改めてみんなのインターネットを考えよう

Internet Week 2014を取材

2014/12/18

　JPNICが主催し、インターネットを巡るこの1年の環境を締めくくるセミナー「Internet Week 2014」が開催。総務省、文部科学省、経済産業省をはじめ多くの法人、組織の後援で実施された。2014年11月18日～11月21日の4日間にわたって秋葉原の富士ソフトアキバプラザで開催された。

総務省をはじめ多くの法人、組織が後援した Internet Week 2014の様子

標的型攻撃の現状と対策2014

　日本における標的型攻撃には4つのパターンがあると一般社団法人 JPCERTコーディネーションセンター椎木孝斉氏は言う。

［パターン1　標的型攻撃メール］
攻撃者が標的の組織にマルウェア（有害ソフト）を仕込んだメールを送り標的の情報を取るパターン。

［パターン2　水飲み場型］
攻撃者が正規WEBサイトに不正アクセスし、不正サイトに誘導するように正規サイトを変更。一般ユーザは正規サイトに接続したつもりが、誘導された不正サイトに接続し、マルウェアをダウンロードさせられるというもの。ソフトウェアアップデートを偽装する場合もあり、マルウェアは自動で中継サイトに接続し情報をアップロードする。攻撃者は中継サイトからユーザの情報を取る。

［パターン3　ドメイン名ハイジャック］
正規サーバアドレスを不正サーバアドレスに誘導するようドメイン名データベースを書き換えるもので、日本の組織も標的になっている。この時、攻撃者はドメイン名のレジストラ、レジストリ、DNSサーバーを攻撃し情報を書き換える。

［パターン4　マルウェア］
マルウェアには「侵入」「潜伏」「内部活動」の3段階がある。侵入する時のファイル形式は、実行形式が全体の半分、文書形式が4分の1。脆弱性を狙ったものが全体の58％。特にアイコン偽装、システムフォルダ関連のアイコンが目立つという。フォルダアイコンに偽装されると、ユーザは抵抗なくクリックしてしまうため、ネットからダウンロードしたものはクリックする前にプロパティ表示等で属性をチェックすべきであるという。

　侵入には、正規アプリケーションの電子署名を利用するものがある。つまり電子署名を盗まれた組織があるということ。

　潜伏段階で使用されるマルウェアの特徴として、外部通信機能、通信転送（プロキシ）機能、組織の内部情報の組み込み機能を持つ。インフラとして悪用された組織向けの特徴は、バックドア、ログインモジュールの改変などである。

　侵入のための足がかりとして悪用された第三者組織があり、侵入経路はより複雑になっている。さらに、ネットとの接続が切られたことを感知し自分を消すマルウェアもある。

今年の標的型攻撃の特徴

　特定のセキュリティ製品を避けるものが出始めた。アップデート・ハイジャッキング、Java、Flash、モバイル端末が注目される、とデロイトトーマツサイバーセキュリティ先端研究所の岩井博樹氏は言う。攻撃を受けた時のアドバイスとして、セキュリティプログラムを選択する場合は、攻撃側の改ざんが困難になるようにログが暗号化できるものがベターであること、そのときのメモリーダンプを取っておくとよい、とのことだ。

標的型攻撃の実戦

　2013年4月の不正アクセス検知や同年5月の不正アクセス検知、IDとパスワードの一部流出の可能性、同年10月のゼロデイ攻撃の検知、という実際にあった攻撃についてヤフー株式会社高元伸氏は語った。マルウェアの中には実働できるIPアドレスが定義されYahooのみで動くようになっていたものがあったという。

　対策システムは減価償却終了の前に陳腐化するため、正常でない動きをどのように知るかを普段から考えておくことが重要だと力説した。


ソフトバンク・テクノロジー株式会社辻伸弘氏		情報処理機構　加賀谷伸一郎氏

リスト型攻撃時代　私たちはどう立ち向かうべきか

　1人が扱うIDとパスワード、iTunesなど換金に関連するパスワードなどが増加している。リサーチバンクの調査によると、パスワードに使われる文字数は6～9文字が全体の80％弱もあること、2種類の文字種（文字種とは、大文字、小文字、数字など）を使っているのは75％、ウェブサイト毎のパスワードの使い回しは、2～3種類が50％、2段階認証を知らないユーザが56％もあり、パスワード管理方法は紙にメモが40％だった、とソフトバンク・テクノロジー株式会社の辻伸弘氏は語る。

　以前のリスト型攻撃は少数のIPアドレスを使った攻撃で国外からが大半。実質的被害は少なかった。現在、複数のIPアドレスを使う国内からの攻撃が増加し、実質的被害だけでなく2次被害も増加している。リストに洗練がみられ、踏み台にされている組織がある可能性が高い。パスワードなど自分自身でできる自衛策を積極的に採ることが大事だと語った。

個人に牙をむくサイバー攻撃…狙うは、ずばり「お金」です

　狙われているのは個人のお金です、とトレンドマイクロ株式会社リージョナルトレンドラボの木村仁美氏は強調する。

　マルウェアは犯罪目的で、犯行者がプログラムのスキルを身に付けて作っている。最近の流行は、わいせつな画像をデスクトップに出して脅迫するワンクリック詐欺、写真・データを暗号化して脅迫するランサムウェア（身代金目的）が多く見られる。また、いつのまにかいる邪魔モノのアドウェア、オンラインから自動送金するオンライン銀行詐欺ツールなどで、犯罪者が金銭を集める効率を上げるためサイバー犯罪をやっている、と思ったほうが自然だという。

　ワンクリック詐欺は日本特有であり、詐欺なのでお金を払わないこと。無視するのが一番で連絡先を渡さないことが大切。

　一方、ランサムウェアは、暗号化が高度化し復号化が難しいので、大切な写真やデータはバックアップすることが大切と語る。

　またアドウェアについては一種の広告で、ボタンを押させると作成者にお金が入るので、非常に巧妙化している。日本の検出数トップ3もアドウェアで検出数は2014年の第3四半期までに437,000件もあるとのことだ。

　オンライン銀行詐欺ツールはウェブ・インジェクションと呼ばれる手法で猛威を振るう。2013年6月に日本初上陸し、2014年に自動送金機能が観測された。ヨーロッパでは2012年に初観測。新しく観測されたもの（ボートラック）の特徴は、ユーザがブックマークからオンライン銀行にログインすると、ステータスバーが表示され、しばらくするとメンテナンス画面が表示される。この間に自動送金されているので、後日確認したら、残高が0になっている、というもの。感染してしまうと対処法が今のところないということだ。

　木村氏は気を付けてほしい点として、パッチが不十分なWindows XPに感染するものがあるのでXPを使っている場合はパッチを当ててほしい、出入りの業者のUSBメモリから感染する場合も目立っている、実行ファイルをクリックする時は出所に注意する、OKボタンを連打しない、メールの添付ファイルやリンクは開かないこと、怪しいサイトに行かないことだと強調した。

スマートフォンは、個人情報の宝庫！　アナタは大丈夫？

　スマホを新調した場合、使い慣れた友人などに設定を頼むことがある。このときIDやパスワードを知らせてしまう。この2つが分かれば、遠隔でスマホに届いたメール、スケジュール、写真を見ることができる。また今、カメラに写っているものを映すことさえ簡単にできる、と独立行政法人情報処理機構技術本部セキュリティーセンター調査役の加賀谷伸一郎氏は語る。

　加賀谷氏は持参したスマホにウイルスを入れてデモを見せた。目の前で遠隔に操作されたスマホのカメラが作動するという危険性を体感・実感できるものであった。

　業界関係や学生が主な参加者であったInternet Week 2014だが、けっして敷居の高いものばかりではなく、無料のイベントもあった。最前線にいる担当者から直接話を聞くことができるセミナーであり、多くの啓発を受けたことを最後に記しておく。

（石丸隆雄）

【セミナーデータ】