。不正コピー防止が作成の目的なので、ウイルスのプログラム中にウ
イルス作者の会社名や住所が記載されていました。
■ウイルスの
ウイルスの分類
これらウイルスは、その後も増加の一途を辿り、2006 年時点で 12～16 万種のウイルスがあると
いわれており、様々なタイプが存在します。今日、「ウイルス」という言葉は様々な不正プログラ
ムを指すようになっています。
ウイルスには広義の意味と狭義の意味があります。狭義の意味では、他のプログラムに寄生する、
独立しては実行できない、自己増殖するものをウイルスと呼びます。それに対して、独立して実行
可能で、自己増殖をするものをワームと呼び、独立して実行可能で、必ずしも自己増殖をしないも
のをトロイの木馬といいます。また、文書ファイルのマクロ機能を利用したマクロウイルスと呼ば
れるウイルスもあります。広義の意味では、狭義のウイルス、ワーム、トロイの木馬などを含めて
ウイルスといいます。また最近は、悪意のあるプログラムという意味の「マリシャスプログラム
（Malicious Program）」、
「マリシャスコード（Malicious Code）」とも呼ばれることもあります。
9
NPO 情報セキュリティフォーラム
ウイルスの
ウイルスの分類
ウイルス（Virus）
・狭義の意味では、次のような性質を持っている
⋅
他のコンピュータプログラムを改変して利用する
⋅
独立して実行できない
⋅
増殖する
・広義の意味では、狭義のウイルス、ワーム、トロイの木馬を総称
ワーム（Worm）
・生物界の「虫」に類似
⋅
独立して実行可能
⋅
増殖する
トロイの木馬（Trojan Horse）
・トロイア戦争の木馬作戦にちなむ
・他のコンピュータプログラムを偽装
⋅
独立して実行可能
⋅
必ずしも増殖しない
不正なプログラム（Malicious Program, Malicious Code）
・コンピュータやネットワークに損害や不利益をもたらす意図で
作成されたプログラム（コード）を一般的に指す名称
・ウイルス、ワーム、トロイの木馬を総称
・悪性プログラム、悪意あるプログラム、有害プログラムなどとも
マクロウイルス（Macro Virus）
・ウイルスの一種。文書ファイルのマクロ機能を利用する
・ワードやエクセルの文書ファイルに感染するものが多い
・マクロの高機能化が、マクロウイルス発生の誘引となった
平成 18 年 6 月 27 日セミナー資料より抜粋
■ロバート･
ロバート･モリス事件
モリス事件
1988 年にアメリカの大学や研究所を結んでいた NSFnet というネットワークに接続する約 6,000
台のコンピュータがモリスワームと呼ばれるウイルスに感染しました。このモリスワームは、ネッ
トワーク上の他のコンピュータを探し出し、自分自身のコピーを書込むというもので、本来は探し
出したコンピュータの 7 台に 1 台の割合で感染するようにプログラムされていましたが、この部分
のコードが機能せず、アクセスした全てのコンピュータに感染し、ネットワークやコンピュータの
負荷が異常に増加し障害が発生しました。しかし、感染したコンピュータのデータを破壊するよう
なコードは含まれていなかったので、それ以上の被害はありませんでした。ワームを制作したのは
コーネル大学でコンピュータサイエンスを研究していたロバート･モリス･ジュニアで、実験で作成
したウイルスをネットワーク上に放出したためこのような事態が発生しました。
モリスワーム
このワームは、fingerd 攻撃、sendmail 攻撃、パスワード攻撃の３種の攻撃を組合せ、ネ
ットワーク上の他のコンピュータを探し出し、自分自身のコピーを書き込む
本来は、探し出したコンピュータの 7 台に 1 台の割合で感染するようになっていたが、こ
のコードが機能せず、全てのコンピュータに感染を試みた
感染したコンピュータのデータを破壊するなどのコードは含まれていなかった
感染力が大きすぎたために、ネットワークやコンピュータの負荷が異常に増加し、障害を
与えた
平成 18 年 6 月 27 日セミナー資料より抜粋
10
NPO 情報セキュリティフォーラム
■ラブレターワーム
ラブレターワームは、知人からのラブレターを装い、メールに添付されたウイルスプログラムを
開かせて感染を広げるウイルスです。メールに添付されたウイルスは Visual Basic スクリプトファ
イルをテキストファイルに偽装した「LOVE-LETTER-FOR-YOU.TXT.vbs」という二重拡張子の
ファイルです。Visual Basic スクリプトの拡張子「.vbs」が、OS に登録されていると表示されな
いので、ユーザはただのテキストファイルだと判断してしまう恐れがあります。また、ラブレター
ワームは感染したパソコンのアドレス帳に登録されているアドレスをメールの差出人として使用
するため、テキストファイルが知人からの恋文だと思った多くのユーザが添付ファイルを開き、感
染しました。感染はアジア各地から欧米に広がり、大企業にまで感染が広がりました。日本におい
てはウイルスが流行した時期がゴールデンウィーク中だったこともあり、コンピュータを使用する
人も少なく、また、メールが英語であったため、感染被害は大きくはありませんでした。
ラブレターワーム
2000 年 5 月 4 日、メールの件名（Subject）に「アイ・ラブ・ユー(I love you)」と書か
れたメールがネットワーク上で急激に増加
このメールには二重拡張子でテキストファイルに偽装した VB(Visual Basic)
スクリプト形式の添付ファイルが突いており、差出人は知人であった
(LOVE-LETTER-FOR-YOU.TXT.vbs)
知人からの恋文に好奇心を惹かれ、ファイルを開く人が続出
平成 18 年 6 月 27 日セミナー資料より抜粋
■コードレッド
コードレットは 2001 年に世界的に流行したウイルスで、発祥は中国といわれています。コンピ
ュータの使用言語が英語の場合、“Hacked by Chinese”（中国人がハックした）というメッセージ
が Web サイトに表示されます。コードレッドという名称は、コードレッドを研究中のセキュリテ
ィ専門家たちがチェリー味の赤い炭酸飲料を飲んでいたこと、コードレッドが中国に関連し、中国
を代表する色が赤であったことから付けられました。
コードレッドは、Web サーバに使用されるマイクロソフト社製ソフトウェアの脆弱性を利用して
感染します。当時、すでにパッチが公開されていましたが、ウイルスが出現した時点でパッチを適
用していないサーバが多く存在し、数日で世界中のサーバに感染が拡大しました。このワームは、
感染が拡大した 2001 年 7 月 19 日の午後 8 時にホワイトハウスの公式 Web サイトに一斉攻撃を仕
掛けるようプログラムされていましたが、ホワイトハウスが Web サイトの IP アドレスを変更した
ため攻撃は回避されました。
コードレッド
コードレッドは、ウェブサーバに使われる米マイクロソフト社の
ソフトウェアに見つかった脆弱性を利用
発見困難であるが、再起動すると駆除可能
しかし、パッチが適応されていないと、何度も再感染
2001 年 7 月 19 日午後 8 時（米国東部標準時）にホワイトハウスの
公式ウェブサイトに一斉攻撃を仕掛けるようになっていた
平成 18 年 6 月 27 日セミナー資料より抜粋
11
NPO 情報セキュリティフォーラム
■ニムダ
ニムダは、2001 年 9 月頃流行したウイルスで、官公庁、教育機関、民間企業などが感染しまし
た。
ニムダの感染ルートは４つあり、その感染ルートの多さが感染拡大につながりました。1 つ目の
感染ルートは、電子メールのプレビュー機能による感染です。当時、メールを経由して感染するウ
イルスは、メールの添付ファイルを開かなければ感染しないと考えられていましたが、ニムダはプ
レビュー機能を使用しただけで感染しました。２つ目の感染ルートは、ネットワーク上の共有フォ
ルダを経由した感染です。メールを介して感染したニムダは、感染したパソコンが所属するネット
ワークの他のパソコンの共有フォルダに自らをコピーして感染を拡大します。ネットワーク上にセ
キュリティが脆弱な Web サーバが存在すれば、その Web サーバを攻撃し感染します。これが３つ
目の感染ルートです。そして、４つ目の感染ルートとして、感染した Web サイトの閲覧により、
さらに感染が拡大しました。当時、Web を閲覧するだけでウイルスに感染することがあるという認
識は広まっていませんでした。メールのプレビューによる感染と併せ、ニムダは当時の常識を覆す
ようなコンピュータウイルスだったといえます。
ニムダ
ニムダの感染方法は４種類
・電子メールのプレビューで感染
・ネットワーク上の共有フォルダ経由で感染
・脆弱なウェブサーバは攻撃を受け感染
・感染したウェブサイトを閲覧すると感染
平成 18 年 6 月 27 日セミナー資料より抜粋
■クレズ
クレズとは、ニムダと同じくメールのプレビュー、共有フォルダなど複数の感染経路を持ち、出
現後数時間で数十万台のコンピュータに感染し、2001 年 10 月時点で史上最大の感染力を持つとい
われたワームです。クレズの最大の特徴は、主要なウイルス対策ソフトの機能を停止する点です。
クレズは主要なウイルス対策ソフトのプロセス名やファイル名を記憶していて、そのプロセスの停
止、ファイルの削除を行うことで、ウイルス対策ソフトが自らを削除することを防止します。まる
でエイズウイルスのようにパソコンの免疫機能を停止させるので、一度感染してしまうと手も足も
出なくなります。
クレズ
この時点で史上最大の感染力
Outlook などでは電子メールをプレビューするだけで感染
送信者のアドレスは、アドレス帳にあるメールアドレスから任意のものを選ぶため、
送信者が詐称された
メールの件名も、複数の中から選ばれるので、ワームかどうかの判断が難しくなった
Windows 共有フォルダ経由での感染の能力も持っているため、感染速度が大きい
クレズは、主要なウイルス対策ソフトのプロセス名やファイル名を記憶していて、プロセ
スを停止したり、ファイルを削除したりする
平成 18 年 6 月 27 日セミナー資料より抜粋
12
NPO 情報セキュリティフォーラム
■SQL スラマー
SQL スラマーとは、2003 年 1 月に流行し、最終的に数千～数万台の感染被害が出たウイルスで
す。SQL スラマーは、SQL Server2000 解決サービスに存在する脆弱性を攻撃します。SQL スラ
マーが登場したときは、すでにこの脆弱性を修正するパッチが公開されていましたが、パッチを適
用していなかったコンピュータが多く存在し、急速に感染が拡大しました。特に被害を受けたのは
韓国です。大手通信会社の韓国テレコムの電話局のサーバが SQL スラマーに感染、ウイルスが蔓
延し、韓国の全通信システムがほぼ丸一日機能停止に追い込まれました。
SQL スラマーの感染が拡大した主な原因は２点あります。1 点目は、隠れサーバが存在した点で
す。SQL スラマーが標的にしていた SQL サーバ 2000 がシステムに組み込まれているのをユーザ
が知らないケースが多く、管理者は公開されたパッチを適用していませんでした。この隠れサーバ
に SQL スラマーが感染し、ウイルスが蔓延しました。2 点目は、公開されたパッチの適用に手間と
時間がかかった点です。SQL スラマーが攻撃する脆弱性に対するパッチは 2002 年 7 月にすでに公
開されていましたが、そのパッチを完全に適用するためには、手作業でシステムファイルを編集す
る必要があり、その手順も複雑でした。2003 年 1 月にはサービスパックも公開されましたが、手
作業でパッチを適用するよりも作業は簡単だったものの、ファイルのダウンロードとインストール
には長時間がかかりました。したがって、多くのサーバがパッチを適用せずに利用していたので、
スラマーの感染が拡大しました。
スラマー
SQL スラマーワームは、「SQL Server2000 解決サービスのバッファオーバーランにより、
コードが実行される」という脆弱性を利用
スラマーは、このサービスが使用している UDP1434 番ポートを標的にした
通常のウイルス対策ソフトでは検出できないことがある
平成 18 年 6 月 27 日セミナー資料より抜粋
■ブラスター
2003 年 8 月、RPC(Remote Procedure Call)というネットワーク上の異なるマシンで処理を実行
する機能の脆弱性を突いたブラスターというウイルスが登場しました。全世界で 100 万台以上のコ
ンピュータが感染し、日本においても多数の官公庁や企業が被害を受けました。経済産業省の調査
によるとワームに感染する可能性のあるパソコンを有する企業のうち約 20％が感染したという結
果が出ています※２。
外部からのアクセスをファイアウォールで制限していたので、パッチを適用しなくてもウイルス
に感染することはないと考えた官公庁や企業もありました。しかし、外部からのアクセスをファイ
アウォールで制限しても、外部に持ち出したパソコンがブラスターに感染し、それを内部に持ち込
むことで感染が拡大した例もあります。ブラスターに対抗するためには、ファイアウォールでネッ
トワーク外からのアクセスを遮断するだけでなく、外部に持ち出すパソコンにパーソナルファイア
ウォールを導入するなどの二重三重の対策を行い、併せて、Microsoft Update や、Windows Update
でセキュリティパッチを自動更新にしておき、パッチを適用することが重要です。
注：※印については、巻末に原文が掲載されている Web ページの URL を記載してあります。
13
NPO 情報セキュリティフォーラム
ブラスター
2003 年 7 月 17 日、マイクロソフト社は、RPC(Remote Procedure Call)という機能に脆弱
性が存在することを公表
7 月末には、この脆弱性を攻撃するツールが一部のハッカーコミュニティに流されていた
8 月 12 日午前 2 時、TCP135 番ポートへのパケットの急増が始まった
8 月 18 日、感染活動がピークに達した
経済産業省の調査によれば、国内全企業の約 20%がブラスターや亜種の被害を受けた
平成 18 年 6 月 27 日セミナー資料より抜粋
■モバイルの
モバイルの不正プログラム
不正プログラム
まず、PDA 上で動作する不正プログラムをついて紹介します。
2000 年に PDA 上で動作するパーム･リバティというトロイの木馬が発見されました。パーム･リ
バティは、破壊活動を目的に制作されたのではなく、リバティというパームウェア上で動作するプ
ログラムのコピーを防止するために作られています。制作者がテストを行うためこのプログラムを
数人に配布した結果、プログラムが流出しました。流出したプログラムは、リバティのプログラム
に見えますが、動作させるとパームマシン上の全てのプログラムを削除します。
また、同年 9 月に PDA で動作する初めてのウイルスであるファージが発見されました。ファー
ジに感染すると、画面が数秒間空白になり、システム内の全ての実行ファイルに感染します。2004
年 7 月には、Windows CE 上で動作するダストというウイルスも出現しました。ダストを動作させ
ると、PDA 内にあるすべての実行ファイルに感染します。
PDA 上でウイルスが蔓延しはじめたため、大手のセキュリティ対策ベンダでは PDA 専用のウイ
ルス対策ソフトを発売しています。現在のところ、まだ PDA 上で動作するウイルスは少数ですが、
今後は増加が予想されるため、対策を行っていく必要があります。
PDA 上で動作する
動作するウイルス
するウイルス
パーム・リバティ（2000 年 8 月）
・ PDA のパーム OS で動くトロイの木馬
・ PDA にインストールするとパームマシン上の全てのプログラムを削除
ファージ（2000 年 9 月）
・ファージを起動すると、画面が数秒間空白になり、プログラムはそのまま終了する
・そのときすでに、システム内の全ての実行ファイルが感染している
ダスト（2004 年 7 月）
・ Windows CE の OS 上で動作する初めてのウイルス
・ダストを実行すると実行継続の確認メッセージが表示される
・これに同意すると、すべての未感染の実行ファイルが感染
平成 18 年 6 月 27 日セミナー資料より抜粋
次に、携帯電話上で動作する不正プログラムを紹介します。
2004 年 6 月、キャビルワームという携帯電話上で動作する初めてのワームが発見されました。
このワームは、近距離無線通信規格のブルートゥースを悪用し、電波を出して通信相手の探索を行
います。常にブルートゥース通信を行うので、電池の消耗が激しくなりますが、他の被害はほとん
どありません。どうすれば携帯電話でウイルスが拡散するかを試すコンセプト実証型のワームであ
ると考えられます。その他にも、様々な不正プログラムが登場し、携帯電話会社も対策を行ってい
ます。
14
NPO 情報セキュリティフォーラム
携帯電話の
携帯電話の不正プログラム
不正プログラム
不正プログラム
・スカルズ（2004 年 11 月）
⋅
携帯電話の OS の偽装テーマサイトに存在していた
⋅
実行すると携帯電話上のアプリケーションを実行不能にする
・ロックナット（2005 年 1 月）
⋅
キーパッドボタンを無効にし、携帯電話を通話不能にする
・コムウォリアー（2005 年 3 月）
⋅
マルチメディア・メッセージングサービス(MMS、Multimedia Messaging Service)
を経由して感染する初めてのワーム
ウイルス対策ソフトを搭載
・ NTT
⋅
2004 年 11 月、Docomo の 900i シリーズにウイルス対策ソフトを標準搭載するこ
とを発表
・ KDDI
⋅
現在、ネットワーク側で不正プログラム対策を講じている
⋅
au 携帯電話が搭載する EZ アプリ機能の「BREW アプリ配信システム」では、セキ
ュリティを確保するために、アプリケーション提供者の審査とアプリケーション
プログラムの検証を義務化
⋅
端末側のウイルス対策を検討中
・ Vodafone
ウイルス対策を検討中
⋅
平成 18 年 6 月 27 日セミナー資料より抜粋
■大規模感染の
大規模感染の条件
これまで様々なウイルスやワーム、トロイの木馬を紹介しましたが、これらの不正プログラムが
大規模感染する条件が３つあります。
まず、不正プログラムが存在すること。そして、対象集団が一定規模より大きいこと。最後に感
染手段が存在することです。PDA や携帯電話はこれまでこれらの条件が欠けていましたが、PDA
や携帯電話を所有する人も増え、ブルートゥース通信などの感染経路も増えており、モバイル上に
おいても不正プログラムの大規模感染が発生する可能性が大きくなっています。今後は、パソコン
だけではなく、PDA や携帯電話などにおいても、不正プログラムの対策を行うことが必要になり
ます。
15
NPO 情報セキュリティフォーラム
第４章外部からの
外部からの攻撃
からの攻撃・
攻撃・内部からの
内部からの攻撃
からの攻撃の
攻撃の実例
■置き引き
まず、外部からの攻撃を紹介します。最近、置き引きや盗難などの被害が多発しています。公園
のベンチで寝てしまいその隙にバッグを盗まれたり、新幹線の車内でトイレに行った隙にノートパ
ソコンを盗まれたりなどの被害が発生しています。
置き引きの実例
きの実例
2004 年 5 月、武蔵野銀行の行員が帰宅途中に会社近くの飲食店で同僚と飲食後気分が悪く
なり、駅前のベンチで仮眠をとった際にバッグを紛失した。バッグには取引先 108 人の個
人情報、58 件の法人情報が入っていた
2005 年 3 月、NEC の協力会社社員が品川から名古屋に向かう東海道
新幹線の車内で、座席を離れた隙にノートパソコンの入ったバッグを
置き引きされた。NEC は、トヨタ自動車からシステム開発を受託して
おり、パソコンには 1,113 人の個人情報と 8,691 件の法人情報が
入っていた。パソコンの起動はパスワードで保護されていた
平成 18 年 6 月 27 日セミナー資料より抜粋
置き引きに遭わないためには、基本的に荷物から目を離さず、できるだけ体に密着させておくと
安全です。ノートパソコンが盗まれても BIOS パスワードやログインパスワードがかかっているの
で安心と考える人もいますが、ハードディスクを外してしまえば情報を読み出すことができます。
情報を確実に守る方法は、紛失すると困る情報を持ち歩かないことです。どうしても持ち歩く必要
のある情報は、データを USB メモリなどの複数のメディアに格納し、パソコンとは別にすると比
較的安全です。
■車上荒らし
車上荒らし
置き引きと同じく車上荒らしも多発しています。この被害は学校関係者によく見られます。学校
関係者は、自分のパソコンを学校に持ち込むことや、車で通勤するケースが多くあります。したが
って、どこかに立ち寄った際に車上荒らしに遭い、パソコンを紛失するケースが多く見られます。
車上荒らしの
車上荒らしの実例
らしの実例
2004 年 9 月、ソニー生命の営業社員が神奈川県横浜市内で車上荒らしに遭い、自動車のト
ランクからパソコン 2 台を盗まれた。パソコンには、1,456 人の顧客情報が入っていた
なお、パソコンには、パスワードの設定、情報の暗号化などの保護が仕掛けられていた
2005 年 8 月、島根県江津市で、キリンビールの中国四国支店の社員が
昼食中に、業務用自動車が車上荒らしに遭い、ノートパソコンが
盗まれた。パソコンには、医師などの医療関係者 5,757 人の
個人情報が入っていた
平成 18 年 6 月 27 日セミナー資料より抜粋
一番有効な対策は、盗難防止装置を設置することです。車上荒らしを行う窃盗団は、盗難防止装
置を設置していない車を狙っています。ドアの鍵をこじ開けたり、窓ガラスを破ったりして車両本
16
NPO 情報セキュリティフォーラム
体を盗むケースもあります。車の鍵をかけたり、車の外から見えない場所にパソコンを置くなどの
対策も有効ですが、窓ガラスを破られたり、車両本体が盗まれれば意味がありません。また、置き
引きと同じく重要な情報は肌身離さず持っておく対策が有効です。
■事務所荒らし
事務所荒らし
日本人･外国人の窃盗グループの組織化、広域化が進んでおり、それら窃盗グループによる事務
所荒らしが多発しています。現金、金庫だけでなく、パソコンなどの OA 機器も狙われており、OA
機器から個人情報を取り出し名簿業者に売却するケースが増えています。
事務所荒らしの
事務所荒らしの実例
らしの実例
2004 年 11 月、関東農政局の栃木県内の事務所が、土曜日から月曜日の朝にかけて、２階
の事務所が荒らされる被害を受けた。鍵の掛かった職員の机や金庫がこじ開けられ、パソ
コン 7 台などが盗まれた。パソコンには約 16,000 件の個人情報が入っていた
2005 年 4 月、秋田大学の研究室が土曜日から日曜日の朝にかけて、
研究室荒らしの被害を受けた。研究室のドアは施錠されていたが、
ドア上部の天窓から侵入された。個人所有のパソコン 6 台、大学所有
のパソコン 3 台、デジタルカメラ、電子手帳が盗まれた
平成 18 年 6 月 27 日セミナー資料より抜粋
狙われるのは、幹線道路周辺などの騒音の大きな場所や、街灯のない薄暗い場所、夜間人通りの
少ない場所、隣接地が駐車場になっている場所などです。事務所荒らしを防止するために、機械警
備を導入することは一つの方法ですが、機械警備を導入しても安心することはできません。犯行は
10 分以内に行われるのが普通ですが、機械警備は警報信号を受信してから警備員が事務所に到着す
るまで 25 分以内であればよいとされています。場所によっては 30 分以内でよいところもあります。
犯行を防止するためには警備員が到着するまでの 25 分から 30 分の間、できるだけ時間をかけさせ
る対策を行うことです。
■スキミング
最近、クレジットカードやキャッシュカードの磁気情報を盗み取り、偽造カードを作って、商品
やサービスを購入したり、現金を引き出したりするスキミングという被害が多発しています。磁気
情報は、スキマーと呼ばれる装置で読み取られます。スキマーとは、掬い取るという意味の“skim”
が語源です。ハンディスキマーと呼ばれるカセットテープ程度の大きさのものや、無線でカード情
報を送信するもの、非接触型の IC カードを読み取ることができるもの、ATM に仕掛けられるもの
など種類も様々です。スキマーを使用すれば、カードを盗まなくても、カード偽造が可能です。ス
キミングは、カードの盗難と違って、カード自体が残っているため、被害に遭ったことに気づきま
せん。身に覚えのないカードの請求や、銀行口座の引き落としがあってはじめて被害に気がつくケ
ースが多くあります。
17
NPO 情報セキュリティフォーラム
スキミングの
スキミングの実例
2003 年 10 月から 2005 年 1 月にかけて、群馬県のレイクウッド系ゴルフ場で、ロッカーに
預けた荷物の中のキャッシュカードが偽造されるという被害が相次いだ
偽造団は、ゴルフ場の支配人からロッカーのマスターキーを借り、これを使用してロッカ
ーの暗証番号を確認。次にマスターキーを使用して、ロッカーを開け、
キャッシュカードを探した。伽主カードをスキミング装置で磁気情報を
読み取り、偽造カードを作成して、本物のカードは元に戻していた
ロッカーの番号とキャッシュカードの番号は同じであるケースが多く、
偽造したカードを使用し ATM から現金を引き出していた
平成 18 年 6 月 27 日セミナー資料より抜粋
有効なスキミング対策は、可能な限り所持するカード枚数を減らすことです。そして、異なる対
象には異なる暗証番号を使用し、生年月日、電話番号など、分かりやすい番号の使用を避けます。
また、怪しい店や場所ではカードを使用しないことや、会計の際にカードから目を離さないこと、
利用明細を定期的に確認することも重要です。
■ファーミング詐欺
ファーミング詐欺
実在する企業や団体を騙り、偽装した Web サイトにアクセスさせ個人情報を盗み取るフィッシ
ング詐欺が流行していますが、フィッシング詐欺を発展させたファーミング詐欺と呼ばれる詐欺も
発生しています。フィッシング詐欺の場合、電子メール上のリンクをユーザにクリックさせ、偽装
した Web サイトに誘導するので、URL を確認すれば本物の Web サイトか偽装した Web サイトか
を区別することが可能だったのですが、ファーミング詐欺では、アドレスバーに正確な URL を入
力しても偽装した Web サイトに誘導されてしまいます。
偽装した Web サイトに誘導させる手口を２つ紹介します。1 つ目は、DNS キャッシュポイズニ
ングという方法です。DNS とは、ドメインを IP アドレスに変換するものですが、このネットワー
ク上に存在する DNS サーバのキャッシュに偽の情報を記憶させることで、正確なドメインをアド
レスバーに入力したとしても、偽の IP アドレスに変換させ、偽の Web サイトに誘導させます。２
つ目は、トロイの木馬型のプログラムなどをユーザのパソコンに侵入させ、hosts ファイルを書き
換えるという方法です。hosts ファイルは、サーバ名と IP アドレスを対応させるためのファイルで
あり、hosts ファイルの設定は DNS の設定より優先されて適用されます。攻撃者がこれらの手口
が使用すると、本物の Web サイトにアクセスしているつもりでも、実際は偽装されたサイトにア
クセスしているので、対処することは大変困難になります。
■サラミ攻撃
サラミ攻撃
次に内部からの攻撃について紹介します。サラミ攻撃とは、多くの人から非常に小額の金銭を騙
し取る詐欺行為のことです。サラミと呼ばれる理由は諸説あり、「サラミソーセージを非常に薄く
切れば、切った事が分からないが、数多くの薄片を集めれば相当の量になるため」とか、「サラミ
ソーセージを作るときのように、細かい肉片でも数多く集めればまとまった形にできるため」など
といわれています。日本の諺でいえば「塵も積もれば山となる」でしょう。非常に多くの取引が必
要で、手間のかかる犯罪方法のため、必ずコンピュータが使用されます。
18
NPO 情報セキュリティフォーラム
サラミ攻撃
サラミ攻撃の
攻撃の実例
1993 年 1 月、アメリカフロリダ州のレンタカー会社の社員 4 人が、少なくとも 4 万 7000
人の顧客に詐欺を働いたとして起訴された。連邦大陪審は、4 人がコンピュータの請求プ
ログラムを書き換えて、実際のガソリンタンクの容量よりも 5 ガロン（約 19 リットル）多
く請求していたと判断した。顧客 1 人当たりの被害額は、2～15 ドルだったため、被害に
気づきにくかった
1997 年 1 月、米国メリーランド州のウィリス・ロビンソン（当時 22 歳）は
業務上横領の罪で禁固 10 年の刑を言い渡された。この男は、ファスト
フード・チェーンのタコベルのドライブスルーのレジのプログラムを改変
して、2 ドル 99 セントの商品を内部的には 1 セントで計上し、差額の
2 ドル 98 セントを懐に入れていた。逮捕されるまでに 3,600 ドルを
着服していた
平成 18 年 6 月 27 日セミナー資料より抜粋
サラミ攻撃は、非常に発見しにくい攻撃です。1 件あたりの被害額が小さく、プログラムが読め
る人がチェックしないと発見できないことが多いからです。サラミ攻撃に有効な対策は、プログラ
ム開発で関係者を集めて、プログラムで不正なことが行われているかどうかをチェックするウォー
クスルーを行うことや、経理データを無作為に抽出して検査し、小さな不整合でも徹底的に調査を
行うことです。こうしたチェックを二重、三重に行うことでサラミ攻撃を防止できます。
19
NPO 情報セキュリティフォーラム
第５章その他
その他の実例
■グーグルハッキング
グーグルハッキングとは、グーグルの検索機能を使用したハッキングです。攻撃者がこの方法を
使用するメリットは、攻撃対象の Web サイトにアクセスしなくても、グーグルのキャッシュを閲
覧するだけで、攻撃対象の Web サイトにアクセスすることなく、秘密裏に攻撃対象の Web サイト
の調査を行える点です。
例えば、Web サーバの設定が緩やかな場合、一般ユーザでもディレクトリ･リスティングと呼ば
れるサーバ上のディレクトリやファイルのリストなどの閲覧が可能なケースがあります。検索時に
「intitle:index.of parent directory」で検索すると、ディレクトリやファイルのリストを表示する
設定になっている Web サイトを容易に発見できます。同様に、Web サーバの種類やバージョンを
表示する設定の Web サイトを調べるには「intitle:index.of server.at」、CGI の情報を表示する設定
の Web サイトを調べるには「allinurl:/random_banner/index.cgi」と検索すれば発見が可能です。
対策としては、これらの情報をユーザが閲覧できないように設定します。
またグーグルハッキングには、グーグル爆弾と呼ばれる攻撃方法もあります。グーグル爆弾とは、
検索されたページの表示順位を決める際に、他のページから貼られているリンクに使用されている
文言をキーワードにするというグーグルの評価基準を悪用したいたずらです。この方法を使用する
と、ページに使用していない検索キーワードでも検索結果の上位に表示させることが可能です。
2004 年のアメリカ大統領選挙の際に行われたケースが有名で、当時「惨めな失敗」を意味する
“miserable failure”というキーワードで検索すると、ブッシュ大統領の経歴ページが検索第 1 位
に表示されました。大きな被害を受けるわけでなく、検索結果もすぐに修正されますが、このよう
な攻撃方法があります。
グーグルハッキングの
グーグルハッキングの実例
2004 年 8 月、アメリカの政治団体のデータがグーグルハッキング
によって発見された。会員の氏名、電子メールアドレス、
参加メーリングリストなどの情報が表示された
平成 18 年 6 月 27 日セミナー資料より抜粋
■ルートサーバへの
ルートサーバへの攻撃
への攻撃
インターネットは分散型のシステムですが、ドメイン名と IP アドレスを変換する DNS は集中処
理を行っており、DNS の最上位には 13 台のルートサーバが存在します。13 台のサーバは、国際
組織に 1 台、アメリカに 9 台、ヨーロッパに 2 台、日本に 1 台があります。インターネットは、も
ともとは軍事目的で作られたシステムで、仮に核攻撃を受け、一部のサーバが停止しても機能する
ように作られています。しかし、13 台のルートサーバの全てが停止すれば、全世界のインターネッ
トのすべてが停止してしまいます。これらのルートサーバは、同一 IP アドレスに複数のサーバを
冗長構成で配置するとか、複数のサーバ群に同一 IP アドレスを割り当てるなどの強化が行われて
います。
20
NPO 情報セキュリティフォーラム
ルートサーバへの
ルートサーバへの攻撃
への攻撃
2002 年 10 月、インターネットのルートサーバが DDOS
攻撃を受け、13 台中 7 台が完全にダウン、2 台が動作が不安定に
残り 4 台のルートサーバの機能と、下位階層サーバにキャッシュが
残っており、インターネットの停止は免れた
平成 18 年 6 月 27 日セミナー資料より抜粋
■サイバー戦争
サイバー戦争
インターネット上でグループや国を相手にサイバー攻撃を仕掛け、集団対集団で攻撃することを
ここではサイバー戦争と呼んでおきます。最初のサイバー戦争は、1998 年に中国とインドネシア
の間で起こりました。インドネシアには華僑と呼ばれる中国系住民が住んでいますが、1998 年 5
月に中国系住民に対する暴動事件が発生し、これに憤った中国のハッカーグループがインドネシア
に対してサイバー攻撃を行いました。その後、2000 年にイスラエルとパレスチナ、2001 年にアメ
リカと中国、2003 年にはアメリカとイスラム諸国、2004 年には日本と中国の間でサイバー戦争が
発生しています。
サイバー戦争
サイバー戦争の
戦争の実例
中国対インドネシア
・ 1998 年 5 月、インドネシアで中国系住民に対する暴動事件が発生。この事件に対する
インドネシア政府の対応に憤りを感じた中国のハッカーグループがインドネシアに対
しサイバー攻撃を行った
イスラエル対パレスチナ
・ 2000 年 9 月 28 日、イスラエルの右派政党リクードの党首シャロン（当時）は、エル
サレム旧市街のイスラム教の聖地を訪問。この際にイスラエル警察とパレスチナ人が
衝突し死傷者が出た
・ 10 月 7 日、イスラエルとパレスチナを支持する勢力との間でお互いの Web サイトに
対するサイバー攻撃を開始し、イスラエル側では 100 を超える Web サイトが、パレス
チナ側では 30 以上の Web サイトが被害を受けた
中国対アメリカ
・ 2001 年 4 月、中国海南島の東南の公海上空で、アメリカと中国の戦闘機が接触事故を
起こし、中国国民の反米感情が高まった
・ 4 月 5 日、中国のハッカーグループがアメリカの企業の Web サイトを改変し、その後、
中国では 300 以上の Web サイトが、アメリカの 270 以上の Web サイトが改変された
・ 5 月 4 日には、ホワイトハウスの Web サーバが Dos 攻撃を受け、6 時間にわたり接続
困難な状態に陥った
アメリカ対イスラム諸国
・ 2003 年 3 月に起きたイラク戦争を契機に、
「自由サイバー義勇軍」と名乗るハッカー
集団が、イスラム系のニュース会社アルジャジーラの Web サイトを改変した
・一方イスラム諸国側を支持するハッカー集団は、アメリカとイギリスの Web サイトを
改変した
中国対日本
・ 2004 年 8 月、中国のハッカー集団が国内外の約 1900 人を組織し、日本の靖国神
社、中央官庁などの 200 以上の Web サイトに対し、サイバー攻撃を開始した
・中国国内では、インターネットの掲示板を通し、靖国神社攻撃の呼びかけと攻撃ツ
ールの配布があり、その攻撃ツールを使用したと見られる攻撃が靖国神社の Web
サーバに行われた
平成 18 年 6 月 27 日セミナー資料から作成
21
NPO 情報セキュリティフォーラム
これらはハッカー集団同士のサイバー戦争ですが、様々な国が正式な組織としてサイバー部隊の
創設・研究を行っています。例えばアメリカは、1998 年 12 月にコンピュータネットワーク統合任
務部隊というサイバー部隊を創設しています。これら部隊の任務には、敵の攻撃から味方のネット
ワークやコンピュータを防御することに加え、敵のネットワークやコンピュータを攻撃することも
含まれます。中国は 1997 年に人民解放軍でサイバー戦争の演習訓練を実施しています。北朝鮮は、
朝鮮コンピュータセンター内に 800 人規模のサイバー部隊を設置しており、諸外国の機密情報の入
手や、ハッキングの研究を行っているといわれています。それに対し日本は、2004 年 12 月に策定
された新防衛大綱の中にサイバー攻撃への対処の必要性が盛込まれたのを受け、2005 年 3 月に陸
上自衛隊に 50 人規模のシステム防護隊が創設され、サイバー攻撃に対する研究を進めています。
本日の話は以上です。ご清聴、ありがとうございました。
22
NPO 情報セキュリティフォーラム
リンク集
リンク集
※ １「2005 年度個人情報漏えいインシデント調査結果」
・ NPO 日本ネットワークセキュリティ協会
http://www.jnsa.org/result/2005/20060601_pol_01.pdf
※ 2「ブラスター及びウェルチワームの国内企業被害に関するアンケート調査結果について」
・経済産業省
http://www.meti.go.jp/kohosys/press/0004515/0/030918blaster.pdf
・Microsoft、Windows は、米国 Microsoft Corporation の米国およびその他の国における登録商標ま
たは商標です。
・その他、本文中に記載されている社名及び商品名はそれぞれ各社が商標または登録商標として使用し
ている場合があります。
※講演・セミナーについてのお問い合せ、ご依頼は、NPO 情報セキュリティフォーラム事務局までお
願い致します。
※著作権が存在します。著作権法の範囲を超えて二次利用等ご希望の方はご相談ください。
特定非営利活動法人 NPO 情報セキュリティフォーラム
横浜市神奈川区鶴屋町 2-17 相鉄岩崎学園ビル
TEL 045-311-8777 FAX 045-311-8747
http://www.isef.or.jp E-mail:[email protected]
23

Download Report