サイバーセキュリティ アニュアルレポート 2015

C y b e r
NTT-CERT
S e c u r i t y
NTT Computer Security Incident Response and Readiness Coordination Team
サイバーセキュリティ アニュアルレポート 201 5
NTT Secure Platform Laboratories NTTセキュアプラットフォーム研究所
目次
はじめに
03
1 サイバーセキュリティの概況(エグゼクティブサマリ)
06
2 世の中のサイバーセキュリティ事案
08
1 事案の概況(年表)
09
2 事案の分析
16
❶ 深刻な脆弱性
16
❷ 大規模なサイバー攻撃と情報流出
28
❸ モバイルの安全性
37
❹ プライバシーの扱い
45
❺ 各国の動き
50
❻ 新しい脅威
54
3 脆弱性の動向
1 脆弱性情報の動向
61
62
4 NTTグループにおけるセキュリティ対応状況(NTT-CERTの取り組み状況) 67
1 問い合わせ・対応状況
68
2 対応事例
69
❶ 9.18満州事変に伴うサイバー攻撃について
69
❷ 翻訳サイトの翻訳結果がWeb検索で表示されてしまう
(ilovetranslation)
70
❸ Thunderbirdのバグによる誤送信事案
71
❹ Webサーバへの不正侵入事例
73
❺ 検索エンジン
「SHODAN」の調査報告
75
5 2014年度のサイバーセキュリティ関連トピック
77
1 個人情報、プライバシー問題
78
2 AndroidアプリケーションにおけるJavaScript連携の脆弱性調査
89
3 クラウドセキュリティに関わる標準化
91
6 外部動向
92
1 政府動向
93
2 外国動向
95
商標について
96
はじめに
本レポートは、2014年度のサイバーセキュリティ動向および
NTTセキュアプラットフォーム研究所の関連する活動状況についてまとめたものです。
本レポート読者の方々に、現在のサイバー脅威の動向をご理解いただき、
ご自身が提供されるサービス、システムなどの安心・安全に向けた取り組みの
ご参考としていただければ幸いです。
なお、本レポートに記載された情報、URLなどは、2014年度のものであり、
情報内容の変化、
リンク先の情報削除などが行われている場合があります。
NTT-CERTの紹介
N T Tセキュア プ ラットフォーム研 究 所で は 、N T Tグル ープの セキュリティ強 化 に 向 け 、N T Tグル ープ の C S I R T
(Computer Security Incident Response Team)であるNTT- C ERTおよびセキュリティ研究成果・知見により、
技術的な支援を進めている。
NTT セキュアプラットフォーム研究所
フィールドサポート
NTTグループ
社内情報システム
脆弱性情報配信
脆弱性ハンドリング
セキュリティ教育・訓練
セキュリティ・コンサル など
国内外研究機関
セキュリティ研究活動
予防
NTTグループ
法人/ソリューション
運用ガイド策定
セキュリティ診断
ブラックリスト提供
OSINT
(セキュリティ情報分析)
事後
対応
フォレンジック
・
・
・etc.
(nicter)
被害極小化
検知
セキュリティ製品評価
未然防止
NTTグループ
公衆/インフラ
セキュリティ・ポータル
インシデント・ハンドリング
マルウェア解析
セキュリティ
ベンダ
技術開発
①検知・防御技術
③可視化・証跡
②暗号プロトコル
NTT-CERT活動概要
NTT グループの CSIRT として、2004 年に発足した。
セキュリティ情報をいち早くキャッチし、NTT グループ全体の被害の極小化、未然防止を図る。
独自センサーなど
(例:ハニーポット)
外部機関
(FIRST、NCAなど)
フィードバック
CSIRTがやること
セキュリティ運用
セキュリティ運用
ノウハウ集積
ノウハウ集積
・活用・活用
NTTーCERTの
グループ支援施策例
・セキュリティSE
・セキュリティ教育
被害発生時
被害発生時
の対応
の対応
攻撃の検知
脆弱性・攻撃などに関する情報の
収集分析と早期検知
内外の適材適所への迅速な
情報伝達と専門的対応支援
・脆弱性検証情報提供
・公開前脆弱性情報提供
・インシデント通知
・情報漏えい検知
・インシデント対応支援
・事例共有
情報共有 分析・調査
相談受付
対応支援
トレーニングなど
各フェーズでNTTグループを支援
リスク管理
被害の未然防止/被害の極小化
NTTグループ各社
04
警戒・緊急対応
通常対応
事件
脆弱性などの
収集・共有
防止
セキュリティ研究活動概要
予防から検知、事後対応までの一貫したセキュリティ運用強化を図る技術確立と事業会社支援を実施する。
事業会社の
セキュリティ運用
フィールド
サポート
R&D
ミッション
未然防止
予防
被害極小化
検知
事 業 環 境における検 証 設 備
構 築や実 施 手 順 などに関わる
技術 支 援
セキュリティ診断結果に基づく
事業での対応やブラックリスト
およびログ分析手法などの導入
に関わる技術支援
セキュリティ製品評価
事 業 導 入 前 に、新 た な 技 術 /
製品などの機能、性能、脆弱性を
評価するとともに、必要な対策
などをレポート
セキュリティ診断
グループ各社のWebサイトに
ついて、改ざん、脆弱性、要塞化
不備を定期的に検査/分析し、
問題があれば対策などを立案
運用ガイド策定
政府や業界によるガイドライン
策定の動向を見据え、グループ
での遵守に向けた技術検証や
手順書策定を実施
ブラックリスト提供
研究所で構築したブラックリスト
(AVベンダなどが所有するもの
との 差 分 )を グ ル ー プ 会 社 に
情報展開し、攻撃ブロックに寄与
事後対応
分析対象取得、技術対策適用に
おけるオンサイトでの技術支援
フォレンジック
マルウェア解析
セキュリティ事案へ対応する中、
事 業 サ イドでは 実 施 が 難しい
深い部分(AP/システムログ、
悪 性 プ ロ グ ラム など )の 分 析
手法の確立および技術変化に
追随する継続的な維持・高度化
OSINT
(セキュリティ情報分析)
インターネット上のセキュリティ
に関わる情報を広く収集、総合
的な分析を行い、最新の状況を
共有
サイバーセキュリ ティ アニュアルレポート
05
1 サイバーセキュリティの概況(エグゼクティブサマリ)
第1章では、2014年度のセキュリティ動向および本レポートの概要について説明する。
06
2014 年度はソニーピクチャーズへの攻撃や Darkhotel など、高度な標的型攻撃が報告されたほか、インター
ネットの基盤技術に関わる重大な脆弱性(Heartbleed、Shellshock、POODLE、DNS の委任/移転通知インジェ
クション攻撃など)
やインターネットの基盤に関わるインシデント
(DNS への DDoS 攻撃/ドメイン乗っ取り/証明書
への攻撃など)が多発した年度であった。さらに、国家による監視強化と世論やサービス提供業者の反発による綱引
きは継続しつつも、全体的には国際的なテロ続発の中で監視強化の流れが進んだ。新技術の動向としては、制御シ
ステムや IoT(Internet of Things)への攻撃やリスクの指摘が本格化し、欧州では鉄鋼所が現実に被害を受けた。
また、スマートフォンへの攻撃も、従来の不正アプリだけではなく脆弱性を突くタイプの攻撃やランサムウェアの流
行など、PC 以上に高度な攻撃が流行した。
日本国内のセキュリティ動向に目を向けてみると、ベネッセによる大規模な情報流出が大きなトピックとなった。ま
た、海外では数年前から問題となっていた不正送金マルウェアの日本対応が本格化し、不正送金被害が急増したほ
か、昨年度から引き続いてのリスト型攻撃による情報漏えいや CMS などの脆弱性を突いた Web サイト改ざん、ス
マートフォンの普及に伴って SNS を悪用する攻撃(LINE 乗っ取り、Facebook や Twitter 機能の不正利用など)が急
増した。さらに、混沌とした世界情勢を反映し、ハクティビストの活動が拡大する中で、日本の多数のサイトが攻撃に
巻き込まれる事態も発生した。一方で、2020 年東京オリンピック・パラリンピックに向けた日本全体のセキュリティ
強化の取り組みが始まった年度でもあり、サイバーセキュリティ基本法の成立、個人情報保護法の改正、内閣サイ
バーセキュリティセンターの発足などが進められた。また、マイナンバー制度の 2016 年 1 月開始に向け、法制度な
どの整備が進められたが、社会的な対応の遅れやプライバシー、セキュリティに関しての懸念が指摘された。
本レポート第 2 章では、これらの状況をセキュリティインシデントに関わる報告、記事情報などをもとに動向を整
理、分析する。続いて、第 3 章で攻撃の原因の一つである脆弱性の動向についての分析結果について報告する。
第4章では、これらのセキュリティインシデントに対応するための取り組みであるNTT-CERTの活動状況について、
具体的な対応事例を交えて報告する。
第 5 章では、2014 年度のセキュリティに関連するトピックとして、個人情報保護およびプライバシーに関する日本
ウドセキュリティに関する標準化動向について報告する。
第6章では、2014年度のサイバーセキュリティ動向を把握していただくための外部の動向の情報として、政府動向、
海外動向について報告する。
07
サイバーセキュリ ティ アニュアルレポート
国内の動向、Android 端末の主な脆弱性の原因の一つであるWebView の脅威の実態、今年度普及が進んだクラ
2 世の中のサイバーセキュリティ事案
第2章では、セキュリティ事案にかかわる新聞記事などから、2014年度のセキュリティ事案の概況について説明し、
さらにトピックとなる事案についての分析を行った結果について報告する。
08
1. 事案の概況(年表)
第1四半期
・OpenSSLの深刻な脆弱性
(SSL Heartbleed)
が発見された。この脆弱性を狙った攻撃により、海外ではカナダ歳入庁、
国内では三菱UFJニコスで不正アクセスによる被害が報告された。
・Windows XPサポートが終了となった。Microsoftはその後に発見されたIEの脆弱性に対するWindows XP更新プロ
グラムを特例で配布した。
・米司法省は、オンラインバンキングを標的としたマルウェア
「Game over Zeus」
についてテイクダウンを実施し、関
連サイトの差し押さえや管理者の逮捕を行った。
・iPhone乗っ取り、Twitter、LINEアカウント乗っ取りなど、スマートフォンユーザやSNSユーザに対するサイバー脅威
が広まりを見せた。
【参考記事】
4月
日
8
トピック
「OpenSSL」暗号ライブラリに重大な脆弱性
URL
http://japan.cnet.com/news/service/35046250/
XPサポート打ち切り 韓国政府が支援策
http://www3.nhk.or.jp/news/html/20140409/k10013623911000.html
15
米英2紙にピュリツァー賞、NSAの情報収集活動を暴露
http://www.cnn.co.jp/tech/35046575.html
15
OpenSSLの“Heartbleed”脆弱性による被害が発生、
カナダ歳入庁が発表
http://internet.watch.impress.co.jp/docs/news/20140415_644351.html
15
DNSキャッシュ汚染に注意 --カミンスキー型攻撃の増加に専門機関が警鐘
http://www.security-next.com/048036
17
Apache Struts2 の脆弱性対策について(CVE-2014-0094)
(S2-020)
http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
Microsoft、XPで特例の更新プログラム配布
http://www.yomiuri.co.jp/it/security/goshinjyutsu/20140502-OYT8T50142.html
12
三井住友銀行、新手のネット不正送金被害を発表
http://www.nikkei.com/article/DGXNASFL120SX_S4A510C1000000/
15
ネットバンキング不正送金被害が最悪に
http://www3.nhk.or.jp/news/html/20140515/k10014475191000.html
19
サイバー対策を強化、来年度めどに組織格上げ 次官級も 政府
http://sankei.jp.msn.com/politics/news/140519/plc14051911120004-n1.htm
28
iPadやiPhoneの乗っ取り被害多発、ロック解除に
「身代金払え!」
http://www.itmedia.co.jp/news/articles/1405/28/news038.html
9
5月
2
6月
3
3
【Update】CDNetworksが侵害公表、バッファロー、JUGEMなどで
改ざん:
「外部サービス」が原因、公式サイトの改ざん被害相次ぐ
[CNET Japan] 米当局、
「GameOver Zeus」ボットネットを摘発
--ユーザは2週間以内に防御策の実施を
http://www.atmarkit.co.jp/ait/articles/1406/03/news056.html
http://www.asahi.com/tech_science/cnet/CCNET35048843.html
LINE乗っ取り300件以上 不正ログイン、金銭被害3件
http://www.nikkei.com/article/DGXNASDG1703H_X10C14A6CR8000/
18
国会図書館、日立社員2人を刑事告発
http://www.nikkei.com/article/DGXNASFK1602E_W4A610C1000000/
19
ニコニコ動画の広告からマルウェア感染 --原因はマイクロアドと米ヤフー
http://japan.cnet.com/news/business/35049705/
23
DDoS攻撃で停止の「ファンタシースターオンライン2」、再開できず
「攻撃規模、極めて大きい」
http://www.itmedia.co.jp/news/articles/1406/23/news078.html
第2四半期
・内部犯行により約3,500万件と大規模な個人情報の流出が発生、ベネッセは被害者に補償金として500円相当の金券な
どを送付した。
・オンラインバンキングの不正送金被害額が18億円に到達。警察庁は、金融機関に対して対策の強化を要請するととも
に、取り締りの強化を開始した。
・スマートフォンでは、Android と iOS を標的にしたモバイルマルウェアやランサムウェアが増加するなど、引き続き
攻撃の対象となっている。
・中国がLINEやフリッカー、Googleなどの接続規制を開始した。
・国内ではサイバーレスキュー隊
「J-CRAT」
が結成された。JPCERT/CCは国際的なボットネットのテイクダウン作戦に
協力、感染端末などの情報を提供した。
09
サイバーセキュリ ティ アニュアルレポート
17
【参考記事】
7月
日
2
7
トピック
URL
中国でLINEが不通に 「政府の関与」指摘も
http://www.asahi.com/articles/ASG7262K9G72UHBI01T.html
「Baidu IME」の自動アップデート機能で別ソフトがインストールされる障害が発生
http://www.forest.impress.co.jp/docs/news/20140707_656766.html
Google、ゼロデイ攻撃を防止する
「Project Zero」を発表
http://japan.cnet.com/news/service/35050933/
16
標的型サイバー攻撃に立ち向かう、IPAのサイバーレスキュー隊が正式発足
http://internet.watch.impress.co.jp/docs/news/20140716_658291.html
23
日本国内のオープンリゾルバを悪用するDDoS攻撃が発生
--DNSリフレクター攻撃とは異なる手法
http://www.security-next.com/050711
30
AndroidにID偽装の脆弱性が存在、アプリ特権を悪用可能に
http://www.itmedia.co.jp/enterprise/articles/1407/30/news041.html
露ハッカー集団が12億件の情報窃盗、史上最大の流出か 米社発表
http://www.afpbb.com/articles/-/3022417
[Black Hat USA 2014 レポート]ファームウェア書き換えでUSBに機能追加
http://scan.netsecurity.ne.jp/article/2014/08/11/34665.html
16
8月
世の中のサイ バー セキュリティ事 案
2
1. 事案の概況(年表)
6
11
18
20
25
26
9月
4
「Suicaポイントクラブ」756アカウントで不正ログイン、一部サービス停止中
中国ハッカー集団、米大手医療機構に侵入 個人情報大量流出
http://internet.watch.impress.co.jp/docs/news/20140818_662457.html
http://www.epochtimes.jp/jp/2014/08/html/d44358.html
「PSN」を含むSony Entertainment NetworkのサービスにDDoS攻撃
大規模接続障害が発生、個人情報の漏えいはなし
http://internet.watch.impress.co.jp/docs/news/20140825_663453.html
日産、公式サイトで第三者の不正アクセスにより一部のプログラムが改ざん
http://car.watch.impress.co.jp/docs/news/20140826_663720.html
米ホーム・デポ、国内のほぼ全店舗で顧客データ流出か
http://jp.reuters.com/article/businessNews/idJPKBN0GZ03X20140904
12
JR東日本サイトに不正ログイン
http://www3.nhk.or.jp/news/html/20140912/k10014563011000.html
24
JALで情報流出、マイレージ会員情報など最大75万件の可能性も
http://www.itmedia.co.jp/enterprise/articles/1409/24/news153.html
25
UNIXとLinuxの「Bash」
シェルに重大なセキュリティホール
http://japan.cnet.com/news/service/35054245/
30
佐川急便でも不正ログイン、運輸・物流業界でリスト型攻撃相次ぐ
http://www.itmedia.co.jp/enterprise/articles/1409/30/news178.html
30
リクルートHD/ポンパレモールに不正ログイン/被害件数は9,700件超に
http://www.bci.co.jp/netkeizai/general/2014/781.html
第3四半期
・ Shellshock を狙う攻撃、Winshock、SSL3.0 の脆弱性(POODLE)発覚、ドメインに対する攻撃、ICANN や ISC 不
正アクセスなど、インターネットやサーバのプラットフォームの問題が継続した。
・ソニーピクチャーズが大規模攻撃により業務停止となった。FBI は北朝鮮からの攻撃と発表したが、セキュリティ専門
家からは疑義が投げかけられた。
・米国で大規模な情報漏えい(JP モルガン、米郵政公社、ステープルズなど)が継続した。
・医療費通知を装う大規模攻撃が発生、遠隔操作ツールによる情報流出などが多発した。
・USB 仕様上の脆弱性を突いた BadUSB など、従来の対策技術では対応困難な攻撃手法が報告された。
・サイバーセキュリティ基本法成立、経産省個人情報取り扱いのガイドラインを改定した。
・総務省主催第 1 回「実践的サイバー防御演習(CYDER)」が開催された。
【参考記事】
月
10
日
URL
3
bashの脆弱性を抱えるNASへの攻撃、日本や韓国が標的に
http://www.itmedia.co.jp/enterprise/articles/1410/03/news109.html
3
JPモルガン・チェース 顧客情報大量流出
http://www.itmedia.co.jp/news/articles/1410/03/news042.html
15
SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
http://www.itmedia.co.jp/enterprise/articles/1410/15/news054.html
17
セキュリティベンダの共同作戦で Hidden Lynx のマルウェアに打撃
http://www.symantec.com/connect/ja/blogs/hidden-lynx-2
21
31
月
11
URL
トピック
5
6
「実践的サイバー防御演習(CYDER)」の実施
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000085.html
産業制御システムを狙うマルウェア、
米ICS-CERTが注意呼び掛け
http://www.itmedia.co.jp/enterprise/articles/1410/31/news051.html
登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起
https://www.jpcert.or.jp/at/2014/at140044.html
「サイバーセキュリティ基本法」が成立、国の責務を明確化
http://itpro.nikkeibp.co.jp/atcl/news/14/110701794/
10
ファームウェアを勝手に書き換える、USBの危険すぎる脆弱性「BadUSB」
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/110600093/
11
米郵政公社にサイバー攻撃、職員80万人超の個人情報など流出の恐れ
http://jp.reuters.com/article/topNews/idJPKCN0IU24020141110
26
ソニーピクチャーズにサイバー攻撃か、米メディアが報道
http://itpro.nikkeibp.co.jp/atcl/news/14/112602024/
10
日
月
12
トピック
URL
3
イランのハッカー集団、航空・エネルギー会社など攻撃
http://jp.reuters.com/article/worldNews/idJPKCN0JH0IO20141203
9
ソニーのプレステネットワークにシステム障害、
「 Lizard Squad」の攻撃か
http://itpro.nikkeibp.co.jp/atcl/news/14/120902171/
10
Facebookに新たなサイバー攻撃 日本語広告で偽企業サイト誘導 タグ付け機能使い拡散も 金銭や個人情報要注意
http://www.sankei.com/west/news/141210/wst1412100011-n1.html
12
経産省、ベネッセ事件などを受けて個人情報ガイドライン改正
http://itpro.nikkeibp.co.jp/atcl/news/14/121202230/
18
ICANNに不正アクセス、ユーザ情報が流出
http://www.itmedia.co.jp/enterprise/articles/1412/18/news046.html
25
DNSソフト開発元サイトがダウン、利用者にマルウェア検査を要請
http://www.itmedia.co.jp/enterprise/articles/1412/25/news108.html
第4四半期
・SPE への攻撃に関連し、NSA が 2010 年より北朝鮮内部を監視していたと報道。さらに NSA などによる世界的な SIM
情 報 窃 取(ベ ン ダ は 影 響 小 と 発 表)や HDD フ ァ ー ム へ の マ ル ウ ェ ア 設 置 な ど、高 度 か つ 対 策 困 難 な 諜 報 活 動
(Equation Group)の実態が報道された。
・ISIL を中心として、双方の攻撃が激化、米軍 Twitter 乗っ取り、NW 紙サイト改ざん、ISIL への Anonymous 宣戦布告や
ISIL サイト改ざんが発生した。
・レノボ社 PC プリインストールソフトに、暗号通信を阻害する脆弱性の指摘があり問題化した。
・2020 大会に向け NTT などがパートナー選定されたほか、セキュリティ強化に向け業界全体が活発化した。内閣がイ
ンフラ事業者など 48 社に情報共有を要請するなどの国全体で強化の方向となった。
・POS を狙う高度なマルウェア「ポセイドン」が報告された。
・米 Github への大規模 DDoS 攻撃が発生した。
【参考記事】
1月
日
トピック
URL
3
日本製「身代金要求型ウイルス」を初確認
http://www.nikkei.com/article/DGXLASDG26HAF_S5A100C1CC1000/
5
韓国原子力発電所へのサイバー攻撃
http://www.icr.co.jp/newsletter/global_perspective/2015/Gpre2015002.html
7
サイバー攻撃で欧州の大手Bitcoin取引所閉鎖
http://www.nikkei.com/article/DGXMZO81660690X00C15A1000000/
13
米軍Twitterアカウントにハッキング、イスラム国支持集団の犯行か
http://itpro.nikkeibp.co.jp/atcl/news/15/011300124/
20
NSA、北朝鮮のネットワークをソニー攻撃前から監視か --2010年より
http://japan.cnet.com/news/business/35059190/
26
スマホに
「消せないメッセージ」注意を
http://www3.nhk.or.jp/news/html/20150126/k10014958851000.html
3月
不正広告の閲覧で自動感染させる攻撃も、
「 Flash Player」が18件の脆弱性を修正
http://internet.watch.impress.co.jp/docs/news/20150206_687251.html
10
サイバーセキュリティ戦略本部発足
http://www.kantei.go.jp/jp/97_abe/actions/201502/10cyber_security.html
10
ハッカー集団のAnonymous、ISIS攻撃を宣言
http://www.itmedia.co.jp/enterprise/articles/1502/10/news053.html
18
極めて高度なサイバー攻撃集団「Equation Group」、セキュリティ企業が報告
http://itpro.nikkeibp.co.jp/atcl/news/15/021800571/
20
SSL通信を盗聴される恐れ、
ノートPCに潜む「Superfish」
の正体
http://itpro.nikkeibp.co.jp/atcl/news/15/022000625/
21
韓国原子力発電所へのサイバー攻撃
米英情報機関
:SIMカード世界最大手に不正侵入か
http://mainichi.jp/select/news/20150221k0000e040213000c.html
サイバー対策で情報共有 政府、48事業者に協力要請
http://www.nikkei.com/article/DGXLASFS01H20_R00C15A3PE8000/
1
7
“盗んだアドレス10億件超”米で3人起訴
http://www3.nhk.or.jp/news/html/20150307/k10010007231000.html
10
個人情報保護法改正案を閣議決定、個人情報の定義は骨子案を踏襲
http://itpro.nikkeibp.co.jp/atcl/news/15/031000875/
12
特定標的サイバー攻撃 3倍以上に急増(警察庁 26年サイバー空間動向報告)
http://www3.nhk.or.jp/news/html/20150312/k10010013011000.html
16
OSS検索システムの脆弱性を狙うサイバー攻撃が発生中
http://www.security-next.com/056694
26
POSシステムを狙う新手のマルウェア「ポセイドン」出現
http://www.itmedia.co.jp/news/articles/1503/26/news072.html
31
GitHubに
“史上最大”のDDoS攻撃、中国のネット検閲絡みか
http://www.itmedia.co.jp/news/articles/1503/31/news047.html
11
サイバーセキュリ ティ アニュアルレポート
2月
6
世の中のサイ バー セキュリティ事 案
2
1. 事案の概況(年表)
2014年度の主なNTTグループのセキュリティ関連報道発表
(インシデント、
不具合、
脆弱性対応)
・2014 年度は前年度に引き続きリスト型攻撃が多発、ISP をターゲットとするフィッシング攻撃も継続したほか、DNS への
攻撃によるサービス中断発生、IP-PBX を踏み台とした国際電話発信など、さまざまなサービスにおいてセキュリティ対策
の重要性が増した年度だった。
・NTT 持株が米国 NCFTA への加盟、NTT データがサポートが終了しているApache Struts1 向けのパッチ一般公開、
NTTコムが総務省主催「実践的サイバー防御演習」を全体統括、NTT ナレッジ・スクウェアなどが情報セキュリティ大
学院大学、NTT が早稲田大学と共同でセキュリティ人材教育に取り組むなど、NTT グループのセキュリティへの取り組
みをアピールした年度でもあった。
掲載日
掲載元
見出し
URL
http://www.ntt-west.co.jp/info/support/owabi20140401.html
2014/4/1
NTT西日本
2014/4/1
NTT東日本
お客さま各位 「Netcommunity SYSTEM αNX typeL」
をご利用のお客さまへ
http://web116.jp/ced/support/news/contents/2014/201404
01.html
2014/4/5
NTTコミュニ
ケーションズ
工事・故障情報 Kakeibonがご利用できない状況について
http://support.ntt.com/maintenance/service/87?maintenance
TroubleTab=trouble#70964_0
2014/4/8
OCN
2014/4/15
NTTスマート
コネクト
OpenSSL脆弱性に関するご案内
http://vps.nttsmc.com/news/20140415.html
2014/4/16
IIJ-SECT
Heartbleed bugによるサーバ設定の状況変化
https://sect.iij.ad.jp/d/2014/04/157355.html
2014/4/16
IIJ-SECT
Heartbleed bugによる秘密鍵漏えいの現実性について
https://sect.iij.ad.jp/d/2014/04/159520.html
2014/4/18
NTTコミュニ
ケーションズ
OpenSSLの脆弱性
(Heartbleed)への対応について
http://www.ntt.com/aboutus/information/info_20140418.html
2014/4/28
NTTデータ
A p a c h e S t r u t s 1( ア パッチ ストラッツ ワ ン )の 脆 弱 性 対 策 向 け に
TERASOLUNA®Server Framework for Java用パッチを提供
http://www.nttdata.com/jp/ja/news/information/2014/2014
042801.html
2014/4/30
NTTデータ
Microsoft社から発表された
「IEの脆弱性」
について
http://www.dokodemobank.ne.jp/error.asp
2014/5/1
NTT
ファイナンス
MyLink IDパスワードの設定に関するお願い
http://www.ntt-finance.co.jp/news/140501.html
2014/5/7
NTT-ME
2014/5/14
NTT
ファイナンス
MyLinkサービスの再開および、
ログイン認証の変更について
http://www.ntt-card.com/news/20140514.shtml
2014/5/20
NTTデータ
NTTデータを騙る不審なメールについて
http://www.nttdata.com/jp/ja/news/information/2014/2014
052001.html
2014/5/21
NTT東日本
弊社製ビジネスホンなどをご利用のお客さまへ
http://www.ntt-east.co.jp/info/detail/140521_01.html
2014/5/22
NTTPC
Movable Typeの利用に関する注意喚起
http://web.arena.ne.jp/support/news/2014/0522.html
2014/5/23
NTTデータ
Apache Struts1(アパッチ ストラッツワン)の 脆弱性に対応した無償版
TERASOLUNA® Server Framework for Javaを公開
http://www.nttdata.com/jp/ja/news/information/2014/2014
052301.html
2014/5/28
NTT東日本
故障発生/回復のお知らせ
(宮城県エリア全域)
http://flets.com/customer/const_h/t_detail?service=&id=HT00
005705&acode=5&bcode=
2014/5/29
NTTぷらら
【故障
(復旧)
】
DNSサーバ
http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_
id=153608
2014/5/29
NTTぷらら
【故障
(復旧)
】
ぷららフォンforフレッツ
(ビジネス含)、M・IPフォン故障
http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_
id=153561
2014/5/29
NTTぷらら
【故障
(復旧)
】
メールシステム
http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_
id=153514
2014/5/30
IIJmio
(Twitter)
2014/5/30
NTTぷらら
【故障
(復旧)
】
DNSサーバ
http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_
id=153656
2014/5/30
NTTぷらら
【故障
(復旧)
】
ぷららフォンforフレッツ
(ビジネス含)、M・IPフォン故障
http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_
id=153704
2014/5/30
NTTぷらら
【故障
(復旧)
】
メールシステム
http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_
id=153751
2014/6/25
OCN
2014/6/30
OCN
「Netcommunity SYSTEM αNX typeL」
をご利用のお客さまへ
「OCNモバイル ONEプリペイド」が全国のローソン一部店舗にてご購入できな
い事象について
http://www.ocn.ne.jp/info/announce/2014/04/08_3.html
【注意】WAKWAKメールアドレスに関する確認のお願いおよび特定メールアド http://www.wakwak.com/file/information/507/507_2014050
レスへのメール送信不可事象についてのお知らせ
7.pdf
本日から配布されているiPad AirおよびiPad mini retinaのキャリアプロファイ
ルのアップデートを適用後(ドコモ16.2)、
インターネット共有(テザリング)が利
用不可になったとの声をいただいており、
また担当者の手元のiPad Airでも事
象を確認しています
(続く)
動画サイト
「YouTube」
が夜間に閲覧しづらい事象について
【回復】
動画サイト
「YouTube」
が夜間に閲覧しづらい事象について
12
https://twitter.com/iijmio/statuses/472534269508591616
http://www.ocn.ne.jp/info/announce/2014/06/25_1.html
http://www.ocn.ne.jp/info/announce/2014/06/30_1.html
掲載日
掲載元
見出し
URL
2014/7/2
NTTコミュニ
ケーションズ
新幹線内の公衆電話サービスにおける一部誤課金について
http://www.ntt.com/release/monthNEWS/detail/20140702.html
2014/7/18
NTTコミュニ
ケーションズ
3月6日に発生したOCNメール故障を踏まえての再発防止策について
http://www.ntt.com/aboutus/information/info_20140718.html
2014/7/18
NTT西日本
ひかり電話対応機器「PR-400NE/RV-440NE/RT-400NE」
をご利用のお客さまへ
http://www.ntt-west.co.jp/info/support/hgw.html
2014/7/18
NTT東日本
ひかり電話ルータ
「PR-400NE/RV-440NE/RT-400NE」
をご利用のお客さまへ
http://www.ntt-east.co.jp/info/detail/140718_01.html
2014/7/23
NTTコミュニ
ケーションズ
2014/7/30
NTTコミュニ
ケーションズ
ポイントークおよびgooポイントの不正利用について
http://www.ntt.com/release/monthNEWS/detail/20140730.html
2014/9/9
NTTドコモ
法人のお客さまの保守運用に係る管理情報の流出に関するお詫び
https://www.nttdocomo.co.jp/info/notice/page/140909_00_
m.html
2014/9/30
NTTデータ
先端技術
緊急コラム: bash 脆弱性
(CVE-2014-6271)の影響範囲の調査方法について
http://www.intellilink.co.jp/article/column/ossex20140930.html
2014/9/30
NTTドコモ
docomo IDに対する不正ログインについて
http://id.smt.docomo.ne.jp/src/utility/pc/notice_illegallogin.html
2014/9/30
NTTドコモ
docomo IDへの不正ログインに関するお知らせ
https://www.nttdocomo.co.jp/info/notice/pages/140930_00.
html
2014/9/30
NTTドコモ
報道発表資料 docomo IDへの不正ログインに関するお知らせ
https://www.nttdocomo.co.jp/info/news_release/2014/09/3
0_03.html
2014/10/21 NTTドコモ
【回復】北海道にてご契約の一部のお客さまにおいて、
ドコモの携帯電話がご利
用しづらい状況について
(2014年10月21日 午前4時30分現在)
https://www.nttdocomo.co.jp/info/network/kanto/pages/141
020_00_m.html
2014/12/9
NTTドコモ
ドコモからのお知らせ 「F2611」
「M1000」
「NM850iG」
をご愛用のお客さ
まへのお知らせ
https://www.nttdocomo.co.jp/info/notice/page/141209_00_
m.html
2015/1/23
NTTスマート
コネクト
クラウドサービスにおける作業ミスによるデータ削除と再発防止について
http://www.nttsmc.com/info/h27/20150123.html
2015/2/12
NTT西日本
お客さま情報の一時紛失に関するお詫びとお知らせ
https://www.ntt-west.co.jp/info/support/owabi20150212.html
2015/3/11
NTT西日本
お客さま情報の誤送信に関するお詫びとお知らせ
http://www.ntt-west.co.jp/info/support/owabi20150311.html
「思い出あんしん保管」お申し込み情報の一部インターネット上における閲覧可
能な状態について
http://www.ntt.com/release/monthNEWS/detail/20140723.html
サイバーセキュリ ティ アニュアルレポート
13
世の中のサイ バー セキュリティ事 案
2
1. 事案の概況(年表)
2014年度の主なNTTグループのセキュリティ関連報道発表
(製品、
サービス、
取り組み)
掲載日
掲載元
見出し
URL
2014/4/21
NTTコミュニ
ケーションズ
ブラウザ間のリアルタイム通信技術を活用したチャットサービス 「WebRTC Chat on
SkyWay」のトライアル提供開始 ∼サーバに履歴を残さず、暗号化されたプライバ
シー性の高いコミュニケーションを実現∼
2014/4/24
NTTデータ
高度化するサイバー犯罪の捜査技術向上に協力
http://www.nttdata.com/jp/ja/news/release/2014/04
2401.html
2014/5/1
NTTドコモ・
ベンチャーズ
報道発表資料 CertiVox Ltd.への出資について
http://www.nttdocomo-v.com/p1626/
2014/5/8
NTT
ソフトウェア
体験型訓練機能で標的型攻撃メールへの対応力を向上!
「CipherCraft(R)/Mail 標的型メール対策」の新バージョンを5月8日より販売
http://www.ntt.com/release/monthNEWS/detail/2014
0421.html
https://www.ntts.co.jp/whatsnew/2014/140508.html
∼メールが受信されたあとでも、添付ファイルの閲覧を禁止できる!∼機密情報を守るファ
イル共有ソリューション
「WatchDox」、
メールソフトと連携する新ラインナップを2014年 http://www.ntts.co.jp/whatsnew/2014/140513.html
5月13日より販売開始
2014/5/13
NTT
ソフトウェア
2014/5/23
IIJ
IIJ、
インターネットの最新の技術動向・セキュリティ情報のレポート
「Internet Infrastructure Review」Vol.23を発行
http://www.iij.ad.jp/news/pressrelease/2014/pdf/IIRV
ol23.pdf
2014/6/9
NTT
ソフトウェア
∼企業の利用ニーズに合わせたセキュリティ強化とカスタマイズが可能∼
クラウド型データ連携サービスの新ラインナップ
「SkyOnDemand Premium Edition」
を6月10日より販売開始
https://www.ntts.co.jp/whatsnew/2014/140609.html
2014/6/10
NTTドコモ
2014/6/18
NTTコミュニ
ケーションズ
「WideAngleマネージドセキュリティサービス」の総合ログ分析・リスク検知機能を強化
し検知率を大幅に向上 ∼標的型攻撃を含む未知のセキュリティ脅威に対する検知率500%向上を実現∼
http://www.ntt.com/release/monthNEWS/detail/2014
0618.html
2014/6/20
WAKWAK
【注意】
ネットバンキングおよびクレジットカード ホームページ利用時におけるウイルス
被害予防対策について
http://www.wakwak.com/file/information/510/510_20
140620.pdf
2014/6/25
NTTコムウェア
「FFRI Limosa」
(MITB攻撃対策製品)の独占販売契約を締結し、阿波銀行が採用 ∼ネットバンキングの不正送金対策を強化∼
http://www.nttcom.co.jp/news/pr14062501.html
2014/6/30
NTT西日本
「セキュリティ対策ツール for Android」
におけるAndroid OS 4.4対応について
http://flets-w.com/topics/android44/
2014/6/30
NTT西日本
「光回線監視サービス」の提供開始について
http://www.ntt-west.co.jp/news/1406/140630b.html
2014/6/30
NTT東日本
「光回線監視サービス」の提供開始について
http://www.ntteast.co.jp/release/detail/20140630_04.html
2014/7/10
NTTレゾナント
2014/7/18
NTTぷらら
2014/7/18
OCN
2014/7/24
NTTコミュニ
ケーションズ
米国HfS社のクラウドサービス(IaaS)評価レポートにおいてNTTグループが最上位の
「Winner’
s Circle」
評価を獲得
2014/7/24
NTT
ソフトウェア
パソコン内の操作をすべて録画する防犯カメラ
「iDoperation SC」
を7月24日より販売
開始
2014/7/25
NTT
2014/7/25
NTTドコモ
2014/8/22
IIJ
2014/9/8
NTTコミュニ
ケーションズ
企業向けIP電話サービスアプリの利便性とセキュリティを強化 ∼「050 plus for Biz」 http://www.ntt.com/release/monthNEWS/detail/2014
0908.html
と
「Arcstar Smart PBX」のWeb電話帳オプションにメッセージ機能などを追加∼
2014/9/17
OCN
OCNメールの一部サービス
(プロトコル)提供終了について
http://www.ocn.ne.jp/info/announce/2014/09/17_1.ht
ml
2014/9/18
OCN
パソコンの遠隔操作によるプロバイダーの勧誘トラブルにご注意ください
http://www.ocn.ne.jp/info/announce/2014/09/18_1.ht
ml
2014/9/29
NTTコミュニ
ケーションズ
2014/10/2
NTTコミュニ
ケーションズ
グローバル脅威情報レポート
(日本語版)の公開
http://www.ntt.com/release/monthNEWS/detail/2014
1002.html
2014/10/8
NTTデータ
先端技術
クラウドサービス利用時に求められるエンドポイントセキュリティを強化
http://www.intellilink.co.jp/all/topics/20141008/nosid
ecloud.html
標的型攻撃による被害を最小限に抑制し、速やかに安全な状態へ回復
http://www.nttdata.com/jp/ja/news/release/2014/10
1500.html
2014/10/15 NTTデータ
2014/10/16
NTT
ソフトウェア
報道発表資料 新たな小型認証デバイスを開発
防災関連情報が1つになった“防災ポータルアプリ” 「goo防災アプリ」
リリースのお知
らせ
【重要】
インターネットバンキングを通じた不正送金に関するマルウェア感染にご注意く
ださい
インターネットバンキングにかかわるマルウェア感染者に対する注意喚起について
【ご注意下さい!】
NTTのホームページを模倣したWebサイトにご注意ください
NTTドコモのコーポレートサイトを模倣したWebサイトにご注意ください
IIJ、
インターネットの最新の技術動向・セキュリティ情報のレポート
「Internet Infrastructure Review」Vol.24を発行
【注意】
第三者の不正アクセスによる国際電話接続にご注意ください
https://www.nttdocomo.co.jp/info/news_release/2014
/06/10_00.html
http://pr.goo.ne.jp/detail/1835/
http://www.plala.or.jp/support/info/2014/0718/
http://www.ocn.ne.jp/info/announce/2014/07/18_1.ht
ml
http://www.ntt.com/release/monthNEWS/detail/2014
0724.html
http://www.ntts.co.jp/whatsnew/2014/140724.html
http://www.ntt.co.jp/topics/cautions/index.html
https://www.nttdocomo.co.jp/info/notice/pages/1407
25_00.html
http://www.iij.ad.jp/news/pressrelease/2014/0822.ht
ml
http://www.ntt.com/aboutus/information/info_201409
29.html
自社サイトをサイバー攻撃の脅威から守る
「TrustShelter」
を11月4日から販売開始
http://www.ntts.co.jp/whatsnew/2014/141016.html
NTTコミュニ
2014/10/21
ケーションズ
総務省主催の「実践的サイバー防御演習(CYDER)」
を実施
∼
「サイバー攻撃複合防御モデル・実践演習の実証実験」の一環∼
http://www.ntt.com/release/monthNEWS/detail/2014
1021.html
2014/10/24 NTT
米国
「NCFTA」
へ加盟し、
サイバー犯罪対応力の強化を推進
http://www.ntt.co.jp/topics/ncfta/index.html
http://www.ntt.co.jp/news2014/1411/141104a.html
http://www.ntt.com/release/monthNEWS/detail/2014
1104.html
2014/11/4
NTT
早稲田大学とNTTがサイバーセキュリティ人材育成に向けた寄附講座を設立
∼傑出した人材の発掘・育成を目指す∼
2014/11/4
NTTコミュニ
ケーションズ
スイスのセキュリティソリューション事業者 InfoTrust AGの株式取得について
14
掲載日
2014/11/7
掲載元
NTTドコモ
見出し
URL
報道発表資料 日本の情報セキュリティ分野の発展と人材育成のために、MOOCサイト https://www.nttdocomo.co.jp/info/news_release/2014
「gacco
(ガッコ)
」
で
「情報セキュリティ
『超』
入門」
講座を開講
/11/07_00.html
2014/11/11 NTT西日本
フィッシングサイトにご注意ください!
https://flets-w.com/topics/antiphishing/
2014/11/11 OCN
OCNメールアドレス
(OCN ID)のパスワード変更のお願いについて
http://www.ocn.ne.jp/info/announce/2014/11/11_1.ht
ml
2014/11/25 IIJ
IIJ、
インターネットの最新の技術動向・セキュリティ情報のレポート
「Internet Infrastructure Review」
Vol.25を発行
http://www.iij.ad.jp/news/pressrelease/2014/1125.ht
ml
NTT
2014/11/27 ソフトウェア
∼ U S Bメモリの 煩 雑 な 利 用 管 理を効 率 化しつ つ 、情 報 漏えいを防ぐ∼ 「Crossway®/データブリッジ」
を12月15日から予約受付開始
http://www.ntts.co.jp/whatsnew/2014/141127.html
2014/12/2
NTTコミュニ
ケーションズ
2015/12/10
NTTデータ
先端技術
2015/12/18
NTTコミュニ
ケーションズ
2015/12/24
NTTエレクトロ
ニクス
「WideAngleマネージドセキュリティサービス」
において リアルタイムマルウェア検知・ http://www.ntt.com/release/monthNEWS/detail/2014
防御を実現する新メニューを追加 ∼未知・未定義ウイルスの検知から分析・防御対策ま 1202.html
でを低価格で一元的に提供∼
高精度マルウェア検知解析システムの利用による、
標的型攻撃対策サービスを強化
http://www.intellilink.co.jp/all/topics/20141210/lastlin
e.html
日本独自のゼロデイ攻撃対策セキュリティサービス
「Zero day Attack Protection」
http://www.ntt.com/release/monthNEWS/detail/2014
(仮称)
を開発・提供 ∼NTTコミュニケーションズ、
日本マイクロソフト、FFRIがサイバー
1218.html
セキュリティ基本法の成立を受け、
セキュリティ対策サービスの開発・提供で協業∼
災害発生後の避難所での避難者の受け入れと情報共有を少ない手間で迅速化できる防
災製品を発売
http://www.ntt-electronics.com/new/information/
2014/12/kizunasien-net.html
2014/12/26 NTT西日本
停電に伴う通信サービスへの影響について
http://www.ntt-west.co.jp/info/support/teiden.html
2014/12/26 NTT東日本
停電に伴う通信サービスへの影響について
http://www.ntt-east.co.jp/info/detail/141226_01.html
2015/1/13
NTTアイティ
評判情報解析サービス
「評Ban」
に話題まとめ表示機能を新たに搭載 ∼類似クチコミ
をまとめてその日の話題の把握が容易に∼
http://www.ntt-it.co.jp/press/2015/0113/
2015/1/20
NTTコミュニ
ケーションズ
2015/1/22
NTTデータ
2015/1/23
NTTコミュニ
ケーションズ
2015/1/26
NTT
東京2020オリンピック・パラリンピック競技大会 ゴールドパートナー(第1号)
に決定
http://www.ntt.co.jp/news2015/1501/150126a.html
2015/1/27
NTT
ソフトウェア
トークナイゼーションによるデータ保護技術でセールスフォースでのマイナンバー管理
業務を簡易に実現!
「TrustBind(R)/Tokenization」
2015年4月1日より販売開始
http://www.ntts.co.jp/whatsnew/2014/150127.html
2015/1/29
NTTドコモ
不正なアクセス対策としての「2段階認証」
ご利用のお願い
https://www.nttdocomo.co.jp/mydocomo/info/page/1
50129_s01.html
2015/1/30
NTTコミュニ
ケーションズ
平常時にも災害時にも活用できる、
デジタルサイネージを核としたスマートフォン向け情
報共有サービスの実証実験を開始 ∼公衆無線LAN内・公衆無線LAN間の機器通信
を、
WebSocketとWebRTCを用いて実現∼
http://www.ntt.com/release/monthNEWS/detail/2015
0130.html
2015/2/9
NTT
ネオメイト
2015/3/2
NTTコミュニ
ケーションズ
NTT IDログインサービスの終了について
http://www.nttid.jp/
2015/3/3
NTTドコモ
ドコモからのお知らせ ドコモメール(IMAP)
「セキュリティパスワード」の提供開始につ
いて
https://www.nttdocomo.co.jp/info/notice/page/15030
3_00_m.html
2015/3/3
NTTコムウェア
企業向けマイナンバー管理ソリューションを提供開始 ー強固なセキュリティ対応を低
コストでー
http://www.nttcom.co.jp/news/pr15030302.html
2015/3/4
WebARENA
2015/3/6
NTTドコモ
海上保安庁と
「災害時相互協力協定」
を締結
https://www.nttdocomo.co.jp/info/news_release/2015
/03/06_00.html
2015/3/9
NTT
災害・危機管理対策本部向け
「危機管理情報マネジメント支援システム」
を開発 ∼つぶやきを活用した
「防災アプリ」
や
「可搬型バックアップ電源」
もあわせて開発∼
http://www.ntt.co.jp/news2015/1503/150309b.html
【注意】
第三者の不正アクセスによる国際電話接続にご注意ください
http://www.ntt.com/aboutus/information/info_201501
20.html
マイナンバーの安全かつ簡便な提供・登録に向けた実証実験を開始 ∼番号収集代行
サービスにおける、
電子収集技術の精度および使いやすさを検証∼
http://www.nttdata.com/jp/ja/news/release/2015/01
2200.html
NTT Comはセキュリティアプライアンス世界1位のFortinetと協業しBizホスティング
Enterprise Cloud およびWideAngleを強化
∼ソフトウェア型セキュリティアプライアンスとマネージドセキュリティサ ービス
「WideAngle」
を組み合わせ、
通信事業者として世界で初めてワンストップ提供∼
http://www.ntt.com/release/monthNEWS/detail/2015
0123.html
「AQStage 仮想スマートデバイス by remotium(リモティウム)」の提供開始について
∼remotium社製品を国内で初めてクラウドサービスとして提供∼
VECとNTTコミュニケーションズ、製造現場とクラウドをつなげた高セキュリティな
「Industry4.1J」実証実験プロジェクトを開始 ∼IoTにおけるセキュリティ面の課題を
解決する日本版
「Industry4.0」
で産業界での安全確保・効率化を加速∼
http://web.arena.ne.jp/support/news/2015/0304_2.ht
ml
2015/3/9
NTTコミュニ
ケーションズ
2015/3/9
WAKWAK
2015/3/10
NTTレゾナント
「goo防災アプリ」
「goo地図」
、
に 全国の公衆電話設置場所を掲載開始
∼
「goo防災アプリ」
では災害時にオフラインでも閲覧可能に∼
http://pr.goo.ne.jp/corp/2015/10971/
2015/3/10
NTT東日本
「オフィスまるごとサポート スマートデバイスマネジメント」の提供開始について
∼事業所や学習塾などで配備するモバイル端末などをクラウドで管理・制御∼
http://www.ntteast.co.jp/release/detail/20150310_02.html
2015/3/23
NTTデータ
ATM共同監視アウトソーシングサービスを提供開始
∼ファーストユーザとして岩手銀行が採用∼
http://www.nttdata.com/jp/ja/news/release/2015/03
2300.html
2015/3/23
NTTドコモ
あんしんナンバーチェック
https://www.nttdocomo.co.jp/service/safety/number_
check/index.html
2015/3/25
NTTコミュニ
ケーションズ
NTTコミュニケーションズと大林組、IoTを活用した作業員向け安全管理システムの実証
実験を開始 ∼クラウドとウェアラブルセンサー“hitoe”
を活用して建設現場の安全管理
を低コストに実現∼
http://www.ntt.com/release/monthNEWS/detail/2015
0325.html
http://www.ntt.com/release/monthNEWS/detail/2015
0309.html
http://www.wakwak.com/file/information/531/531_20
150309.pdf
メールサーバの一部認証方式廃止のお知らせ
15
サイバーセキュリ ティ アニュアルレポート
【お知らせ】
SuitePRO コントロールパネル 暗号化仕様変更について
http://www.ntt-neo.com/news/2015/150209.html
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析
本節では 2014 年度の重要なトピックとして、以下の 6 テーマについて分析を行う。
① 深刻な脆弱性
④ プライバシーの扱い
③ モバイルの安全性
⑥ 新しい脅威
② 大規模なサイバー攻撃と情報流出
⑤ 各国の動き
❶ 深刻な脆弱性
概要
2014 年度は深刻な脆弱性が多発した。特に話題になった脆弱性を紹介する。
●Heartbleed (OpenSSL)
●Shellshock
●POODLE
●iOS の脆弱性
(WireLurker、MasqueAttack)
●CMS の脆弱性
(Drupal、SoakSoak、CryptoPHP)
●デバイスの脆弱性
(MisfortuneCookie、Insecam)
背景
・ソフトウェアのセキュリティホールである脆弱性はバグ同様必ず見つかるものである。
・非常によく使われているソフトウェアで致命的な脆弱性が発見されるケースが増えている。
・いきなりサイバー攻撃で使用されゼロデイとして認知されるものも多くなってきている。
・公開直後に攻撃が開始されることもある。
・モバイル端末のうち iOS 端末は、脱獄
(jailbreak)していなければ安全だと考えられていた。
・従来脆弱性は善意による発見と報告のみであったが、近年 ZDI(Zero Day Initiative)、ブラックマーケットに見られる
ように、発見した脆弱性に対して対価が支払われるようになってきた。
・さらに 2013 年からは、MicroSoft、Google、Facebook などの Tech Giants と呼ばれる大企業が自社の製品、サービス
の脆弱性の報告に対して褒賞金を支払うバグ褒賞プログラムを開始した。
16
Heartbleed
(OpenSSL)
●Heartbleed 脆弱性について
脆弱性
・2014 年 4 月 7 日、OpenSSL が CVE-2014-0160(Heartbleed)の
「OpenSSL」
には、情報漏えいの脆弱性が存在します。脆弱性を悪用されることで、
ウェブサイト内の情報が漏えいすることがあります。
インターネットに繋がっ
ていれば攻撃可能。
脆弱性を公表するとともに修正版であるOpenSSL 1.0.1g を
通常の設定では、攻撃を受
けてもログなどに残らない。
何度でも繰り返し
攻撃できる。
攻撃リクエスト
リリースした。
・フィンランドのセキュリティ企業 Codenomicon 社のエンジ
メモリ内データの一部が漏えい。
・ウェブサイトの秘密鍵
・正規利用者の ID やパワード
・クレジットカード番号 …など
攻撃者
ニアがこの脆弱性を発見したとのこと。
・この脆弱性は死活監視機能であるSSL Heartbeat 機能の境
界チェック処理の不備が原因で、システムのメモリ内の情報
想定
被害1
がリモートアクセスを行う第 3 者に漏れてしまうというもの。
脆弱な
「OpenSSL」
が稼働している
本物サイト
漏えいした情報
(秘密鍵)
を悪用して、攻撃者は本物サイトと見分けがつかない偽サイトを
作る可能性があります。偽サイトを通じて、パスワードがさらに漏えいすることがあります。
タイミングによっては重要な情報、さまざまな個人情報はも
パスワード
ちろんのこと、秘密鍵も漏えいする可能性がある。
ログイン
ページ
見分けがつかな
いため、偽サイト
にログインし、攻
撃者にパスワード
本物サイトと全く
見分けがつかない。 が漏えいする。
・対象は OpenSSL 1.0.1 ∼ 1.0.1f、および 1.0.2-bet a ∼
正規利用者
1.0.2-beta1、各々それ以前の版は Heartbeat 機能の実装
がないため影響を受けない。
想定
被害 2
・英 Netcraft 社によると約 50 万台の Web サーバがこの脆弱
パスワード
攻撃者が
用意した
偽サイト
攻撃者
偽サイトを通じて
パスワードを入手
漏えいしたパスワードを悪用して、攻撃者は利用者になりすまして本物サイトにアクセス
できます。サイトがショッピングサイトなどであれば、金銭被害の恐れもあります。
性の影響を受けるとのこと。
請求
パスワード
パスワード
ログイン
ページ
攻撃者
入手したパスワードを
悪用してログイン。
購入指示
本物サイト
ログイン後、商品の
購入を指示、
正規利用者
突然、身に覚えの
ない請求を受ける。
●IPA の OpenSSL の脆弱性対策について
参照:https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
●Heartbleed 脆弱性対応について
・ この脆弱性を突く攻撃は、通常のログに痕跡が残らない。
また長期にわたって存在していた脆弱性であるため攻撃を受
けたことを前提に対処する必要があった。
・ サイト管理者による脆弱性への代表的な対策手順は以下の
サイバーセキュリ ティ アニュアルレポート
通り
① OpenSSL の版を 1.0.1g に上げる
② 秘密鍵を新たに作成する
③ サーバ証明書の新規取得
④ 古いサーバ証明書の失効
⑤ サイト利用者の ID /パスワードの変更を促す
・ 手 順 の ① に つ い て は、ほ か に ワ ー ク ア ラ ウ ンドとし て
Heartbeat 機能の停止、IPSによる攻撃パケットの遮断、ほか
の SSL 実装に移行などがある。
・この脆弱性をついた攻撃で話題となった件はカナダ歳入庁に
対して行われた攻撃で、カナダ人納税者 900 人のデータが
盗まれたとのこと。カナダ歳入庁は脆弱性が明らかになった
即日サーバを停止していたが、すでにデータは盗まれた後で
あったとのこと。なお、カナダ国家警察 RCMP は 2014 年 4
月 16 日に19 歳の学生をこの件で逮捕している。
●Heartbleed 脆弱性を説明する漫画
参照:http://www.f-secure.com/weblog/archives/00002696.html
17
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❶ 深刻な脆弱性
●Heartbleed 脆弱性のその他について
・この 脆 弱 性 に 対 する反 応 は す さまじく対 応 は 一 斉 に 始 められ、CAビ ジ ネ ス の
Comodoには新しいサーバ証明書の申請が従来の 10 ∼ 12 倍も来た。
・OpenSSL を含む製品を提供しているベンダも次々とアドバイザリとそれに続くパッチ
をリリースした。
・ブラウザでは、Heartbleed の脆弱性の有無が分かる拡張機能がすぐ用意された。
・Tor は Heartbleedに対して脆弱な Exitノードのブラックリスト化を開始した。
・モバイル AP への影響についてもアドバイザリがリリースされた。
・一方、一般ユーザも多くが関心を寄せることとなりパニック状態になることが懸念され
たため、ENISA や SANS ほか、多くのセキュリティ関連機関は一般ユーザ向けに具体
的な対処を含めた解説を行うアドバイザリを発行した。
・英 Netcraft 社からの 対 応 状 況に関 する2014 年 5 月 9 日 の 報 告によると、全 体 の
43%が SSL サーバ証明書の再発行を行っているが、古い証明書を失効させ、新しい秘
●The Heartbleed Bug のロゴ
参照:http://heartbleed.com/
密鍵を使用しているのは全体の 14%のみであったとのこと。
・今回の対策はパッチを充てるのみで十分というわけではない、対処手順が複雑な場合
の対処は正しく行われるか確認する必要がある。
・なお、大規模パケット収集や政府からの秘密鍵公開要請などへの対策として PFS
(Perfect Forward Secrecy)の有効性が話題になっていたが、今回の脆弱性に起因
した秘密鍵の漏えいのリスクに対する解としても再度注目を浴びることになり、大手の
AP サービス提供者は PFS の採用を開始した。
Shellshock
●Shellshock の脆弱性について
・2014 年 9 月 24 日、脆弱性
(CVE-2014-6271)
がパッチとともに公開される。
・脆弱性は Linux で使用するシェルの一つである
GNU bash
(Bourne-Again Shell)
において発
脆弱性
「bash」
には、環境変数の処理に問題があり、任意の OSコマンドが実行される脆弱性が
存在します。
想定される攻撃例
CGI 経由で OSコマンドを実行するウェブアプリケーションが動作している場合、
遠隔から任意の OSコマンドを実行される可能性があります。
見された。
2 ウェブアプリケーションが CGI 経由で
予め決められた OSコマンドを実行
1 リクエストを送信
・当脆弱性は環境変数の処理の脆弱性で、リモー
攻撃リクエスト
トから任意のコードが実行可能であるとのこと。
・多くの Linux ディストリビューションがデフォルト
のシェルとして、GNU bash を使用している。
攻撃者
・Web サ ー バ 上 で 動 作 するCGI プ ログ ラムや
Linux ベースの組み込みシステムなど、さまざま
脆弱な
「bash」
を
含むウェブサーバ
攻撃者が指定した OSコマンドが実行された結果、ウェブサーバの動作権限の範囲で
・情報の搾取
・ファイルの作成、編集、削除
・ウェブサーバへの過負荷によるパフォーマンス低下
…などの被害が発生する可能性
なケースで bashシェルが利用されていることが
想定される。
・非常に広い範囲に影響を及ぼす脆弱性であるこ
とが認識される。
3 OSコマンドが
「bash」
により実行さ
れた際に、攻撃リクエストに含まれた
OSコマンドも実行してしまう
●Shellshock の脆弱性攻撃イメージ
参照:https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html
18
●脆弱性公開のタイムライン
・2014 年 9 月 24 日、脆弱性の公開に伴い、US-CERT から速
報の注意喚起が発せられる。
・同日、リリースされたパッチが不十分であることが明らかにな
り、同日改めて CVE 番号
(CVE-2014-7169)
が割り当てら
れる。
・2014 年 9 月 25 日、US-CERT から改めてアラート
(TA14 268A)
が発せられる。
・同日、JPCERT/CC からも国内向けに注意喚起が発せられる。
・2014 年 9 月 26 日、関連する脆弱性 CVE-2014-7186 領域
外のメモリアクセスによる脆弱性、CVE-2014-7187 境界条
件の判定
(off-by-one)
による脆弱性が明らかになる。
・2014 年 9 月 27 日、新たな関連する脆弱性(CVE-2014-6277
信頼できないポインタの参照、CVE-2014-6278 環境変数の
処理に関する脆弱性の修正漏れ)が報告される。
・2014 年 10 月 1 日、PCI SSC(Payment Card Industry
Security Standards Council)
は、まだ小売店業界では攻撃
が確認されていないが、ソフトウェアアップデートがリリース
されたら速やかに適用することを小売店業界に推奨した。
●US-CERT の Shellshock 脆弱性についてのアラート
「Alert
(TA14-268A)
」
参照:https://www.us-cert.gov/ncas/alerts/TA14-268A
・影響の有無の確認とパッチのリリースが迅速に進められた。
一例として以下に記す。
Apple OS X では、デフォルトでは安全である旨アナウンスした後、2014 年 9 月 29 日 bash 脆弱性のためのパッチをリリースした。
CISCO、2014 年 9 月 30 日時点で脆弱な製品の特定を進めており、71 製品が脆弱で 38 製品が影響を受けない、残り168 製品については調査中
とアナウンスした。
Oracle では、2014 年 9 月 30 日時点で 51 製品が脆弱であることを確認しており、内 9 製品についてはパッチのリリースを行った。
●Shellshock 脆弱性を狙った攻撃
・2014 年 9 月 26 日、Incapsula 社からの報告ですぐに攻撃が開始されていることが明らかになる。
・2014 年 9 月 29 日、Incapsula 社からの追加報告では 25 日 AM6 時から同社の WAF は、4,115 以上のドメインに対す
る217,089以上の攻撃を検知したとのこと、また29日には1時間に1,970攻撃にまで達したとのこと、攻撃の内訳は、
0.70%
マルウェア感染
(DDoS 用の Botにする)
16.64%であったとのこと。
・FireEye 社が 2014 年 9 月 28 日に投稿したブログポストによると同
社が確認した攻撃は、Reverse Shell 接続を試みる Perl Script を
用 い るも の、D D o Sクライアントお よび バックドア 機 能 を 持 つ
12.64%
Tsunami/Kaiten を用いるもの、IRC 経由で不正サイトに接続する
Perl.Shellbot など多岐にわたるとのこと。
18.37%
・その他トレンドマイクロからは、2014 年 9 月 26 日にこの脆弱性を利
用するマルウェア検体
(ELF_BASHWOOP.A)
に関する情報が公開さ
れ、またクライアント端末、サーバ、IoTごとの想定される攻撃シナリ
オなども公開された。
68.27%
0.02%
・2014 年 10 月 1 日の FireEye からのブログによると、NAS への攻撃
が確認されたとのこと。
・DHCP サーバを通じた攻撃などのほかの攻撃方法についての可能性
も示唆された。
・2014 年 10 月 24 日の SANS ISC のブログによると、SMTP への攻撃
が確認されたとのこと。
19
Scanners
Reflected DDoS
Shells
DDoS Malware
IRC Bots
●Shellshock 脆弱性への攻撃内容内訳
参照:http://www.incapsula.com/blog/shellshock bash-vulnerability-aftermath.html
サイバーセキュリ ティ アニュアルレポート
スキャニングが全体の68.27%、リモートアクセスの試みが18.37%、
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❶ 深刻な脆弱性
POODLE
●POODLE の脆弱性について
問題
・SSLv3 は 1995 年に発表された古いプロトコルで
SSL 3.0 プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。
脆弱性を悪用された場合、暗号通信の内容の一部が漏えいする可能性があります。
あるが、サービスやブラウザなどでサポートされ
1 中間者攻撃を行う
続けていた。
・POODLE/SSL の脆弱性( CVE - 2014 - 3566 )
SS Lv 3 の 脆 弱 性 が Goog le の 研 究 者 Bodo
2 悪意有るスクリプトなどを挿入
通信経路上
の攻撃者
Möller、Thai Duong、Krzysztof Kotowicz に
より、2014 年 10 月 14 日 に 明 ら か に さ れ た。
4 継続的な盗聴を行う
SSLv3 は CBC モードの暗号でデータのパディン
グを検証しないため、攻撃者がパディング部分を
利用者
(SSL 3.0 を使用)
操作することで暗号通信を平文化する情報を入手
暗号通信による保護
盗聴
3 大量通信を発生させる
することが可能になる。推奨される対策は SSLv3
ウェブサイト
(SSL 3.0 を使用)
5 脆弱性により、暗号通信の
一部を復号される
を利用禁止にすることである。
・ POODLE/TLS の脆弱性( CVE-2014 - 8730 )
セ キュリティ研 究 者 ア ダ ム・ラン グリー 氏 が
●POODLEの脆弱性攻撃イメージ
参照:https://www.ipa.go.jp/security/announce/20141017-ssl.html
2014 年 12 月 8 日のブログで指摘した。TLS では
パ デ ィング 処 理 の 改 善 が 行 わ れた が、内 部 で
SSLv3 のコードを利用しているなど脆弱な実装を
行っているプロダクトでは暗号通信を解読する攻
撃が可能になる。
●POODLE/SSL の対策
クライアント側のリクエスト
・サ ー バ 側 で SSLv3 を 禁 止 す る。サ ー バ 側 で
中間者攻撃
SSLv3 を禁止することにより、脆弱性を突いた
攻撃を受けないようにする。
・クライアント側で SSLv3 を禁止する。ブラウザの
SSLv3 利用を無効にすることにより、脆弱性を突
いた攻撃を受けないようにする。
・POODLE/SSL 脆弱性に対する攻撃方法と対策
とし て の TLS_FALLBACK_SCSV。サ ー バ・ク
ライアント間の暗号通信でエラーが起こった場
合、暗号プロトコルのバージョンを下げて暗号
●SSL/TLSのバージョンダウングレード
参照:http://blog.trendmicro.co.jp/archives/10112
通信を再試行して接続する仕組みがある。これ
により、SSLv3より上位の暗号プロトコルを使用
しているサイトに対しても強制的にSSLv3 プロト
コ ル を 指 定し攻 撃 を 行うことが 可 能となる。
TLS_FALLBACK_SCSV を実装することで再試
行をサーバが許可することを防ぎ、通信が強制
的にSSLv3になることを防ぐことができる。
20
Web サーバ側の応答
●POODLE 対応に関するサービスおよびプロダクト動向
・CloudFlare社は、2014年10月15日、同社が提供するCDNサーバの初期設定でSSLv3を禁止している。同社によると、
HTTPS アクセスのうちたった 0.65%が SSLv3 であり、SSLv3 の禁止が過剰な対応ではないとしている。
・Twitter は、2014 年 10 月 15 日に同社サービスで SSL 3.0 のサポートを即座に終了した。
・Mozilla は、SSLv3 を無効化するアドオンを出した。また 2014 年 12 月 1 日リリースした Firefox 34 では標準で SSLv3 を
禁止した。
・CDN の Akamai は、SSLv3 の撤廃を加速させることを明らかにした
(10 月末当時 90%)。
・Google は、2014 年 10 月 30 日に、数カ月以内に同社のクライアントプロダクトからSSLv3 のサポートをやめると発表し
た。その後、2014 年 11 月18 日には Chrome39 のリリースでデフォルトで SSLv3 へのフォールバック機能を無効にした。
また Chrome40 では SSLv3 そのものを無効にすることを明らかにした。
・Tor ブラウザは、2014 年 10 月 15 日リリースの 4.0 で、POODLE 攻撃を防ぐためにSSL3 を無効化した。
・Apple では、2014 年 10 月 20 日リリースの iOS8.1にて、POODLE 脆弱性の対応がなされた。
・Microsoft が 2014 年 10 月 29 日にPOODLE 対策の FixIt を公開した。また Windows XPについては IE6 が SSLv3にし
か対応しておらず、永遠に脆弱のままである。
・Qualys 社は、SSL サーバテストのフリーツールを提供しており、ドメイン名を入力することで自分のサイトが脆弱かどうか
確認できた。
・2014 年 12 月 9 日 時 点 で、Bank of America、VMware、米 国 退 役 軍 人 省、Accenture な ど の Webサイトが
CVE-2014-8730 の影響を受けることが明らかになった。
・2 014 年 12 月 9 日 で、TLS コ ネクションを 扱 う F 5 N e t w o r ks 社 と A10 N e t w o r k s 社 の ロ ードバ ラン サ が
CVE-2014-8730について脆弱であるとのことが明らかになった。修正パッチは提供済みであった。
●その他のリスク
・公衆 Wi-Fi での利用について、スターバックスのような無料 Wi-Fi などで利用者が SSLv3 で通信をする場合、Twitter や
Google サービスのセッションを同一ネットワークにいる攻撃者に乗っ取られる危険がある。攻撃者の POODLE 攻撃が成
功すれば利用者の暗号通信を解読することができる。まだ SSLv3 を使っている脆弱な利用者は公衆 Wi-Fi を使ってはなら
ない。SSLv3 は古いが依然としてブラウザや Web サーバで利用可能となっている。
サイバーセキュリ ティ アニュアルレポート
21
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❶ 深刻な脆弱性
iOSの脆弱性
●WireLurker
●発見の経緯
・2014 年11月5日にPalo Alto Network がApple OS XとiOS を侵害する新しいマルウェ
アを発見し、WireLurkerと命名したことをブログで明らかにした。
・サードパーティアプリから OS X が侵害され、これとUSB 接続した iOS 端末が感染した。
・プロビジョニングプロファイルを悪用することで、従来安全と認識されていた非脱獄 iOS 端
末に対しても感染させることができた。
●拡散
・Maiyadi App Store
(中国内サードパーティ Mac アプリストア)から汚染された OS X アプリ
が拡散した。
・過去 6カ月で467 種類の汚染アプリが総計35万回ダウンロード、数十万ユーザへの影響が懸
念された。
・Windows をホストとした亜種も出現した(実は OS X 版よりWindows 版が先に出現した)。
●犯人逮捕
・中国公安局が犯人
(3 名の容疑者)
逮捕を発表した。
・マルウェアを拡散していたサイトも閉鎖された。
●感染確認と除去
Palo Alto Networks 社により感染確認および除去方法が GitHubで公開された。
(OS X および iOS、Windows からの各除去法を提示された。)
●MasqueAttack
●発見の経緯
・FireEye が、2015 年 11 月 10 日、iOS の脆弱性を突き、悪意あるサードパーティのアプリを無断でインストールするマ
ルウェア
「Masque Attack」
について報告した。
・同一の bundle identifier を持つアプリをインストールする際、コード署名証明書が同一でなくてもインストールしてし
まうiOS の脆弱性を悪用する攻撃があった。
・非脱獄端末でも攻撃が可能であった。
●US-CERT からの警告
・米政府機関
(国土安全保障省)
に属するUS-CERT から、警告が発せられた。
・US-CERTからのセキュリティ警告は、HeartbleedやShellshockなど影響範囲が広く重篤な脆弱性に対するものが多い。
●対策
・正規 Apple Store あるいは所属組織 * 以外からのアプリをインストールしない。
・アプリインストール時に警告が出た場合は、
「信用しない」
こと。
* 組織内で運用するために自社専用のiOSアプリを作成することができる。
●アプリインストール時にこのような警告が出た場合は、
「Don t Trust」
を選択
参照:https://www.fireeye.com/blog/threat-research/2014/11/masque attack-all-your-ios-apps-belong-to-us.html
●US-CERTの警告画面
参照:https://www.us-cert.gov/ncas/alerts/TA14-317A
22
CMSの脆弱性
●オープンソースCMS の普及とシェア
・Webサイトの3 分の1は CMS を使用している。
・また CMS のシェアでは、
「Wordpress」
「Drupal」
「Joomla!」の3 製品で全体の 4 分の3 を占めている。
・このため、攻撃者にとって、効率的なターゲットになっている。
■ Web サイトにおける CMS の割合
■ CMS のシェア
■ WordPress
■ WordPress
■ Joomla!
■ Joomla!
■ Drupal
■ Drupal
■ その他
■ その他
■ CMS 不使用
●CMSの普及状況
参照:http://drupal-navi.jp/cms/trend
●Drupal の脆弱性
(CVE-2014-3704)
●原因/想定される攻撃
・脆弱性は Drupal のデータベース抽象化 APIに存在する。
・この脆弱性を利用するとリモートから任意 SQL コマンドを実行することが可能である。
・結果、Web サイトの改ざん、管理者アカウントなどを作成される可能性がある。
●影響範囲
Drupal core 7.31 以前の 7. x バージョン
●脆弱性公開タイムライン
・2014 年 10 月 15 日 PM4:02
(UTC)
、Drupal は Security advisories 公開。Drupal 7.32 をリリースする。
・Drupal が Security advisories を公開した直後からこの脆弱性を利用した攻撃が始まる。
・2014 年 10 月 29 日、パッチリリースから7 時間以内に対応してない、すべての Drupal7 の Web サイトが侵害
されたと仮定して対処すべきであるとDrupal Security advisoriesにて公表される。
●Drupal が推奨する対策
組織外
・攻撃者がすでにバックドアを仕掛けている場合、バー
攻撃者
ジョン7.32にアップデートしても脆弱性は修正される
がバックドアは消えない。痕跡を残さずデータを盗む
ことが可能である。
・2014 年 10 月 15 日の Security advisories 公開前の
状態にロールバックし、アップデートもしくはパッチを
① Web サイトのセキュリティ対策
② Web サイトへの攻撃検知
I. 修正パッチを適用できない場合の予防線
II. セキュリティ上の弱点を把握
適用する。
Web サイトで使用し
ているソフトウェア
組織内
Web サイト
●ソフトウェアの脆弱性を突く攻撃とその対策イメージ
参照:http://itpro.nikkeibp.co.jp/atcl/column/15/011600011/
011600002/?ST=security
23
サイバーセキュリ ティ アニュアルレポート
・2014 年 10 月 21 日、JPCERT/CC からDrupal の脆弱性に関する注意喚起が発出される。
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❶ 深刻な脆弱性
●SoakSoak マルウェア
●SoakSoak マルウェアについて
・ロシア製のマルウェアで、WordPress の有料プラグインSlider Revolution の脆弱性を利用する。
・SliderRevolution4.1.4 以前のバージョンが攻撃対象となる。
・感染すると最終的にsoaksoak.ruドメインへリダイレクトされ Javascript のマルウェアをロードする。
・このマルウェアの目的は不明だが、攻撃に成功するとデータベースの認証情報を含め、攻撃者は任意のファイルをダウ
ンロードすることができる。
・WordPressのテーマにSliderRevolutionバンドルされている場合、その存在を気付かずに使用しているユーザも多い。
●拡散の経緯
・2014 年 2 月 25 日、SoakSoak マルウェア対応 bugfix を含む Slider Revolution
(4.2)
がリリースされる。
・セキュリティベンダ sucuriによると、2014 年 8 月 9 日からSoakSoak マルウェアの攻撃が確認された。ピーク時
(2014 年 8 月 19 日)
には 2,500 以上ものサイトが攻撃を受けた。
・2014年9月3日WordPressテーマにバンドルされている古いSlider Revolutionプラグインの脆弱性が原因と分かる。
・2014 年 12 月 14 日、大規模な SoakSoak マルウェアキャンペーンが公表される。
・約 10 万以上の Wordpress 利用 Web サイトに影響があったと見られている。
・Google は感染サイト約 1 万 1,000 サイトをブロックしたと報道される。
・2015 年 3 月に発生した ISILによるサイト改ざんキャンペーンでもこの脆弱性が悪用された。
●対策
・プラグインを最新バージョンに更新する。
・Slider Revolution は WordPress のテーマにバンドルされている可能性があるため、このプラグインがテーマに含ま
れているか確認し、テーマ全体をバージョンアップする。
●GoogleBlacklistによるblockイメージ
参照:http://blog.sucuri.net/2014/12/soaksoak malware-compromises-100000-wordpress websites.html
24
●バックドアCryptoPHP
●CryptoPHP の脅威
・2014年11月20日にオランダのFox-IT社は
「CryptoPHP」
と呼ばれる新しいバックドアのホワイトペーパーを公表した。
・CryptoPHP は脆弱性を悪用してインストールされるのではなく、WordPress、Joomla、Drupal の海賊版のテーマと
プラグインを介して配布される。
・CryptoPHP は Web サーバ上で不正なコードを実行し、Web サイトに悪意のあるコンテンツを注入する能力を提供す
るとともに、リモートからの攻撃を可能とする。
●発見の経緯
・Fox-IT 社の研究者が怪しいトラフィックを生成しているサーバを見つけたことが発端。その Web サーバは CMS で構成
され、ほかのサーバに不自然な HTTP POST のリクエストを送信していた。
・2013 年 9 月 25 日に初めて検出される。
・2014 年 11 月 12 日の時点で CryptoPHP の 16 の亜種を含む、バックドアが仕込まれた数千ものプラグインやテーマ
が確認された。
●影響
Fox-ITによると23,693 の IP が感染している可能性が高い(ただしWeb サーバで共有されているIP を含む)。影響を受
けた上 位 5カ国は、米 国
(8,657 IP アドレス)
、ドイツ
(2,877 IP アドレス)、フランス
(1,231 IP アドレス)、オランダ
(1,008 IP アドレス)
、トルコ
(749 IP アドレス)
。
25
サイバーセキュリ ティ アニュアルレポート
●CryptoPHPの影響を受けた国
(FOX ITシンクホールによる)
参照:http://blog.fox-it.com/2014/11/26/cryptophp-a-week-later-more-than-23-000-sites-affected/
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❶ 深刻な脆弱性
デバイスの脆弱性
●MisfortuneCookie
●影響を及ぼす管理 GUI の脆弱性(CVE-2014-9222)
・この脆弱性は AllegroSoft 社の
「RomPager」に存在し、第三者にデバイスの管理者権限を取得される脆弱性であった。
2002 年に発見され、AllegroSoft 社が 2005 年に修正したが、相当数のルータで、いまだに脆弱性が存在する古い
バージョンの Allegro RomPager がインストールされ出荷されていた。
・この脆弱性を悪用すると、外部からルータ製品などのゲートウェイを乗っ取り、そのゲートウェイに接続されたデバイ
スを攻撃することが可能となる。
・想定される攻撃内容は、プレーンテキスト(SSLではない)の通信内容が読み取られる、DNS の設定が変更される、PC
や Webカメラなどルータに接続しているすべてのデバイスがリモートコントロールされる、スパイ行為に利用されると
いう可能性がある。
・影響範囲が広いため、Check Point Software Technologies 社は MisfortuneCookie 用の Web ページを用意し、
この脆弱性に対してQ&Aを掲載している。2014 年12 月18 日時点では、この脆弱性を利用した攻撃は起こっていな
いとのこと
●
「MisfortuneCookie」の影響
・Check Point Software Technologies 社は、この影響を受ける製品を一般のユーザが発見するのは難しいと述べて
いる。ある特定の国では利用されているIP の約10 ∼約 50%がこの脆弱性にさらされていることを見つけた。
・影響を受ける製品の一覧は Check Point Software Technologies 社がまとめて公開している。脆弱性が判明した
ルータには ASUS・Buffalo ・ Huawei・ Linksys・ D-Link・ Edimax・TP-Link・ZTE・ZyXELといった企業の製
品が含まれている。
・使用しているルータがAllegro RomPager 4.34 以前のバージョンをインストールしている場合、バージョンのアップ
デートを行う必要がある。アップデートがすぐに行えない場合は、WAN 側インタフェースの HTTP 通信や HTTPS 通信
を無効にする必要がある。
●MisfortuneCookieの特設 Webサイト
参照:http://mis.fortunecook.ie/
●RomPagerを使用しているルータの設定画面例
参照:http://buffalo.jp/support_s/s20141229.html
●脆弱なRomPagerを利用しているルータの一覧
参照:http://mis.fortunecook.ie/misfortune-cookie-suspected-vulnerable.pdf
26
●Insecam.com
・ I n s e c a m .co m と 呼 ば れ た ロ シ ア の サ イト は、世 界 中 か ら
73,000 台以上のプライベートセキュリティ Webカメラをストリー
ミング配信していた。
・ Insecam.com の 運 営 者は、Webカメラに特 別なハッキング を
行った訳ではなく、
【admin/admin】
や
【admin/12345】
というデ
フォルト設定のユーザ名/パスワードでログインしたものだと主張
していた。
・こうした 脆 弱 な カメラな ど のリスト は 過 去 に も 存 在した が、
Insecam.com は Motherboard が 記事で取り上げ たために、世
界中に知られることになった。
・ Insecam.com の運営者はデフォルト設定で使われているWebカメ
ラの問題に注目してもらうことにサイトの意味があると主張していた。
●日本のカット専門店のものと思われる Insecam.com で配信されて
いたカメラ映像
参照:http://matome.naver.jp/odai/2141846792581000801?
&page=1
●Insecam.comで公開されていたWebカメラ
・Insecam.comで公開されていた全 73,000 台のうち、米国内のカ
メラが 11,000 台以上、英国が約 2,500 台、その他世界各地(日本
も含む)
にある。
・特定のサイト名を出さずに報道した記事では、記事執筆時で米国
4,591台、フランス 2,059 台、オランダ 1,576 件が公開されている
と報道されている。
・公開されていた情報には各カメラの詳細な情報が掲載されていた。
サイト閲覧者がこの情報を用いて、公開されているWebカメラを
自由に操作可能であった。
・ 公 開 されていた カメラのメーカー には、Foscam、Panasonic、
Linksys など有名メーカーも多数存在した。
●Insecam.comで公開されていたカメラ情報
参照:http://jp.techcrunch.com/2014/11/08/20141107
insecam-displays-insecure-webcams-from-around the-world/
・イギリスの 情 報コミッショナー 事 務 局 は2014 年11月20 日に、
Insecam はシャットダウンすべきだと警告を出した。
・警告を受けた Insecam.com の運営者は Webカメラの配信を中止
し、求職活動をした。Webカメラの映像を配信する代わりに「リ
C/C++、Python、MySQL」
というメッセージを表示した。
事案のまとめ:深刻な脆弱性
・今後も新規の脆弱性は見つかり、ゼロデイ攻撃は発生していく。
・各ベンダは脆弱性に対する速やかなパッチリリースができないといけない。
・エンドユーザのパニック防止のため、エンドユーザに向けた正確なセキュリティリスクの情報提供は今後必要となってくる。
・オープンソース系の開発コミュニティでは費用面の問題を抱えているケースが存在する。
・脱獄しなければ安全だと考えられていた iOS 端末を侵害する新しい攻撃方法が明らかになった。
・CMS は攻撃のターゲットになっている。
・ソフトウェア本体の脆弱性だけでなく、テーマやプラグインの脆弱性も考慮し、使用しない機能は停止する。
・意図しないプラグインがテーマにバンドルされている場合がある。
・海賊版や正式なダウンロードサイト以外からのインストールは避ける。
・デバイス類に関しても攻撃のターゲットになってきている。
・有名ベンダの製品でも、既存の脆弱性の対応が漏れてしまう場合がある。
・Webカメラなどインターネットに接続するモノ、IoT はデフォルト設定で使っているユーザが多い。
・少なくともベンダはユーザにパスワードを変更して使用するように提示すべき。
27
サイバーセキュリ ティ アニュアルレポート
モ ー ト で で き る 仕 事 を 募 集 中。ス キ ル は Linux、FreeBSD、
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析
❷ 大規模なサイバー攻撃と情報流出
大規模なサイバー攻撃とこれによるデータ漏えいが多数確認された。
本節では、以下の攻撃を分析する。
● Sony Pictures Entertainment
(以下、SPE)への破壊的なサイバー攻撃
● POS マルウェアとカード情報流出:Goodwill、Home Depot、Jimmy John's、Staples、Dairy Queen
● 巧妙な攻撃:Darkhotel、FIN4
背景
・非常に巧妙で組織立ったサイバー攻撃が行われるようになってきた。
・サイバー攻撃に気づかずに情報を窃取され、被害に気づかないケースや、気づくまでに数年かかる場合も見られている。
・ダークウェッブの検索エンジンなどが登場し、漏出データを売買するアンダーグランド活動が活発になってきた。
SPEへの破壊的なサイバー攻撃
●概要
・SPE へのサイバー攻撃が行われ、社内システムが麻痺したとともに、大量の情報が流出した。
・未公開の映画コンテンツ、映画俳優の情報、社内の各種情報などが流出し、公開された。
・攻撃のきっかけとなったとされる映画
「The Interview」が上映された。
・政府機関による捜査により、確たる証拠は提示されていないものの政府は北朝鮮の関与を断定、オバマ大統領は北朝鮮
を非難した。
・北朝鮮は関与を否定、逆に米国による決めつけを非難している。
・データ流出の過程、流出したデータの量は明らかになっていない。
●社内システムへの攻撃
●GOP による社内端末乗っ取りと脅迫
■GOP からのメッセージ
我々は既に警告した、これは始まりに
過ぎない。要求がのまれるまで攻撃を
続ける。極秘情報を含む内部情報を
入手している。我々に従わなければ情
報を公開する。11 月 24 日午後 11 時
までに決断せよ。
・2014 年 11 月 24 日
(月)
に 出 社 し た SPE 社
員は、端末が乗っ取られているのを発見
・端末には
「Hacked By #GOP」
とともに、窃
取した社内情報を公開する旨を含む脅迫
メッセージと、窃取した情報リストの入手先
が表示されていた。
・犯 人 側 か ら の 要 求 内 容 は 明 ら か に さ れ な
かった。
・元従業員を名乗る人物が、現在も SPE で働い
●GOPに乗っ取られた従業員の端末画面 参照:http://imgur.com/qXNgFVz
ている友人から入手したとして、乗っ取り画
■GOP からのメッセージ
Michael Lynton(SPE 社長)を含む
お前ら犯罪者は地獄に落ちるだろう、
誰も助けにはならない。
像を reddit に投稿し明るみになった。
・映画宣伝用の Twitter アカウントのいくつ
かがハッキングされ、GOP から投稿された。
●GOPによる映画宣伝 Twitter アカウントへの投稿
参照:http://arstechnica.com/security/2014/
11/sony-pictures-hackers-release list-of-stolen-corporate-files/
28
●社内業務への影響
・全世界の従業員に対し、別途指示があるまで PC の電源を入れ
ずに、また携帯端末も Wi-Fi 接続をオフにするようにとの指
示が出た。E-mail のチェックも禁止された。
・従業員は紙とペンで仕事をする羽目になった。
・唯一使用が許可されたのは、ネットワーク接続していない映
像編集用の Mac 端末のみ
・従業員に対し、システム回復には 3 週間かかるとの説明が
あった。
●従業員向けに貼り出されたメッセージ
(London の SPEオフィスにて)
参照:https://twitter.com/JamesDeanTimes/status/5382530
74876612608
●映画の流出、俳優情報の公開
●映画の流出
・流出時未公開作品も含め、5 本の映画が無料でダウンロードできる状態だった。
・
「Still Alice」主演 Julianne Moore、Alec Baldwin、2015 年 1 月 16 日公開予定
・
「Mr Turner」主演 Timothy Spall、2014 年 12 月 19 日公開予定
・
「Annie」主演 Jamie Foxx、Cameron Diaz、2014 年 12 月 19 日公開予定
・
「Fury」主演 Brad Pitt、2014 年 10 月 17 日公開
・
「To Write Love on Her Arms」2015 年 3 月公開予定
・脚本も流出した。
・007 次回作
「SPECTRE」
主演 Daniel Craig、2015 年 11 月 6 日公開予定
・
「The Interview」今回の攻撃の引き金となったとされる作品(後述)
・TV ドラマ Breaking Bad の製作者として有名な Vince Gilligan の新作
●俳優情報の公開
・俳優がプライバシー保護のために使用している偽名
・Tom Hanks → Harry Lauder、Johnny Madrid、Natalie Portman → Laura Brown など
・俳優の社会保障番号
・Sylvester Stallone、Conan O'Brien、Rebel Wilson など
・映画出演料
・2013 年公開の American Hustle の各俳優の出演料内訳、The Interview の主演 2 人の出演料
29
サイバーセキュリ ティ アニュアルレポート
●Gods1052によるMegaTorrent への投稿
参照:http://torrentfreak.com/sony-movies-leak-online-after-hack-attack-141129/
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❷ 大規模なサイバー攻撃と情報流出
●情報の公開
●大量の社内情報が流出し、公開された。
・トップ重役を含む全世界 6,800 人の従業員の給料
・最高額の 300 万ドルは、CEO Michael Lynton 氏と共同会長 Amy Pascal 氏
・年収 100 万ドルを超えるトップ重役は 17 人
・給料に関する交渉記録
・米国スタッフ 3,500 人の社会保障番号
・社員の過去の犯罪歴に関する調査
・退職・休職理由に関する医師の診断書
●犯人は 100TB の情報を窃取したと主張
・SPE 側の調査では、流出した情報を特定できていない。
・100TB の情報を窃取したと主張する犯人の主張を裏付ける根拠は示されていないが、未公開映画や従業員情報など犯
人が公開したデータより大量の情報が流出したのは確実
●Snapchat の事業計画流出
・SPE CEO Michael Lynton 氏と Snapchat CEO Evan Spiegel 氏のメールでのやり取りの中に、Snapchat の事業
計画に関する情報が含まれていた。
・Spiegel 氏は落胆の意を表明
●ニューヨークの監査法人 Deloitte 社の情報流出
・31,124 人の社員の給与、人種、性別、役職などのリスト
・過去に Deloitte に勤務していた現 SPE 社員が、社内端末に過去の会社のファイルを保存していたと見られる。
●年収 100 万ドル以上のトップ重役のリスト
参照:http://www.businessinsider.com/hacked-sony docs-top-execs-paychecks-2014-12
●Deloitte 社の従業員情報
参照:http://fusion.net/story/31227/sony-pictures-hack-spreads to-deloitte-thousands-of-audit-firms-salaries-are-leaked/
●Spiege 氏の落胆を意を示すメッセージ
参照:https://twitter.com/evanspiegel/status/545308400829997056
30
●映画
「The Interview」
●The Interview
・北朝鮮のリーダー金正恩
(Kim Jong Un)
暗殺のために、CIA にリクルートされた 2 人のジャーナリストを描いたコメ
ディ。金正恩の暗殺シーンあり
・この映画の公開に先立ち、北朝鮮が SPE を攻撃したとされている。
・北朝鮮政府は 2014 年 6 月に、国連事務総長潘基文
(Ban Ki-moon)宛てに書簡を送付。その中でこの映画を「テロへの
あからさまな支援であり戦争行為である」と非難している。
・Sony 平井社長が過激な金正恩暗殺シーンの修正を要求していたことが、漏えいした社内メールから判明した。
●公開中止要求と脅迫
・GOP が映画の公開中止を要求。公開した場合は劇場を攻撃することをにおわすメッ
セージを投稿
・SPE は各映画館チェーンに公開を取りやめる選択肢を提示していたが、主要映画館が
上映中止を決定したことを受け、12 月 17 日に公開中止を発表
・オバマ大統領は表現の自由の観点から、公開中止した SPE を非難
●公開
・劇場公開予定日より 1 日早く、2014 年 12 月 24 日にオンラインで公開
・公開後 4 日間で購入・レンタルが 200 万回以上、1,500 万ドル以上の売上を記録し、
同社のオンラインリリースの記録を更新
●The Interview は BluRay でも発売
参照:http://www.theinterview movie.com/
●調査
●FBI からの警告
・SPE サイバー攻撃の調査を開始した FBI が、米国内企業に対し
「破壊的マルウェア」
について警告
(この時点では、SPE
攻撃マルウェアとの同一性は明言されていない)
・
「破壊的マルウェア」
が SPE 攻撃に使用されたものだと、後に判明
び 2013 年に韓国を攻撃した DarkSeoul との類似性を指摘
●社内調査
・SPE は FireEye 社の Mandiant チームにフォレンジック調査を依頼
・Mandiant の中間報告
・HDD を壊滅的に破壊するマルウェアを使用した攻撃、復旧には HDD の入換が必要
・攻撃の目的は、情報の流出と資産の破壊
・攻撃の規模、影響度合い、攻撃者の情報はまだ報告されていない。
●情報流出はタイのホテルから
・データの流出が、2014 年 12 月 2 日 12 時 25 分
(タイ現地時間)に St. Regis ホテルで始まったことが判明
・St. Regis ホテルはタイの首都バンコクにある五つ星のエレガントなホテル
・ゲストルームからの送信か、ロビーなどの公共エリアからの送信かは判明していない。
31
サイバーセキュリ ティ アニュアルレポート
●破壊的マルウェア
・Kaspersky の研究者が、今回のマルウェア
「Destover」と、サウジアラビアの Aramco 社を攻撃した Shamoon、およ
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❷ 大規模なサイバー攻撃と情報流出
●FBI の調査状況
・2014 年 12 月 19 日に、SPE 攻撃に北朝鮮政府が関与したという十分な情報を得たと発表
・データ破壊に使用されたマルウェアは、ソースコードの類似性、暗号アルゴリズム、データ破壊法、ネットワーク
侵害法などから、北朝鮮が以前開発したものと酷似している。
・マルウェアにハードコーディングされていた IP アドレスが北朝鮮のものである。
・攻撃に使用されたツールが、2013 年 3 月に北朝鮮が韓国の銀行などをサイバー攻撃したものに酷似している。
●北朝鮮は関与を否定
・北朝鮮は攻撃への関与を否定、逆に合同で調査することを提案
・米国は、北朝鮮との合同調査を却下
POSマルウェアとカード情報流出
●概要
・小売店、飲食店の POS から情報を抜き取る方法でカード情報を盗む、POS マルウェアを使った攻撃が流行している。
・多くの有名小売店チェーン、大規模飲食店チェーンから顧客のカード(クレジットカード、デビッドカード)情報が盗ま
れている。
・POS システムベンダを攻撃の足がかりにするケースも存在する。
・攻撃を受ける期間は長く、数カ月∼ 1 年以上にわたり、漏えいしたカード情報が悪用されて初めて漏えい事実が発覚す
るケースが多い。
・改善対策は進められているが追いつけていない。
・未だ認識されていない現在進行中のデータ侵害が多数あると想定される。
・一般の利用者は保護対策として、カード利用履歴の確認を定期的に行う必要がある。
・本 節 で は、2014 年 度 の ケ ー ス と し て POS 侵 害 で 被 害 の 大 き か っ た、Goodwill、Home Depot、Jimmy John's、
Staples、Dairy Queen について個々に分析する。
●POS マルウェアの歴史
・POS マルウェアとは、POS 端末のメモリ情報からカード情報を抜き取るタイプのマルウェアである。
・最初の POS マルウェアは 2011 年の終わりに見つかった Radsrv で、実行中のすべてのプロセスのメモリをスキャンし
てクレジットカードの Track 1 と Track 2 のデータを検索するものであった。
・翌年 2012 年には 3 種の新しい POS マルウェア(BlackPOS、Alina、Dexter)
が出現した。
・以降新種の POS マルウェアが次々とリリースされる中、2014 年には BlackPOS、Alina、Dexter からの第 2 世代の
マルウェアも現れた。
●クレジットカードから抜き取られる情報
参照:http://blog.fortinet.com/post/how-dexter steals-credit-card-information
●進化する POS マルウェアファミリ
(代表的なもの)
参照:http://blog.trendmicro.co.jp/archives/9902
32
●政府からの警告
・2014 年 7 月 31 日、US-CERT*1 が新種の POS マルウェア Backoff についてアラートを発した。
・活動開始時期
(2013 年 10 月から)
、亜種の一覧およびそれらのファイルインジケータ、対策案を案内した。
●業界団体からの警告
・2014 年 8 月 27 日、PCI SSC*2 が DHS*3 のアラートを受け、改めて小売業者に対してアラートを発した。
・US-CERT の Backoff のアラートと DHS のアラートを紹介した。
・各小売店に対して、直ちにセキュリティ専門家にアクセスし、POS マルウェアの感染確認を行うことと、外部への
データ転送の有無の確認、各種アカウントのパスワード変更を強く推奨した。
・長期的にはカード情報の暗号化機能を備えた SRED*4 対応の POS 端末への入れ替を推奨した。
・2014 年 8 月 27 日、PCISSC がスキミング防止ガイドラインを更新した。
・物理的および論理的な両面でスキミングに関するリスクを紹介した。
・POS システムのリスク/ POS システムへの防御方法/ POS システムのインシデント対応方法を紹介した。
*1
*2
*3
*4
US-CERT:米国政府のCSIRT
PCI SSC:Payment Card Industry Security Standards Council
(PCI関連のセキュリティ標準の策定維持管理を行う団体)
DHS:Department of Homeland Security
(米国国防省)
SRED:Secure Reading and Exchange of Data
(PCISSCの標準、
個人情報の暗号化など定めたPOS端末に関するセキュリティ要件)
●Goodwill のケース
・攻撃時期:2013 年 2 月 10 日∼ 2014 年 8 月 14 日
・被害規模:全米 20 州にまたがる 330 店舗
(全店舗の 10%)から約 86.8 万件のカード情報漏出
・攻撃のプロセスと事件の発覚、その後の対応
・2014 年 7 月 18 日
(金)
の夕方に異常を検知、週明けの 7 月 21 日(月)に公表した。
・Goodwill 社が決済系業務を委託していた C&K Systems 社のシステムが不正侵入に遭い、同社システム内の POS
に Rawpos 系の POS マルウェアが仕込まれ、顧客のカード情報が抜き取られた。
・2014 年 9 月 2 日に Goodwill 社は、被害を受けた店舗と時期を公表し、事件の概略も公開した。カード決済シス
テムの対応が完了し安全な状態になった旨の報告と、顧客保護プログラムの紹介が行われた。
・本事件後、
(2015 年 3 月 31 日時点で)
C&K Systems の Web サイトはアクセスできない状態となっている。
●Home Depot のケース
・攻撃時期:2014 年 4 月∼ 2014 年 9 月
・攻撃のプロセスと事件の発覚、その後の対応
・2014 年 9 月 2 日の朝に外部
(警察および銀行)
からの連絡を受け異常を検知、同日午後に公表した。
・協力会社からHome Depot社内ネットワークの協力会社用アカウント情報が窃取され、これによりHome Depot
社内ネットワークに不正侵入され、同社システム内の POS に BlackPOS 系の POS マルウェアが仕込まれ、顧客の
カード情報が抜き取られた。
・2014 年 9 月 18 日に Home Depot 社は調査結果を公表し、マルウェアは除去され正常な状態に戻った旨が報告
された。攻撃を受けた期間、被害を受けた店舗、窃取された情報も明らかにされ、被害を受けた顧客には顧客保護
プログラムも案内された。
・2014 年 11 月 14 日、5,300 万件のメールアドレスが漏出していたことも明らかになった。
・対 策 と し て、決 済 デ ー タ に 対 し て Voltage Security 社 の 暗 号 ソ リ ュ ー シ ョ ン が 採 用 さ れ た。ま た、EMV
Chip-and-PIN にも対応する予定
(カナダ店舗は対応済、米国店舗は米国内の移行期日
(2015 年 10 月)
までに完了
を予定している)
33
サイバーセキュリ ティ アニュアルレポート
・被害規模:オンラインを除く米国およびカナダの全店舗(2,266 店舗)から 5,600 万件クレジットカード情報が漏出
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❷ 大規模なサイバー攻撃と情報流出
●Jimmy John's のケース
・攻撃時期:2014 年 6 月 16 日∼ 2014 年 9 月 5 日
・被害規模:全店舗約 1,900 のうち 115 店舗にて使用されたクレジットカード、およびデビットカード情報が漏出、詳
細な件数は非公開
・攻撃のプロセスと事件の発覚、その後の対応
・2014 年 7 月 30 日に社内で異常を検知、フォレンジック調査を開始するとともに法執行機関へも連絡した。
・2014 年 7 月 31 日、Krebs 氏のブログで公表された。
・一部店舗が採用していた Signature Systems 社よりメンテナンス用のアカウント情報が窃取され、各店舗へのリ
モートアクセスを通じて POS マルウェアが仕込まれ、顧客のカード情報が抜き取られた。
・2014 年 9 月 24 日に Jimmy John's が調査結果を公開した。攻撃を受けた期間、被害を受けた店舗、窃取された情
報も明らかにされ、被害を受けた顧客には顧客保護プログラムも案内された。
・2014 年 9 月 25 日に Signature Systems 社より、ほかに盗まれたメンテナンス用アカウントについて情報が公開
された。
・対策として、決済データに対する暗号ソリューションの採用およびネットワーク監視強化を計画している。
●Staples のケース
・攻撃時期:2014 年 4 月 1 日∼ 2014 年 9 月 30 日
・被害規模:全店舗約 1,400 のうち 216 店舗にて使用されたクレジットカード、およびデビットカード約 116 万件の
情報が漏出
・攻撃のプロセスと事件の発覚、その後の対応
・2014 年 10 月 20 日、Krebs 氏のブログで事件が公表された。この時点で、法執行機関に調査を依頼している旨も
明らかにされている。
・攻撃のプロセスは解明されておらず、マルウェア感染による情報漏えいだとされている。しかし、情報漏えいが
確認されている店舗でもマルウェアは見つかっていない。
・2014 年 12 月 19 日、Staples 社は調査結果を公開した。攻撃を受けた期間、被害を受けた店舗、窃取された情報
の件数も明らかにされ、被害を受けた顧客には顧客保護プログラムも案内された。
●Dairy Queen のケース
・攻撃時期:2014 年 8 月 1 日∼ 2014 年 10 月 6 日
・被害規模:運営する Dairy Queen と Orange Julius の国内全 4,500 店舗のうち 395 店舗にて使用されたクレジット
カード、およびデビットカード情報が漏出、詳細な件数は不明
・攻撃のプロセスと事件の発覚、その後の対応
・2014 年 8 月 26 日、Krebs 氏のブログで公表された。
・2014 年 8 月 28 日、当局より連絡を受けた Dairy Queen は、フォレンジック調査を開始した。
・POS マルウェアの Backoff が米国内の Dairy Queen 数店舗と Orange Julius 1 店舗で発見された。サードベン
ダのアカウント情報漏えいからシステムに潜入され、マルウェアが仕込まれた。
・2014 年 10 月 9 日、Dairy Queen 社は調査結果を公表し、被害を受けた店舗と窃取された情報の内容が明らかに
され、被害を受けた顧客には顧客保護プログラムも案内された。
34
巧妙な攻撃
●概要
・今まで見られなかった巧妙な攻撃が報告された。
・明示的な被害が見られないため攻撃を検出しづらい。
・本節では、2014 年度に報告された巧妙な攻撃のうち、Darkhotel と FIN4 を分析する。
●Darkhotel
●Darkhotel とは
・K a s pe r s k y L a b 社 から 2014 年 11 月 10 日にリリースされた報告書「 TH E D A R K H O TE L A P T A STORY OF
UNUSUAL HOSPITALITY」
によりその存在が明らかにされた。
・情報収集を目的とした標的型攻撃に使用される。
・同社の報告書には発見の経緯については明らかにされていない。
●Darkhotel 感染プロセスおよび機能
・何らかの手段
(報告書に記載なし)
で Hotel の Wi-Fi ネットワークに潜ませ、狙った宿泊者の部屋で Wi-Fi 接続すると悪
意あるログイン画面を表示させるようにしておく。
・宿泊者がログイン後、各種主要ソフトウェア
(OS や Flash など)の更新に見せかけバックドアをインストールさせる。
・インストールしたバックドアを用いて宿泊者を選別し、本格的に情報取得するか否かを判断する。
・情報収集する場合はさらに高度なツール群をバックドアを通じてインストールする。
・インストールされたツール群により、キーロギング、各種アカウントの ID /パスワードの窃取、各種ファイルの窃取
など、さまざまなスパイ行為を実施する。
●攻撃方法およびマルウェアの特徴
・7 年前から現在に至るまで活動している。
・Keylogger が
「kernel-mode keylogger」
で MS のシステム上では、システムデバイスに見えるようになっていた(メ
ディアの個別インタビューで関係者が見たことないほど洗練されていたと語る)。
・マルウェアを合法に見せるために、弱い暗号キーを使っている認証局の証明書を偽造し、正規の証明書を備えている
ように見せていた。
・自己消滅機能がついていた
(システムが韓国語を使用している場合)。
・ほかに Torrentt のファイルを通じての感染キャンペーンも確認された。
●被害者
・KSN
(Kaspersky Security Network)
内の Sinkhole では、日本が感染数が多い。
・グローバルな Sinkhole では、インドの感染数が多く、日本は 2 位、ただし微量
●防御
・公共のネットワークへのアクセスは注意すべき。
・公共のネットワークでのソフトウェアの更新は控えるべき。
35
サイバーセキュリ ティ アニュアルレポート
・仕込みに手間がかかる、事前に標的対象の宿泊予定を把握しておく必要がある。
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❷ 大規模なサイバー攻撃と情報流出
●FIN4
●FIN4 とは
・上場企業の株価を左右する内部情報を狙って活動するグループの存在を FireEye が検出し、このグループを「FIN4」
と
命名
・遅くとも 2013 年中ごろには活動を開始し、100 社以上の企業を標的としていたことが明らかに
・直接的な被害が露呈しないため、攻撃の検知が困難
●標的
・標的の大半は、内部情報が株式に大きく影響する医療や
製薬の関連企業
・新薬開発や国の規制、安全性や法的問題などにより株価
が変動するため、内部情報窃取の対称に
・社内重要情報
(企業秘密)
を扱う経営幹部、法務関係者、
顧問弁護士が攻撃の標的に
・証券会社や M&A を手がける会社も標的に
●標的の約 7 割は医薬業界、その他 証券、法務、M&A 分野
参照:http://www.computerworld.com/article/2853697/fireeye suspects-fin4-hackers-are-americans-after-insider-info-to game-stock-market.html
●攻撃の手順
・攻撃対象企業の取引先や関連会社の従業員アカウントを不正に入手
・入手したアカウントから攻撃対象企業の標的(役員など)に、VBA マクロが組み込まれた Office 文書を添付したフィッ
シングメールを送付
・添付文書を開くとマクロが動き、Microsoft 社メールソフト
(Outlook)の偽ログイン認証画面を表示
・偽ログイン画面でユーザ ID とパスワードを窃取
・窃取したログイン情報で標的のメールアカウントを閲覧、内部情報を窃取
・不正に得た内部情報を株取引に利用
●調査
・FireEye は継続して FIN4 の行動を追跡しているが、FIN4 を Tor を使って通信しているため追跡が難しく、正体はまだ
つかめていない。
・フィッシングメールには投資専門用語なども使われていることから、業界関係者がメンバーに関連していると想定される。
・FIN4 が得た利益も不明
事案のまとめ:大規模なサイバー攻撃と情報流出
・Sony Pictures Entertainment に対して破壊的なサイバー攻撃が行われ、米国政府は北朝鮮の関与を断定しているがそ
の十分な根拠は示されていない。
・POS を狙ったマルウェアで情報を窃取するサイバー攻撃により、大規模なチェーン店などでカード情報が窃取された。
・明示的な被害が見られないために攻撃を検出しづらい巧妙な攻撃が報告された。
・システムを破壊するような攻撃はすぐに発見されるが、被害の見えにくい情報漏えいなどは、攻撃に気づくまでに時間が
かかる場合が多い。
36
❸ モバイルの安全性
2014 年度は、マルウェアによる攻撃が PC からモバイルへシフトする動きが見られた。モバイル OS のセキュリティ機
能が強化される一方、OS・ハードの脆弱性やモバイルに関する監視活動も報告されている。本節では、このような新し
い脅威のいくつかを分析する。
●モバイルでのランサムウェアを含むマルウェアの流行
●Android 端末の OS 最新化への対応の遅れ
●官民でモバイルのプライバシー保護を強化する動き
●モバイルデバイスの利用者監視機能
(OS 開発元、製品ベンダ、政府機関)
●サードパーティ製のキーボード・アプリの危険性
●ファクトリーリセットしても情報流出の起こる危険性
●モバイルデバイスの脆弱性
(OS、ハード)
●Android4.3 以前の WebView Google 社によるパッチ開発終了
モバイルでのランサムウェアを含むマルウェアの流行
●背景
・iOS とは異なり、Android は OS の供給とハードの供給が別のため、Google 社が最新のバージョンをリリースしても、
すぐにすべての Android に向けて最新のバージョンがリリースされるわけではない。
・スマートフォンが高機能化するにつれて、取得できる情報量が増加し、重要情報がスマートフォンに格納されるように
なり、攻撃者が攻撃目標として狙うようになってきた。また、高機能化することで DDoS 攻撃のボットとしても狙われ
るようになってきている。
・2 要素認証では 3 種類の ID のうち 2 つで行われる。
(1)
ユーザが知っている、
(2)
ユーザが所有している、
(3)
ユーザ自
身の特性。3 つのうち
(1)
はパスワードで満たされるため、次に導入されやすいのは
(2)
に当てはまる携帯電話で、SMS
認証が利用されやすい。
・NSA の諜報活動が暴露されたことによって、プライバシーへの関心が高まり、プライバシーに関連する脆弱性やアプ
リの危険性がメディアで報じられることが多くなった。
のページを送り込む攻撃
(Android icon permissions attack)
を行っていた。Google はこの攻撃に対処するパッチ
を OEM ベンダ各社に対しリリースしたと語った。
・Kaspersky Labs によると、Android の Trojan である Stealer.a が 2014 年 1 ∼ 3 月で最も感染しているモバイル
Trojan である。ロシアで多く感染しているが、ベルギー、フランス、ラトビア、リトアニア、ドイツ、ベラルーシなど
の多くの国で感染は見つかっている。
・Android 向けの SMS Trojan FakeInst が 66 カ国のユーザをターゲットにしている。感染した場合、勝手にプレミア
ム SMS へメッセージを送り、被害者は 2 ドル課金される。作成者はロシア人と見られ、プレミアム SMS も被害者の地
域にマッチさせた番号へ送信する。ただし、2014 年 4 月時点では Google Play から拡散された事例は確認されていな
いとのこと。
37
サイバーセキュリ ティ アニュアルレポート
●詳細
・FireEye が見つけた悪意ある Android アプリでアイコンのパーミッション設定の悪用でユーザにフィッシングサイト
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❸ モバイルの安全性
・BitDefender 社からの報告では、Android 端末に対して CryptoLocker というランサムウェアが流行っており、例え
ばアダルトコンテンツを見るためにアプリ(マルウェア)
をインストールすることで感染する。アプリをインストール
すると位置情報を犯人に送信し、その地域の言語で「あなたの端末は暗号化された。解除するために 300 ドルを支払う
こと」
を要求されるが、実際は支払わなくても解除できる。ホームボタンでトップに戻り、その後セーフモードで端末
を起動させることでアプリが削除できるため、まだ洗練はされていないとのこと。出回っているキットのバージョンは
アメリカ、イギリス、フランス、ドイツを含む 30 カ国語に対応している。
・モバイルデバイスをターゲットにランサムウェアである Reveton ウイルスが世界中で広まっている模様、警察を騙っ
て身代金を要求しており、欧州と米国で利益を出している。
・iPhone上のiCloudのアカウントが乗っ取られたらそのまま端末の制御が攻撃者に奪われてしまい、振込先のメッセー
ジも丁寧に表示してくれるという状況になってしまっている。ランサムウェアと同じ手法で集金される事例が発生し
た。これについて後日、ロシアのハッカー 2 人の仕業だと判明した。手法としては iCloud アカウントを抜き取るフィッ
シングサイトでアカウント収集を行ったと自白している。
・米国の Android ユーザを標的にしたランサムウェア Svpeng が、Kaspersky Labs によって発見された。Svpeng は
2013 年 9 月にロシアで発見され、モバイルデバイスからペイメントカード情報を抜き取るために使われていた。今回
のマルウェアは、新たな行動パターンのもので、テキストメッセージを送り、マルウェアに感染させ、偽の FBI ペナル
ティー通知を表示させてデバイスをロックし、200 ドルを電子マネーで請求する。
・Kaspersky 社のエンジニアが、ブログで Trojan-Ransom.AndroidOS.Pletor.a について語り、2014 年 5 月中旬にブ
ラックマーケットで 5,000 ドルの価格で新種のモバイル端末のデータを暗号化する Trojan が売りに出され、数日後の
5 月 18 日に感染が確認されたと伝えた。このエンジニアによるとこれまで確認できた検体すべてで、鍵がマルウェア
の中に含まれているため、支払いは行わずカスペルスキー社に相談してほしいとのこと。
・スマートフォンを利用した 2 要素認証を狙ったマルウェアが拡散している
(2014 年 7 月)
。判明している時点では世界
6 カ国 30 の金融機関に被害が及んでいる。被害が報告されているのは、日本・オーストリア・スウェーデン・スイス
などの金融機関で被害額は数百万ドルに及ぶと見られる。今回の一連の攻撃は
「Operation Emmental(オペレーショ
ン エメンタル)
」
と名付けられている。
・2013 年 1 月ごろからすでに、Android スマートフォンへ感染し、DDoS 攻撃のボットにするプログラムが発見されて
おり、スマートフォンが高機能化するにつれて、攻撃に利用されるデバイスになってきている。
・Symantec 社は Android 版の RAT
(リモートアクセスツール)から派生した Dendroid というツールが出回っているこ
とを 2014 年 5 月にブログで発表した。これは、専門知識が少なくても稼働させることが可能なマルウェアであり、管
理画面やファームウェアのインタフェースがとても分かりやすいとして闇市場で人気であるとのこと。さらには 300
ドルという安価で販売されているにも関わらず、365 日 24 時間のサポートがなされると販売者はうたっている。この
RAT の機能の中には HTTP Flood 攻撃を行わせる機能も備えており、DDoS 攻撃ツールとして Android デバイスを利
用しようとする試みが行われていることを示していた。
・Fortinet 社のセキュリティ研究者 Axelle Apvrille 氏の研究
によると、AdThief
(別名 Spad)
は Jailbreak した iOS 端末
を狙うマルウェア。2014 年 8 月時点では 7 万 5,000 台以上
が感染していると報告された。今回発見された悪意のある
プログラムによって、既に 2,200 万以上もの広告から攻撃
者は利益を得ているとのこと。結果としてその広告のク
リック収入や成果報酬型の収入は攻撃者の収入となった。
現在この悪意のあるプログラムは 15 もの広告プラット
フ ォ ー ム を 標 的 と し て お り、そ の 中 に は Google 傘 下 の
AdMob や Google Mobile Ads も含まれ、最も多いのが中
国の広告プラットフォームであることが確認されている。
また米国、インドの広告プラットフォームも含まれている。
38
●攻撃メソッドの略図
参照:http://www.neowin.net/news/over-75000-jailbroken-ios devices-fall-prey-to-adthief-malware
Android端末のOS最新化への対応の遅れ
・2014 年 4 月時点の発表では Heartbleed の脆弱性の影響を受けるのは Android4.1.1 で、Google によると、このバー
ジョンで稼働している端末は 10%未満であるとのこと。しかし、端末数で言えば数百万台の Android 端末が脆弱なまま。
・Android アプリも脆弱な OpneSSL のバージョンのライブラリで作られている場合は、Heartbleed の影響を受ける。
加えて、影響を受けるサーバへ接続しているアプリもある。影響を受けるサーバへアクセスしていたアプリは、2014
年 4 月に 7,000 程度であることがトレンドマイクロ社の調査の結果、明らかになった。
・IBM 社の研究者が重大なセキュリティ脆弱性を発見した。Android の secure storage service KeyStore で見つかっ
た脆弱性であり、スタックベースのバッファオーバーフローを起こすことができる。この脆弱性を利用したアプリに
よって、デバイスをロックする認証情報とマスターキーを不正に取得することができる。脆弱性は最新の Android 4.4
では修正されている。しかし、最新版の Android を利用できているのは、2014 年 6 月 1 日時点で 13.5%
●スマートフォンの脆弱性
・2012 年に発見された Android リモートコード実行の脆弱性(CVE-2012-6636)は、Android4.2 で解消されている
が、脆弱性が解消されていない Android4.2 より古い端末が約 50%ある。新しい Android が普及しないのは、ベンダ
やキャリア側の対応が必要になるため
Android platform version
Jelly Bean 4.1.x
25.1%
KitKat
(4.4)
24.5%
20.7%
Jelly Bean 4.1.x
Gingerbread
(2.3.3−2.3.7)
11.4%
Ice Cream Sandwich
(4.0.3−4.0.4)
9.6%
Jelly Bean 4.3
8%
Froyo(2.2)
2.5%
5%
7.5%
10% 12.5% 15% 17.5% 20% 22.5% 25% 27.5% 30%
Share of Android mobile devices
●Android のシェアの棒グラフ(2014 年 10 月2 日∼ 10 月8 日の 1 週間にGoogole Play Storeにアクセスした端末の統計データ。この時点では 4.2より古い端末は 47%となっている)
参照:http://www.statista.com/statistics/271774/share-of-android-platforms-on-mobile-devices-with-android-os/
・すべてのパッチが当たった最新
(2014 年 8 月時点)
の Android4.4 までの Android 端末でさえ、未だ攻撃される可能
性があるとのこと。addJavascriptInterface API を使っているアプリには、CVE-2012-6636 に起因する脆弱性が潜
在し、addJavascriptInterface が使われている限り、最新の Android 端末でも危険である。Google Play Store の 10
万のAPKファイルを確認し、そのうち12%は最新のAndroid端末で動かす場合でも潜在的な脆弱性を含んだものだった。
39
サイバーセキュリ ティ アニュアルレポート
0%
0.7%
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❸ モバイルの安全性
官民でモバイルのプライバシー保護を強化する動き
●公的機関のプライバシーセキュリティ強化の動き
・スマートフォン
「キルスイッチ*1 法」
がカリフォルニア州で 2014 年 8 月 25 日に成立し、州内で販売されるすべてのス
マートフォンで盗難防止セキュリティ機能を自動的に有効にすることを義務付ける米国初の州となった。
・ロンドン警視庁は、デフォルトでスマートフォンをパスワード保護するよう推し進めている。2012 年からスマート
フォン製造業者へ、より厳しいセキュリティ評価をするよう強いてきた。2014 年 8 月 22 日時点、ロンドン警視庁は、
Apple と Samsung と交渉中。Samsung は喜んでサポートしたいと述べている。
*1 キルスイッチ:スマートフォンが盗まれたときに所有者が本体をロックして操作不能にすることができる機能。
2014 年第 2 四半期時点では Android OS には搭載されておらず、Android 5.0 Lolipop にて実装されることになった。
●iPhone の Find My iPhone 使用時の待ち受け画面
参照:http://www.appbank.net/2013/09/19/
iphone-news/664739.php
●Android のキルスイッチ使用時の待ち受け画面
参照:http://getnews.jp/archives/641310
モバイルデバイスの利用者監視機能
●iOS に搭載されている監視 Tool についての動き
・ニューヨークで開催された Hackers On Planet Earth というカンファレンスで、データフォレンジックの専門家であ
る Zdziarski 氏が発表した調査結果によると、Apple 社の iOS に標準で搭載されている Tool を使うと、バックアップ
暗号化機能をバイパスして端末内のアドレス帳、保存されている写真などの全ユーザデータを盗み見たり、ファイルを
外部のサーバに転送できる。
・Zdziarski 氏は、例え政府からの指示でも CALEA 法*2 の範疇を超えているのではないかと思うと話している。漏れて
いる情報というのは重要な個人情報であり、利用者に通知がないのはおかしい。
・指摘に対し Apple 社は
「診断用の機能」
と反論した。
・専門家達は iOS 端末を遠隔で起動したり、スパイ活動やそれ以上のことができることを発見している。
・専門家達の指摘に対して、Apple 社は 3 つの文書化されていない機能について解説し、これらの機能は iOS 端末をアン
ロックし接続した PC を
「信頼する」
と指定しないと機能しないことから不正利用はできないと反論している。
*2 CALEA 法(法執行のための通信援助法):裁判所命令やその他の法的許可を得た捜査官が特定の電話通話を傍受し、電話発信者の身元データに迅速にアクセスできるシ
ステムの設置を電気通信事業者に義務付けている。また、電気通信事業者に対し、傍受されたデータを、施設外への持ち出し、あるいは転送が可能な形で政府機関に引き
渡すことを義務付けている。
●中国製スマートフォンのユーザ監視についての動き
・F-secure の研究者が 2014 年 8 月 7 日に調査した結果をブログへ投稿した。調査は中国の Xiaomi 社製のスマートフォ
ンが Wi-Fi への接続を確立したタイミングでデータを北京のサーバへ勝手に送信しているかを確認する調査であり、
実際に送信していた。転送される情報は、使っている電話の IMEI 番号、IMSI 番号、保存されている連絡先とその詳細、
テキストメッセージ。ユーザへの確認が行われずに送信されていた。
・これに対して Xiaomi 社の副社長 Hugo Barra 氏が、Google+ で 2014 年 8 月 10 日に IMEI 番号、IMSI 番号の収集に
ついては、iMessage と同様の SMS 通信費用がかからずに電話番号でメッセージを送信できる機能があり、その機能
を利用させるために IMEI 番号、IMSI 番号の収集していたと弁明した。ほかにも Q&A 形式で今回の問題について弁明
を掲載した。
・Google+ で弁明した投稿で 2014 年 8 月 10 日にデータをユーザの確認をせずに勝手に送信しないように設定された
ファームウェアのアップデートを提供することを告知し、アップデートをリリースした。
40
●政府による監視強化
・ESD America 社 の CEO で あ る Les Goldsmith 氏 に よ る と、同
社が一般的なスマートフォンに搭載されている Android から
468 個もの脆弱性を取り除いた
「CryptoPhone 500」というセ
キュアフォンを開発、販売している。
・ESD America 社のセキュリティチームが通常の Android 端末の
ファイアウォールを調査したところ、1 時間ごとに 80 ∼ 90 回の
データ漏えいが発生していることが判明し、その信号をトラッキ
ングした結果、インターセプター
(偽の携帯電話基地局)への通信
を確認した。
・「CryptoPhone 500」
に搭載された特別にセキュリティ強化した
OS に は Baseband Firewall が 搭 載 さ れ て い て、イ ン タ ー セ プ
ターの位置を検出することが可能になる。
●Baseband Firewall のキャプチャ
参照:http://gigazine.net/news/20140904-fake-mobile tower-interception/
・同社やユーザが同端末を使用して作成したマップには、少なくとも 17 機ものインターセプターの場所が明記されてい
る。スマートフォンがインターセプターに接続されると、無線通信を介して通話の盗聴や中間者攻撃が可能になってし
まうとのこと。
・インターセプターは特殊なセルラー・ネットワーク・プロトコルを使用して暗号化を突破できるソフトウェアを搭載
した PC のようなもの。Android や iOS を搭載したすべてのデバイスには第 2 の OS と呼ばれる RTOS
(リアルタイム・
オペレーティング・システム)
が組み込まれており、RTOS はスマートフォンのベースバンド・プロセッサという半導
体集積回路上で動作する。ベースバンド・プロセッサは、メイン OS と携帯電話基地局の中継点のようなもので、イン
ターセプターはベースバンド・プロセッサを介して通話の盗聴やスパイウェア攻撃を行うとのこと。
・Goldsmith 氏は
「インターセプターを設置した組織や、建設目的は不明。しかし、発見されたインターセプターの位置
は、すべてアメリカ軍基地内にある。普通ならアメリカ政府が疑わしいが他国が設置した可能性も排除できない」と発
言している。
41
サイバーセキュリ ティ アニュアルレポート
●インターセプターの場所を記した地図
参照:http://www.popsci.com/sites/popsci.com/files/styles/image_full/public/esdmap.jpeg
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❸ モバイルの安全性
サードパーティ製のキーボード・アプリの危険性
●スマートフォンの脆弱性①
・主要なモバイルデバイスのプラットフォームでは、サードパーティ製のキーボード・アプリを利用することができる。
キーボード・アプリでは、ユーザ辞書をクラウド上で共有すると複数のデバイスで同じユーザ辞書が使えるなど、利便
性を向上する目的でネットワークアクセスを求めてくるものがある。しかし、キーボード・アプリにネットワーク・ア
クセスを与えることは、キーストロークやデータ収集、漏えい、データの不正利用の機会を与えるということを理解す
べきである。
■キーボード・アプリが通信を行う際の危険性の例
キーボード・アプリを利用して、
メールを作ったり、
ブラウジングする。
キーボード・アプリを
ダウンロード
キーボード・アプリが
入力した内容を
勝手に外部サーバへ送信
ファクトリーリセットしても情報流出の起こる危険性
●スマートフォンの脆弱性②
・Avast 社は、中古 Android 端末上の削除された個人情報などのデータにアクセス可能であると警告を出した。同社は、
オンラインオークションで 20 台の中古の Android 端末を購入。単純で簡単に手に入るソフトウェアで 4 万枚の保存さ
れた写真を含む多くのデータファイルにアクセスすることができたとブログで公開している。問題の原因は、ファクト
リーリセット機能は実際に携帯のストレージからデータを消し去ることができないため。防御策は暗号化してから
ファクトリーリセットをするとよいとのこと。
■スマートフォンのファクトリーリセットからデータ復元の流れ
①
ファクトリーリセットを行う。
表面上はデータが消えたように
見えるが、
が 情報の実体は残ったまま
が、
データ
ファクトリー
リセット
データ
②
情報の実体が残ったまま、
端末が第三者の手に渡る。
データ
42
入手
③
情報の実体が残っているので、
ツールなどを使って情報を
復元される。
復元
データ
モバイルデバイスの脆弱性
●スマートフォンの脆弱性
・暗 号 化 通 信 を 手 が け る Silent Circle 社 が 開 発 し た Blackphone は セ キ ュ リ テ ィ を 第 一 に 考 え た モ バ イ ル OS
「PrivatOS」
が搭載されており、この OS は特にプライバシー情報の漏えい防止とデバイスコントロール機能を特徴と
しているため、ビジネスユースにも適していると言われている。この Blackphone が、2014 年 8 月ラスベガスで行わ
れた Defcon で root 化された。Android 界で
‘JCase’として知られる著名なハッカー、Justin Case 氏が入手してす
ぐにroot化したという。この事実が発覚してすぐにSilent Circle社はアップデートを行い、すぐにバグを修正している。
●SilentCircle 社のイメージ画像
参照:http://www.itpro.co.uk/644263/silent-circle launches-encryption-app-for-ios-devices
●SilentCircle の Blackphone
参照:https://silentcircle.com/services
#blackphone
・Accuvant 社の Mathew Solnik 氏は、約 9 メートル離れた場所から、持ち主や通信会社に知られることなくスマート
フォンを乗っ取ることができるという発表をラスベガスで開催された Blackhat2014 で発表した。スマートフォンの
マイク機能を立ち上げたり、連絡先を閲覧したり、メールを読んだりすることも可能だという。スマートフォンは常に
インターネットと接続し、たまにしかアップデートされないため、安全を保つのが難しい。Solnik 氏は、スマートフォ
ンに自分が通信会社だと思い込ませるため、
「偽の基地局」として機能するものを使う。1,000 ドル未満で入手可能とい
う小型のノートパソコンほどの大きさの偽の基地局は、9 メートル以内の場所から、悪意のあるコードをスマートフォ
ンにアップロードできる。この技術は一部の端末でしか機能しないというが、どの端末で機能するかは明らかにしな
かった。彼らのハッキング技術は、半導体大手の Qualcomm 社製ベースバンドチップと連動するソフトウェアに影響
を及ぼす。Qualcomm 社の製品は、現在スマートフォンに使われている圧倒的大多数のベースバンドチップを製造す
していることを明らかにした。
●Qualcomm 社のチップ
参照:http://telematicswire.net/qualcomm ranks-1-as-gps-ic-vendor/
●Accuvant 社のロゴ
参照:http://www.accuvant.com/
・Google Play の最近の更新でアプリが使用する権限の表示が簡略化され、詳細を見るボタンをタップしなければ、カ
テゴライズされた権限グループが見えるのみとなっている。さらには最近のアプリはネット接続が当たり前になって
いるので、通信に関するパーミッションの確認の表示がない。問題なのは、自動更新によってアプリから新しい権限を
求められた場合、今まではどんなパーミッションでも許可を求められていたのに対し、今回の変更によって同じカテゴ
リの権限であれば自動で許可してしまうとのこと。
43
サイバーセキュリ ティ アニュアルレポート
る。 Qualcomm 社は、Accuvant 社がセキュリティホールを見つけたことを確認し、影響を受けた企業の修正を支援
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❸ モバイルの安全性
Android4.3以前のWebView Google社によるパッチ開発終了
●詳細
・Rapid7 の 研 究 者 が 2015 年 1 月 12 日 の ブ ロ グ で 発 表 し た と こ ろ に よ る と、Google 社 は Android 4.3 以 前 の
WebView に関しては Google 社ではパッチの開発を行わないとのこと。同研究者が Android 4.3 以前の WebView
について発見した脆弱性を Google 社に報告した際の返答から明らかになった。
・2015 年 1 月 15 日時点での統計によると、Android 利用者のうち約 60% が Android 4.3 以前を利用しており、9 億
3,000 万台以上の Android 端末が影響を受けると見られる。
●Android アーキテクチャ
参照:https://www.jssec.org/report/securecoding.html
・WebView は Android 4.3 までのバージョンで使われていた Web ページ表示のためのコンポーネントであり OS に
組み込まれていた。Android 4.4 からは同機能は OS の組み込みから切り離され、Chromium ベースの別コンポーネ
ントに変更された。
・Google 社の Android セキュリティ担当が 2015 年 1 月 24 日に説明を行った。
・Android4.3 以前の WebView の脆弱性パッチを提供しないことを認める。
・Android4.3 以前の WebView のブラウザエンジンに用いられる WebKit はそれだけで約 500 万行のコードで書
かれており、脆弱性に対するパッチ作成を安全に実行するのは現実的ではない。
・利用者の多くが新しい OS にアップグレードしていくので影響は減少していく。
・Android4.3 以前の利用者は、WebView を使うプリインストールされた Web ブラウザではなく、WebView を
使わない Chrome あるいは Firefox などを Google Play からダウンロードして使って欲しい。
事案のまとめ:モバイルの安全性
・Android 端末は極めて狙われやすい。
・Android 以外に iOS も標的にされており、マルウェアも確認されている。
・Android に限らず、iOS に関しても盗聴の危険性がある。
・パソコンで行われていた攻撃手法を利用するケースも出てきた。
・フィッシングの標的にもされている。
・スマートフォンデバイス自体の高機能化によって、DDoS 攻撃のボットとして使用される。
・2 要素認証を奪取する目的でモバイルデバイスが狙われる場合がある。
・スマートフォンのプライバシー保護や安全性が求められている。
・スマートフォンのロック画面のパスワード保護を設定するなど利用者意識の改善が求められている。
・ユーザに秘密裏に情報を送信したり、メンテナンス用のバックドア機能を設置するというベンダの行為は、発見される
と大騒ぎに発展する。製品に対する透明性がより求められる。
・ファクトリー・リセットやキーボード・アプリの危険性など、運用面においてのリスクも表面化してきた。
44
❹ プライバシーの扱い
2014 年度は、世界的に自身のプライバシー保護や政府機関の盗聴に対する関心の高まりに対する具体的な活動の進展
が見られた。本節では、このような新しいプライバシーの扱いに関する活動のいくつかを分析する。
●公的機関による携帯電話の追跡の実態の人権団体による公表
●グローバル企業が企業活動の透明性レポートを公表
●EU の事故対応のための情報収集施策とプライバシー保護との対立
●欧州の
「忘れられる権利」
への対応の義務化
●Facebook 社が無断で利用者のタイムラインの表示内容を変更した実験についての批判
●その他米国企業による個人情報収集問題
●政府機関のプライバシー情報への合法的なアクセス拡大を求める動きと人権保護団体との対立
●Tor の匿名性解除の動き
背景
・スノーデン氏の告発により、世界的に自身のプライバシー保護や、政府機関の盗聴および政府機関に協力する企業に対
する関心が高まっている。
・民間組織においても、公的機関の盗聴の実態を告発する動きが活発化している。
・企業でも、政府機関などからの盗聴を防ぐ新しい通信デバイス、サービスの開発、提供が活発化している。
・欧州と米国では個人情報保護に関する法律が大きく異なる。米国では包括的に個人情報を保護する法整備の取り組み
は見られない*1。
・主に広告収入増を狙った企業間の競争により、個人情報・嗜好の収集が高度化している。
・製品やサービスのプライバシー保護強化に対し、諜報機関・法執行機関が警戒を強めている。
*1 2015 年 1 月 12 日、オバマ大統領は米国民のデータを保護するための法案
「Personal Data Notification and Protection Act」を提出した。同法案は企業にデータ
漏えいの発覚後 30 日以内に本人への通知を求めるものとのこと
公的機関による携帯電話の追跡の実態の人権団体による公表
●政府による携帯電話の追跡「Stingray」
・アメリカ自由人権協会
(American Civil Liberties Union、ACLU)は 2014 年 6 月、アメリカの 15 の州で Stingray と
・ボルチモア、シカゴ、ヒューストン、ツーソン、ロサンゼルス、アンカレッジなどの地域の警察がこれらを利用している。
・米政府の 12 の法執行機関
(FBI や NSA など)
は州をまたいでこれらを利用している。
・プライバシー擁護派は、法執行機関が特定のターゲットを追跡するために Stingray を使用する際に、大量の無関係の
人々のデータも収集されてしまうことに懸念を示している。
45
サイバーセキュリ ティ アニュアルレポート
して知られる携帯電話の偽の基地局が州と法執行機関によって利用されていることを明らかにした。
・ACLU の調査は、報道および公的に利用可能な文書に基づいて実施された。
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❹ プライバシーの扱い
●Stingray の存在が確認された州のマップ
参照:https://www.aclu.org/maps/stingray-tracking-devices-whos-got-them
グローバル企業が企業活動の透明性レポートを公表
●Vodafone 社による透明性レポート
・英国の通信会社 Vodafone 社は、2014 年 6 月、サービスを提供している 29 カ国での政府機関による利用者の通話・
データ通信
(以下、通信)
に対する監視活動に関する 88 ページにわたるレポートを公表した。
・同社は利用者のプライバシーを尊重するが、各国で定める国家機密保護および安全保障のための法には従わなければ
ならない、としている。
・29 カ国のうち多くの国では、法執行機関と諜報機関は利用者の通信を盗聴するには令状など正当な根拠が必須である。
・6 カ国については、政府は通信を常時監視できる接続装置を持っている。
・令状なしに直接に政府機関が盗聴できる国に関しては、国による監視方法の公開を禁止する法律により公開できない。
・人権保護団体の Liberty の Director である Shami Chakrabarti 氏は「政府がスイッチ一つで通信を盗聴できるのは前
代未聞でぞっとすることだ」
と発言した。
EUの事故対応のための情報収集施策とプライバシー保護との対立
●EU による自動車追跡装置の装備の義務化
・EU での計画では、英国で 2015 年 10 月以降に新しく生産される自動車には、自動車の位置を追跡する eCall と呼ばれ
る
「ブラックボックス」
の装備を義務化する。
・これは衝突事故のような緊急事態に自動車の位置を特定するために設計されている。
・欧州委員会では、2015 年 10 月以降に欧州で販売される自動車にはこの装置を設置することを既に決定している。
・この装置により、自動車の価格に少なくとも 100 ポンドの追加になると見込まれる。
・英国政府は、深刻なプライバシー侵害、警察や保険会社により自動車の位置情報が監視される懸念を示しつつも、EU
の決定には対抗できないとしている。
・EU は eCall によって年間 2,500 人の人命を救うことができると主張している。
46
欧州の「忘れられる権利」への対応の義務化
●忘れられる権利
プライバシー保護に関する権利の概念の一つ。適切な期間を経た後も個人に関する情報が残っている場合は、これを削
除する権利があるという考えに基づく。EU では、個人情報保護を規定する General Data Protection Regulation
(2014 年)
にて、データ元の個人から請求があった場合、該当する情報を検索結果や記事などのデータ管理者が削除す
ることを義務付けている。
・Google は検索結果に対する削除要請があると、対象サイトの管理者に対象 URL を通知している。BBC が Google 検索
から削除された犯罪記事などを再度掲載することで、皮肉なことに多くの人々がその出来事を思い出す結果となった。
●Google による検索結果からの削除と、指摘されている問題点
0 ユーザが自身の
○
好ましくない
検索結果を見つける
個人
① 削除申請
Google
⑥ 却って注目を
浴びてしまう
(問題点)
社会
② 検索結果から削除
(2014 年 10 月 10 日
時点で 削除申請は
14 万件以上)
③ 検索結果削除を通知
⑤ 閲覧される
データ
管理者
④ 削除記事が再び
ニュースになる
・米国のプログラマーが個人で「Hidden from Google」というサイトを立ち上げ、Google 検索結果から削除されたサイ
トを掲載した。作成者は「忘れられる権利」の議論の活性化のためであり、サイト自体が有害であれば閉鎖も考える、と
している。
・EU 内からも、Google は検索結果を表示しているに過ぎず、非常に昔の出来事で人を判断しているのは人間である、と
いう EU にも問題があるという見解も出ている。
・BBC は Google の公開討論会で、裁判のニュースなどが検索から削除されることは公益に反するとして「Right to
remember(覚えている権利)」を主張した。BBC では 2014 年 10 月 17 日までに 46 のリンクが Google の検索結果か
ら削除された。
・Wikipedia は
「歴史を検閲するな
(Don’
t censor history)」として、
「忘れられる権利」に反対の意思を表明した。
・Microsoft 社は Bing において、
「忘れられる権利」
に基づく削除申込のツールを設置した。
・Skyhigh Networks 社の調査によると、EU 域内で 2015 年から有効になるデータ保護法について 7,000 以上のサービ
スのうち、法律に対処できているのは 1% にしか過ぎないとのこと。この法律には
「忘れられる権利」
に基づくデータ削
除対応も含まれる。
・EFF
(電子フロンティア財団)
の Danny O’
Brian 国際理事は欧州司法省
(ECJ)
の Google に対し規制をかける判決に対
し、
「非常に失望した」
「内容が非常にあいまいだ」
との懸念を表明した。
47
サイバーセキュリ ティ アニュアルレポート
・Google は「忘れられる権利」に関する混乱を受けて、公開討論会を実施した。
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❹ プライバシーの扱い
Facebook社が無断で利用者のタイムラインの表示内容を変更した実験についての批判
●Facebook 社の社会実験
・コーネル大学、カリフォルニア大学、Facebook 社は 2012 年に「ソーシャルネットワークを通じた大規模な感情の伝
染に関する実験的証拠」
の調査を行い、利用者約 70 万人のタイムラインを無断で操作し世論を誘導できることの実験
を行っていた。論文
(2014 年 5 月 25 日 Approved)の公表により明らかとなった。
・当初、Facebook 社は、利用者はサービス開始時に同社のポリシーに同意しているため問題ないと反論した。
・米国時間 2014 年 7 月 2 日、Face boo k 社 C O O Sh e r y l Sandberg 氏が「コミュニケーション不備があったのは
明らか」
として謝罪した。
その他米国企業による個人情報収集問題
●その他米国企業による個人情報収集問題
・Facebook が、先の実験とは別に、Facebook 外での利用者の行動追跡を開始している。同社は第三者サイトにおけ
るユーザのブラウジングを追跡し、よりパーソナライズされた広告配信に活用する、としている。
・CDD
(the Center for Digital Democracy)は、Adobe や Salesforce.com、AOL などの米国企業が欧州のプライバ
シー保護を実施していないとして提訴した。訴状によると、多くの企業は欧州ルールの遵守に同意したにも関わらず
データ収集をオプトアウト*2 する機能を提供していない。
*2 オプトアウト:企業などが利用者のデータの収集や活用、広告メール送信などをすることについて、利用者からの申請によりそれらの活動を拒否できること
政府機関のプライバシー情報への合法的なアクセス拡大を求める動きと人権団体との対立
●政府機関などによる情報収集
・Microsoft 社は米国外のサーバに保管している情報の開示命令を米国内の裁判所から受けたが、開示を拒否した。
・米国では 1986 年成立の法律により、6 カ月以上放置されたメールの閲覧には令状が不要となっている。これは紙の手
紙の時代ルールであり、電子メールには適さないとして人権団体および IT 系企業は法律の早期修正を求めている。
Torの匿名性解除の動き
●詳細
・カンファレンスで予定されていた Tor の匿名性解除の講演がキャンセルになったり、ロシアが同国籍の者だけを対象
とした Tor の匿名化解除の大会を開催するなど、Tor の匿名性解除の技術について関心が高まってきている。
・2014 年 11 月に、Sambuddho Chakravarty 教授が率いる研究チームが論文「On the Effectiveness of Traffic
Analysis Against Anonymity Networks Using Flow Records」を含む複数の論文にて Tor の匿名性を解除する方
法を公表した。
・ 実験室環境では 100% の匿名性解除に成功、実環境でも 81.4% の精度で解除に成功し誤りは 6.4% であった。
・ 従来検討されてきた Tor に多数の node を紛れ込ませる方法ではなく、広帯域かつ処理性能の良い少数の node を
適所に配置すれば匿名性を解除することができる。
・ 具体的には、
①Tor の Entry node と Exit node の近くおよび中継 node に探査用の node を配置、②匿名性を解除
したい利用者に探査用のトラフィックを注入、③各探査用 node でのトラフィックパターンについて Netflow で
探査用のトラフィックとの相関を算出、④トラフィックの相関からアクセス元の端末を特定(匿名性解除)
48
事案のまとめ:プライバシーの扱い
・プライバシー保護に対するニーズは非常に高い。
・政府機関の情報収集・監視活動は民間組織などにより監視される状況になった。
・グローバル企業においては、各国の法制度を順守するだけでなく、より企業活動の透明性を高めていくこと(各国政府
機関との関係を明らかにするなど)
が企業価値を維持する有効な事前対策となる。
・例えば人命に関わるような重要な意義のある施策であっても、プライバシー保護との両立が強く求められる。
・「忘れられる権利」
について、EU 当局、検索サービスなど事業者、コンテンツホルダーであるメディア、人権団体などの
各立場から落としどころやあるべき姿を模索する動きが継続して行われている。
・各事業者は利用者のプライバシー保護重視を強調するも、事業者間の競争やアプリ・サービスの連携により、個人情
報・嗜好の収集の高度化と高度化に反対する流れは続いている。
・スノーデン事件以降、各国で法執行機関による諜報活動について法律に明文化するといった透明性を高める動きがある
一方、合法的な諜報活動はどこまでやってよいかの線引きについて政府側と市民・人権団体との綱引きが続いている。
サイバーセキュリ ティ アニュアルレポート
49
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析
❺ 各国の動き
各国におけるメディア規制や国民活動監視の動きが活発化している。一方、
「忘れられる権利」
などプライバシー保護に
関する新しい動きも見られるようになってきている。
本節では、各国におけるこれらの動向とともに、国ごとに見られる動きについても分析する。
なお、プライバシー保護などに関しては、
「④プライバシーの扱い」を参照していただきたい。
背景
・国家安全、テロ防止の名目で、政府機関による大規模な通信傍受が行われている。
・国内の反政府活動阻止のため、政府組織がメディア規制を行っている。
・税回避のために、実際にサービスを提供している地域とは別の場所に会社を設立している。
各国政府の諜報活動
●膨大な情報を収集するアメリカ政府
●収集状況の公開
・スノーデン暴露以降、政府が情報収集に使用しているさまざまなツールに関する情報を可能な限り公開するように、オ
バマ大統領から指示が出ている。
→ 国家情報長官オフィスが 2013 年の透明性レポートを公表
・サービス事業各社からの透明性レポートで、政府による情報開示件数などの情報がある程度公開されるようになった。
・国家安全保障書簡は、件数のみを 1,000 件単位で公開可能
・外国情報活動監視法の令状は、件数のみを 1,000 件単位で公開可能。また情報の公開は 6 カ月経ってから
●国家安全保障書簡
(National Security Letter: NSL)
・FBI が令状なしで企業に顧客データの提出を求めるための書簡、受領者は基本的に受領したことを公開することを禁じ
られている。愛国者法のもとで FBI に与えられている権限
・2013 年には 19,212 の書簡を発行
(アカウント数では 38,832)
●外国情報活動監視法
(Foreign Intelligence Surveillance Act: FISA)
・外国勢力およびその協力者による外国の情報活動に対する情報収集の手続きを制定。外国情報活動監視裁判所
(Foreign Intelligence Surveillance Court: FISC)からの令状が必要だが、具体的なテロ容疑者を特定する必要がな
いなど、令状の発行にはほとんど制限がない。
・2013 年には 1,767 の令状を発行
(監視対象のターゲット数は 1,144)
●NSA による通信情報収集
・2013 年に NSA が収集した通話情報は数億件、その中で実際に調査対象となったのは 248 件のみ
・収集したインターネット通信記録の 90%が一般ユーザのもので、諜報活動の対象となっている外国の標的は 10%のみ
●税関・国境警備局による旅行データ収集
・航空会社や旅行会社によって海外旅行の情報(フライト、ホテル、レンタカーなど)が政府に集められている。
・データ保持機関は 5 年となっているが、開示要求によって 9 年前の情報も提示された例があり、実際の保存期間は不明
●ベンダ保持情報の政府アクセスに対する法的判断
・犯罪捜査対象の Gmail コンテンツへのアクセスに関し、ニューヨーク州では政府が全コンテンツにアクセスするのは
合法とし、コロンビア特別区やカンザスなどいくつかの州では権力乱用だと判断
・2007 年 11 月、政府から Yahoo に対し特定顧客の令状なしの監視活動の要請があったが、Yahoo は異議を申し立て、
司法省がそれを拒否し 1 日当たり 25 万ドルの罰金を要求していたことが明らかになった。2008 年 5 月、Yahoo は裁
判所の命令に従った。
50
●ロシアの動き
●情報の囲い込み
・国内外の事業者に対し、ロシア国民の個人情報をロシア国内で保存・管理することを義務化する法案を可決
・上下院通過後、2014 年 7 月 22 日に大統領が署名、2016 年 9 月 1 日施行
●ブロガー登録法
・1 日に 3,000 以上のアクセスがあるブロガーは「マスメディア」と位置付け、政府への登録を義務化
・2014 年 8 月 1 日施行
●匿名性ネットワークの排除
・Tor ネットワークを突破し利用者を特定できる方法を発見した人に対して賞金を出すコンテストを実施
、参加資格はロシア人のみ
・賞金は 390 万ルーブル
(約 11 万ドル*1)
●ハッカーの Twitter アカウントをブロック
・ロシア政府の要望により、ロシアで活動しているハッカーのアカウントをブロック
・ブロックされたのは
「@b0ltai」
で、政府から盗んだ機密情報などの投稿で使用
・Twitter のグローバル設定をロシア以外にすれば同アカウントへのアクセスは可能
●米国企業に登録要求
・Facebook、Google、Twitter に情報配信オーガナイザへの登録を要求
・ロシア国内のサーバに通信情報を保存することを要求、違反すると罰金
・登録しない場合はロシア国内から排除
●外国企業にソース開示要求
・政府が、Apple 社と SAP 社に両社のソフトウェアのソースコード開示を要求
・スパイ機能が含まれていないか確認するというのが、表向きの理由
*1 2014 年 9 月末時点の換算レートによる。
●中国の動き
●政府機関から外国企業サービスの排除
・セキュリティ上の懸念を理由として、各省庁に、Symantec
(米)
および Kaspersky(露)
のウイルス対策ソフトの購入
を止めるように指示
・iPad や MacBook など Apple 社の 10 製品を政府調達リストから除外
●国民のサービス利用を制限
・中国内から Google へのアクセスで中間者
(MITM)
攻撃の形跡を確認
・プライバシーの保護をうたっている検索エンジン DuckDuckGo をブロック
●メディア規制の動き
・国内メディアが取材の過程で入手した機密情報を外国メディアに流すことを禁止
・未公表の情報の報道を禁止
●警察の諜報活動が明るみに
・政府が透明性を推進している中で、温州市の警察が Web サイトに調達契約情報を掲載
・この中に、携帯電話をハッキングするためのマルウェアの開発契約が含まれていた。
・この情報は即座に削除されたが、検索エンジンのキャッシュに残っており、多数のユーザがこれを目にし、非難が殺到
した。
●対テロ法案
・政府はテロ防止およびセキュリティ強化のためとして、金融系機関にシステムを納入するメーカーに対し、2015 年末
までに以下を義務化することを 2015 年 1 月に発表
・システムのソースコードの開示
・政府向けのバックドアの設置
・中国産暗号アルゴリズムの採用
・これに対し米国企業が反発し、規制の廃止・延期を政府に要求
・主に米国との外交上の調整により、2015 年 3 月 30 日に本規制の適用は延期と発表された。
51
サイバーセキュリ ティ アニュアルレポート
・香港の民主化デモ行動を受け、Instagram をブロック。香港の活動状況を国内で閲覧できないようにするのが目的
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❺ 各国の動き
●その他各国の動き
●イギリスのデータ保管および調査権限法
(Data Retention and Investigatory Powers Bill)
・後の調査で活用できるように、通信サービス提供者に通信メタデータの保持を義務化
・首相は、犯罪者やテロリストから市民を守るために早急に法制化する必要があると主張
・2014 年 7 月 10 日法案提出、15 日下院通過、17 日上院通過、17 日国王が裁可して法が発効
●オーストラリア警察による携帯通話情報収集
・連邦および州警察が tower dump と呼ばれる技術を使用して携帯電話の通話情報を収集
・tower dump により、基地局に接続する任意の携帯電話の位置情報などを収集可能
●オーストラリア情報機関の権限強化
・対テロ法案の中で、オーストラリア保安情報機構の権限を強化。任意のコンピュータの情報の入手を合法化
・2014 年 9 月 25 日に上院通過後、10 月 1 日には下院も通過して法案成立
●オーストラリアでデータ保管法成立
・通信事業者に通信のメタデータの保存を義務付ける法案が提出され、通信事業者からは反対の声があがり色々と議論
されたが、2015 年 3 月 19 日に下院を通過し、3 月 26 日には上院でも可決され法案が成立
●イラン政府による非認可サイトのブロック
・文化イスラム指導省が、新しい Web サイトで政府発行のライセンスを取得していないものをブロックすると発表
・国内に登録されているサイトの多くは、フィルタリングを避けるために自主的な検閲実施の動き
ネットの中立性
●アメリカ国内での動き
●ファストレーンと中立性
・2014 年 2 月、映像のストリーミング配信などを行っている Netflix 社によるトラフィック増に対して大幅な制限をか
けた ISP が出たことに対し、FCC はネット中立性の具体策として高速レーン(fast lane:有償でトラフィックを優先
する)
を盛り込もうとしたため賛否の議論が起こった。
・2014 年 11 月 10 日にオバマ大統領が、
「自由でオープンなインターネット」
の維持に向けてブロードバンドサービス
に対するより厳格な規制を導入するよう米連邦通信委員会(FCC)に要請する声明を発表した。
・これはブロードバンドインターネットを公共設備のように扱うということ
・特定のコンテンツや事業者に対して ISP が速度調節をしたりブロックしたりすることを明確に否定。すなわち FCC
の提案していた Fast Lane とは対立する。
●ベンダの反発
・AT&T は 2015 年に 180 億ドルの設備投資を計画していたが、2014 年 11 月 12 日にネット中立性による規制内容が
明らかになるまで投資を保留する可能性があると発表した。
・この時点で Verizon は、投資家に対して、FCC はインターネットサービス事業者がどのようにトラフィックを扱う
かのルール制定において
「正しい」
判断をするであろう、との楽観的な見方を示した。
・2014 年 12 月 10 日付けでインターネットのバックボーン構築事業者 60 社は連盟で、インターネットへの規制はネッ
トの発展を遅延させるとして、FCC および議員に対して抗議した。
・全米製造業者協会は 2014 年 12 月 10 日に議会と FCC に、インターネットサービスプロバイダに対する規制強化に反
対する旨の書簡を送付した。
●EU の動き
●EU では中立性は延期
・Latvia が議長国で進められた欧州理事会でまとめられたネット中立性の折衷案で、中立性の原則は守りつつ、トラ
フィック管理に関して厳しい制限つきであるが ISP・キャリアにある一定の権限が認められた。
・欧 州 ベ ー ス の キ ャ リ ア
(Vodafone (VOD.L), Alcatel-Lucent (ALUA.PA), Orange (ORAN.PA), Liberty Global
(LBTYA.O))
らが EU に自由にトラフィック管理する権限を求めた。主張は顧客のニーズに合わせる必要性、インフラ
へ強化へのモチベーションを理由に挙げている。
・2014 年 4 月に EU 本会議で可決されていた通信規制改革法案に盛り込まれていたネット中立性の導入は延期され、再
考されることとなった。
52
税回避の問題
●概要
・Google、Twitter、Facebook など米国 Tech Giants のサービスは、世界中で利用者を増やしている。
・これら企業は例外なく節税対策を行っており、その節税対策は投資家達の企業評価の判断項目にもなっている。
・しかし原則として、収益を上げた地域に税を納めるべきという認識が広まってきており、企業の節税は祖税迂回ととら
えられてきている。
●企業が行う祖税迂回について
・一般的に IT 系企業にとって、サービスで取り扱う商品が情報であることや商取引がオンラインで行われることなどに
より、節税対策は製造業や従来の店舗型の小売業に比べ容易といわれている。
・Google、Apple、Facebook などのいわゆる Tech Giants と呼ばれる米企業の多くは節税対策を行っており、これら
は投資家たちにとっての企業評価のポイントにもなっている。
・節税対策は EU 各国
(アイルランド、オランダ、ルクセンブルクなど)
やスイスの税優遇措置と TaxHaven 国家に作った
法人とを組み合わせて行われる。
・これら節税対策によって、20%∼ 30%の法人税率が数%になるケースもある。
・有名な節税手法としてはダブルアイリッシュ、ダッチサンドイッチなどがある。
・過去、米国政府は米国民の税逃れにスイスの法制度および同国の金融業が加担してるとして同国金融業に情報開示を
求め、合意された。
・欧州委員会ではアイルランドの税制やルクセンブルグの税制が問題になっている。
・企業が収益を上げた地域に税を納めるべきという認識が広まってきており、企業の節税は祖税迂回ととらえられてき
ている。
●EU および加盟各国の租税回避を行っている企業に対する動向
・2014 年 10 月 8 日に欧州委員会は、米アマゾン・ドット・コムがルクセンブルクで利用する税制
(税優遇措置)
の本格
的な調査に踏み切った。
・アイルランドは 2014 年 10 月 14 日、米国のハイテク企業(Apple、Google、Facebook など)が行っている租税回避
を阻止する計画を発表した。アイルランドの財務大臣によると、新規企業は来年から、既存企業は段階的に、2020 年
までに
「ダブル・アイリッシュ」
と呼ばれる税の抜け穴を廃止すると述べた。
・2014 年 12 月 4 日に英財務大臣 George Osborne は、多国籍企業による租税回避を阻止するため、多国籍企業が英国
後 5 年間で 10 億ポンド
(約 1,880 億円)
を見込んでいるとのこと。
・欧州委員会競争総局 (ECC: European Commissioner for Competition) は、ルクセンブルグ、オランダ、アイルラン
ドと、Apple、Starbucks、Amazon、Fiat の間の税優遇措置に対する調査を実施中で、局長 Margrethe Vestager 氏
は 2014 年 12 月 11 日に記者会見で 2015 年の第 2 四半期までに調査を終了させたいと語った。
・欧州以外でも、オーストラリア政府は、多国籍企業の所得隠しや脱税への対策を強化した。
事案のまとめ:各国の動き
・テロ対策やセキュリティ強化のためとして、各国における国民活動監視やメディア規制の動きが活発化してきた。
・政府活動の透明性の動きとともに、政府による情報収集の合法化が進んでいる。
・アメリカではネットの中立性が成立したが、業界はこれに反発し提訴の動きが出てきている。
・主にアメリカの大手 IT 企業が行っている租税迂回に目が付けられ、これを阻止する動きが出てきている。
53
サイバーセキュリ ティ アニュアルレポート
であげた利益に対して 25%の税を課す新税制度の導入を発表した。新税の導入は 2015 年 4 月からで、徴収総額は今
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析
❻ 新しい脅威
2014 年度は、ソフトウェア的あるいはネットワーク的に対策を施していても防御不可能な脅威が報告された。本節では、
このような新しい脅威のいくつかを分析する。
●USB デバイスからの攻撃:BadUSB、USBdriveby、USB 充電器、USB Killer
●ThunderStrike:Thunderbolt ポート経由で MacBook を侵害
●Poison Pi:小型 PC で標的の Wi-Fi ネットワークに侵入
●高速カメラで盗聴:高速カメラを使って防音室内の会話を盗聴
●指紋の複製:高解像度カメラで指を撮影し指紋を複製
●AirGap:AirHopper、Scangate、BitWhisper
●3D プリンタの脅威:3D プリンタ出力で物理的な攻撃
USBデバイスからの攻撃
●BadUSB
●USB の脆弱性
・USB デバイス認識機構における設計上の脆弱性のため、USB デバイスのファームウェアを書き換えることで本来のも
のとは別のデバイスとして認識させることが可能
・世間に流通している USB コントローラの大半はファームウェア書き換え防止策がとられていないため、市販の USB メ
モリなどのファームウェアを書き換えて接続したホスト PC を攻撃することが可能
・現状のウイルス対策ソフトなどではファームウェアレベルの改ざんを検知できないため、ホスト PC 側での防御は不可
●BadUSB
・ド イ ツ Security Research Labs の Karsten Nohl、Sascha Krisler、Jakob Lell が USB の 脆 弱 性 を 報 告、Blackhat
USA 2014 における発表でそのコンセプトを実演
・USB の脆弱性を悪用した攻撃を
「BadUSB」と名づけ、攻撃の可能性を提示
・キーボードをエミュレートしてコマンドを発行
・ネットワークカードを偽装してホスト PC の DNS 設定を変更し、トラフィックを悪意のサイトにリダイレクト
・ホスト PC を侵害し、ホスト PC に接続したほかの USB デバイスのファームウェアを上書き
・本質的な対応が不可能なことから、この時点では BadUSB のソースコードは公開せず
●BadUSB のソースコード公開
・Adam Caudill と Brandon Wilson が Debycon 2014 にて BadUSB をデモ実演、BadUSB 実装の詳細を報告すると
ともに、ソースコードを Github で公開
・悪意の攻撃がされる前にことの重要性を認識し、ファームウェアを上書きできないようにするなど、メーカー側の対
応を促すのが公開の目的
54
●USB コントローラの調査
・Security Research Labs の研究者は、継続して BadUSB の調査を実施、流通している USB コントローラについての調
査を公表
(調査結果は適宜更新中)
BadUSB
USB デバイスのファームウェアを悪意
のあるプログラムに書き換える
USBコントローラ
ファームウェア
(プログラム)
書き換え
ストレージ
領域
攻撃
U
普通の USB デバイスだと思って
挿すと、PC を勝 手に操 作され
たり、情報を盗まれたりする。
SB
USB デバイス
小型のコンピュータ
と同じ。ファームウェ
アを書き換えれば何
でもできる。
●BadUSB の概念
参照:http://itpro.nikkeibp.co.jp/atcl/column/14/346926/110600093/
●USBdriveby
●USBdriveby
・Samy Kamkar が BadUSB を実装した UDBdriveby を開発
・Teensy*1 を使って実装、キーボードとマウスをエミュレート
・以下のシナリオでホスト PC を攻撃
・キーボード/マウスとしてホスト PC に USB 接続
・DNS 設定を変更して攻撃者に支配下にあるサイトに誘導
・バックドアを設置し、攻撃者のリモートサーバへの接続を設定
*1 Teensy:USB ベースのミニボード・コントローラ開発システム、フリーの開発環境あり。20ドル程度
●ソース公開
・USBdriveby の Teensy 用コードは Github 上で公開
・犠牲者の外部アクセスを乗っ取る偽 DNS のソース
(perl コード)も公開
●USBdriveby:キーチェーン付で首に下げていつでも使えるよう
にしておく
参照:http://samy.pl/usbdriveby/
55
サイバーセキュリ ティ アニュアルレポート
・ローカル・ファイアウォールを無効化
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❻ 新しい脅威
●USB 充電器
●電子タバコからマルウェアに感染
・最新のパッチを適用しウイルス保護対策も施された PC がマルウェア感染した。
・Web のログも監査されたが、ネットワーク経由で感染した証跡は見つからなかった。
・PC 所有者に確認したところ、禁煙して電子タバコを利用するようになり、電子タバコを PC の USB から充電していた
ことが判明
・電子タバコの充電器
(中国製)
にマルウェアが仕込まれており、そこから感染したことが判明
・電子タバコは、eBay で 5 ドルで購入したとのこと。
ホストPC
充電
USB
マルウェア侵害
充電器
電子タバコ
●教訓
・単なる充電とはいえ、信用できないメーカーの機器を PC に接続しないこと
・充電だけであれば、壁コンセントを使用すること
・製造ラインで仕込まれたマルウェアがこの数年でいくつか見つかっている。利用者側での保護対策が重要
●USB Killer
●ホストマシンを破壊する USB デバイス
・帯電用のコンデンサを備えた、USB メモリに似させたデバイス
・これをホストの USB ポートに接続すると、ホストマシンからの供給電源を内部のコンデンサに蓄え、一定の電荷が溜
まると信号線に電荷を印加
・過剰電荷を印加されたホストマシンの USB インタフェースが物理的に破壊される。
①電源供給
②帯電
外装
③過剰電荷
(破壊)
内装
(1)
内装
(2)
●USB Killer: Dark Purple 氏のお手製(基板は特注品)
参照:http://kukuruku.co/hub/diy/usb-killer?ModPagespeed=noscript
56
ThunderStrike
●Mac PC のブートプロセスを突いてファームウェアを
書き換える攻撃
・ブート ROM にバックドアなどの悪意のコードを仕込むこ
とで、さまざまな攻撃が可能
・ブート ROM の書き換えは非常に困難だが、Mac PC のブー
トプロセスの脆弱性を突いて、ブート時に外部接続された
Thunderbolt デバイスから ROM の書き換えが可能
・この脆弱性は、OS X 10.10.2
(2015年1月28日リリース)
で解消された。
●ThunderStrike 攻撃シーン
参照:https://trmm.net/Thunderstrike_31c3
Poison Pi
●概要
・ポストに投函可能なサイズの物理デバイスを送りつけることで、標的の Wi-Fi ネットワークに侵入
・Kismet*2 を利用して Wi-Fi を検出し、BSSID*3 を取得
・消費電力削減のため位置情報取得には GPS を使わず、iSniff GPS*4 を使用
・セキュリティ研究者 Larry Pesce の Derbycon 2014 における発表による。
●攻撃のシナリオ
・ターゲットとなる会社の元社員や旅行中の重役宛に発送
・送付先が不明
(不在)
のため、メール室や該当者の机上で長期間保管
・位置情報に基づき標的の場所への到達を検知したら、攻撃を開始
●デバイスの特徴
・Raspberry Pi、AWUS051NH ワイヤレスカード、バッテリーから構成
・バッテリー駆動時間は最大 300 時間
・低価格で実装可能、小型化実現
●Poison Pi 試作品
参照:http://securityaffairs.co/wordpress/28898/
hacking/war-shipping-hacking-tool.html
高速カメラで盗聴
●会議室盗聴技術
・レーザー光を使用し対象の振動を音として検出するレーザーマイクロフォンを使った盗聴は、従来から行われている。
・防音ガラスを使った会議室などは外部から振動を抽出できないために、レーザーマイクロフォンによる盗聴は不可能
だが、防音ガラスでも有効な手段が発表された。
●外部から会議室内を撮影して盗聴
・(防音)
ガラスを通じて外部から室内の撮影が可能な場合、高解像度の高速カメラ(1 秒間に数千コマ以上撮影可能)で
室内の振動しやすい物質
(菓子袋など)
を撮影することで、室内の振動を抽出することが可能
・室内の会話に応じて菓子袋が振動し、室外から撮影した映像を分析することで、室内の会話の再現が可能ということ
が報告された。
・高速カメラでなく 60fps の一般的なカメラでも、不明瞭で判別は困難だが音声の再現がある程度可能だということも
示された。
57
サイバーセキュリ ティ アニュアルレポート
*2 Kismet:オープンソースのネットワークソフト
*3 BSSID (Basic Service Set Identifier) : 無線アクセスポイントの識別子、MAC アドレスと同一
*4 iSniff GPS :
・Apple 社は、GPS 搭載の iPhone や iPad が Wi-Fi 接続したときの情報を収集して DB 化
・Wi-Fi 接続時にこの DB にアクセスすることで、GPS なしでも BSSID から正確な位置を把握可能
・iSniff GPS はこれを実証する Python で書かれた PoC コードで、Github 上で公開
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❻ 新しい脅威
指紋の複製
●指紋の撮影と複製
・高解像度カメラにて数メートル離れた位置から、目標の人物の指をいくつかの方向から撮影
・複数の指先撮影写真を合成して、指紋を複製
・指紋の合成には市販ソフトを使用
●指紋認証突破
・複製した指紋で、指紋認証を通過することができた。
AirGap
●AirGap とは
・物理的・ネットワーク的に接続されていない孤立した系(スタンドアロン機など)への侵害を、ほかの系とは空間的に
隔てられているということで AirGap を呼ぶことがある。
・研究レベルで AirGap 侵害の方法がいくつか報告された。
・事前にマルウェアをインストールするなど標的の PC に対する仕込みが必要だが、一度仕込んでしまえば外部との通信
が可能となる。
●AirHopper
・モニタ
(アナログ)
出力を利用して FM 電波を飛ばすことが可能だが、キー入力を音声信号化してそれを FM 変調し、放
送するソフトが発表された。
・標的機にインストールすると、入力キーに応じた FM 電波を放出し、それを FM ラジオ付きのスマートフォンで受信し
て信号をデコードし、入力キーを表示することが可能
③VGA ケーブルをアンテナ
代わりに FM 電波送信
④スマホで FM 受信、
信号を復調して文字を表示
②AirHopper がキー入力に応じた
FM 信号を生成
①キー入力
58
●Scangate
・スキャナ経由でホストコンピュータのマルウェアにコマンドを送信したり、ホストコンピュータの情報を窃取するこ
とが可能
・蓋を開けた状態でスキャン中に蓋裏の白面に光源を照射すると、黒背景に白線列の画像が得られるので、それを
「0」
「1」
化することで外部からコンピュータに信号を送信できる。
・マルウェアがスキャナの光源を制御し、開かれた蓋に反射した光を受光させることで外部に情報を送信できる。
④ スキャンイメージを
デコードしてコマンド解釈
マルウェアが仕込まれた
コンピュータ
(ネットワーク接続なし)
① マルウェアから
スキャン開始コマンド
② レーザポインタの
点滅でコマンド送信
③スキャンイメージ
(白黒画像)
●BitWhisper
・熱センサーを搭載した受信側 PC の近傍に設置された送信側 PC が、CPU 負荷上昇などにより本体の温度を上昇させ、
発熱作用により受信側 PC にデジタル
(
「0」
「1」
)
信号を送信する。
・隔絶された系に外部からコマンドを送信し実行させることが可能
① CPU 負荷により本体温度を制御、
「0」
「1」
信号を熱化して送信
②熱
(の変化)
を感知
59
③ 熱化されたコマンドを解釈して実行
サイバーセキュリ ティ アニュアルレポート
受信側 PC
発信側 PC
世の中のサイ バー セキュリティ事 案
2
2. 事案の分析 − ❻ 新しい脅威
3Dプリンタの脅威
●物理鍵複製
・机上に放置された鍵束を高解像度カメラで撮影、それを元に 3D プリンタで鍵を作成
・作成した鍵で開錠に成功
●金庫を開ける自動ダイヤラー
・3D プリンタで作成したダイヤルアダプタと、それを回転させるステップモータ、およびステップモータを制御する
Arduino で構成
・ダイヤルアダプタを金庫ダイヤルに取り付け、Arduino からの制御で、すべてのダイヤル組み合わせを実行し金庫を開錠
●武器製造
・オーストラリアで 2014 年 2 月に、3D プリンタで作成されたナックルダスターと拳銃パーツが押収された。日本でも
10 月に、3D プリンタで拳銃を製造したとして実刑判決が出ている。
・法的な問題もあり、3D プリンタによる武器製造での逮捕は未だあまり行われていない。
●著作権問題
・2015 年スーパーボウルのハーフタイムショーで有名になった Left Shark の人形を、3D プリンタで製作して Web 上
で販売していた人が著作権侵害で警告を受けた。
・ポケモンに酷似した 3D プリンタ製作品を販売していたサイトが、任天堂から著作権侵害で警告を受け、売上の返還を
要求された。
事案のまとめ:新しい脅威
・国際会議などで新しい種類の脅威が報告されるよう
になった。
項目
発表
BadUSB
Blackhat USA 2014、Debycon 2014
USBdriveby
作者のホームページ
攻撃を行えるようになってきた。
USB Killer
作者のホームページ
ThunderStrike
31C3
撃が可能であり、名の知れないメーカー製やオーク
Poison Pi
Debycon 2014
高速カメラで盗聴
SIGGRAPH 2014
指紋の複製
31C3
AirHopper
MALCON 2014
Scangate
Blackhat Europe 2014
BitWhisper
大学のホームページ
3Dプリンタ 鍵複製
31C3
金庫自動ダイヤラー
Ruxcon 2014
・高解像度カメラ、高速カメラ、3D プリンタなどの普
及に伴い、市販品を活用してこれまでにない物理的な
・外部デバイス接続によるホストコンピュータへの攻
ションで仕入れたデバイスなどを使用する際は、その
リスクを認識する必要がある。
60
3 脆弱性の動向
第3章では、Verisign社のiDefense情報を基に、2014年の脆弱性情報の動向について説明し、統計情報、
および傾向分析結果について報告する。
サイバーセキュリティ 年次報告書
61
脆 弱 性の動 向
3
1. 脆弱性情報の動向
NTT- CERT では、脆弱性情報の収集分析活動において、複数の情報源を組み合わせて業務を実施している。
以下に、情報源と主な利用方法を示す。
情報提供組織
提供元組織
NTTグループ内のプロダクト開発
関係者への情報提供・調停を実施
早期警戒パートナーシップ
(詳細は5.2参照)
JP CE R T/ CC のパ ートナーシップメンバ ーに提 供される
脆弱性情報などの提供サービス
NTTグループのセキュリティ関係
者へメールなどにて情報共有
iDefense Intelligence Report
(次節以降参照)
Verisign社が提供する脆弱性や脅威の情報提供サービス。
日本語翻訳は日立システムズが担当。NTT持株技術企画
部門のNTTグループ内セキュリティ情報共有の取り組み
としてNTTグループ向けに情報を提供。一般公開された
情 報 が 中 心 だ が 、iD e f e n s e 独 自 情 報 などを 含 む ほか 、
影 響を受 けるプロダクト情 報 など、事 業との 情 報 共 有に
有効な情報が多い。
NTT-CERT内における技術調査、
NTT-CERTへの問い合わせ対応、
NTT-CERT の 特 定 プロ ダクトに
関 連 する脆 弱 性 情 報 提 供 などに
利用
世界最大級の脆弱性情報DB。CVEを網羅する。CVEごとに
関連情報へのリンクがありベンダが提供するアドバイザリへ
の最新リンクが網羅された状態が維持されている。
NTT-CERT内における技術調査、
NTT-CERTへの問い合わせ対応
などに利用
JPCERT/CC
National Vulnerability
Database
NIST
利用目的
公開前の脆弱性について、関係する開発者が脆弱性パッチ
を作 成 後に情 報 公 開を行うための 取り組 み 。厳 重な守 秘
管理協定のもとで関係者のみに提供
公開前脆弱性情報
Verisign
概要、特徴
NTT- CERTが扱った公開脆弱性情報の月別件数をグラフ表示する。情報ソースはVerisign社提供のiDefense情報である。
NTT-CERTが扱った公開脆弱性情報の月別件数 情報ソースはVerisign社提供のiDefense情報(2014年1月∼12月)
1200
1000
800
600
400
200
0
2014/01 2014/02 2014/03 2014/04 2014/05 2014/06 2014/07 2014/08 2014/09 2014/10 2014/11 2014/12
■ High ■ Medium ■ Low
※Verisign社が分類したリスクレベル
●傾向分析
iDefense のソースで報告された、2014 年の脆弱性情報の件数は、年間合計:11,341 件、月平均:約 945 件となった
(ただし、更新の情報も別計上で、かつ更新情報件数が半数強を占める)。
過去のデータとの比較では、2012 年まで 5 年ほど、毎年度、月平均で 100 件ほどの増加傾向があったが、2013 年および 2014 年は
高止まりしている。
2014 年は突出して多い月がなく、6 月、12 月以外は、ほぼ横ばいである。
62
ブラウザ系
(レンダリングエンジン含む)の脆弱性件数 iDefense情報(2014年1月∼12月) 300
250
200
150
100
50
0
●傾向分析
Microsoft Internet
Explorer
Google Chrome
Mozilla Firefox,
SeaMonkey,
Thunderbird
Webkit
Mozilla Firefox
Opera
※同一案件で更新情報が重なっているものは、1 件に集約して計上
2013 年 統 計 と の 比 較 で、Internet Explorer が 大 幅 に 増 加(150 件→257 件)し、1 位 と な っ た。ま た、Google Chrome と
Firefox、SeaMonkey、Thunderbird は微減となった。
1 位となった Internet Explorer の脆弱性は、4 月と 6 月に多い。また、ほかのブラウザと比較して High レベルの脆弱性が多いのが特徴
である(230 件/ 257 件が High)。
典型的な端末ソフト(ブラウザ系を除く)の脆弱性件数 iDefense情報(2014年1月∼12月)
120
100
60
40
20
0
●傾向分析
Adobe Flash
Player
Ffmepg
Adobe
Reader,
Acrobat
Microsoft
Office
Oracle
VirtualBox
Open
Office
FreeType
image
magick
Libre
Office
※同一案件で更新情報が重なっているものは、1 件に集約して計上
件数で、1 位:Adobe Flash Player、2 位:Ffmpeg、3 位:Adobe Reader、Acrobat であり、
順位の入れ替わりはあるが、上位の傾向は 2013 年と変わらない。2013 年からの推移は以下の通り。
1位:Adobe Flash Player 99 件→107 件
2位:Ffmpeg 31 件→ 50 件
3位:Adobe Reader、Acrobat 59 件→ 47 件
4位:Microsoft Office 27 件→22 件
5位:Oracle VirtualBox 3 件→18 件
63
VLC Media
Player
サイバーセキュリ ティ アニュアルレポート
80
脆 弱 性の動 向
3
1. 脆弱性情報の動向
OSの脆弱性件数 iDefense情報(2014年1月∼12月) 160
140
120
100
80
60
40
20
0
●傾向分析
Linux Kernel
Apple
OS X
Apple
iOS
Cisco IOS
Microsoft
Windows
Oracle
Solaris
Juniper
Networks
JunOS
Cisco
NX-OS
FreeBSD
IBM AIX
※同一案件で更新情報が重なっているものは、1 件に集約して計上
Microsoft Windows の脆弱性が一昨年より大幅に減少している。
2012 年:252 件 → 2013 年:122 件 → 2014 年:51 件
1 位は昨年と同様、Linux Kernel である。Cisco IOS は昨年と変わらないが、Apple OS X と Apple iOS が増加し、それぞれ
2 位 3 位となっている。
その他
(言語、MW、DB、など)の脆弱性情報件数 iDefense情報(2014年1月∼12月)
250
200
150
100
50
0
●傾向分析
Oracle
Java
Oracle
mySQL
IBM
Websphere
PHP
Cisco
Xen
Unified
Communications
Wireshark
Oracle
Database
Apache
Tomcat
Ruby
※同一案件で更新情報が重なっているものは、1 件に集約して計上
端末系ソフトや OS 以外の、ミドルウェア、言語、データベースなどをひとまとめにプロットした。
Java
(含、JDK/JRE)
が 197 件で最多。2012 年、2013 年の統計でも最多だった。脆弱性の件数は 249 件→197 件と、2012 年
より減少した。
PHP は 2013 年から大きく増加し
(17 件→61 件)、全体の 4 位となった。
一方、Wireshark は大きく減少し
(94 件→53 件)、2013 年 3 位から 2014 年 7 位となった。
64
タイプ別脆弱性件数(JVNより)
1600
1400
1200
1000
800
600
400
200
or
rr
ig
nE
e
fo
in
no
E-
es
W
D
W
C
E-
er
cw
th
O
no
EW
C
W
E-
2
9
39
E-
W
C
ー
ス
管
理
C
の
問
題
C
2
36
E-
W
C
:
態
状
:
0
35
31
E-
E-
W
W
C
F:
SR
C
競
合
4
7
28
E-
W
暗
号
の
問
題
:
C
5
26
E-
W
C
C
な
認
証
:
0
25
E-
W
C
:
御
適
不
ク
セ
ス
制
:
理
管
ア
・
切
9
20
18
E-
E-
W
W
C
ソ
C
:
い
え
ド
ー
ワ
ス
パ
リ
権
許
可
書
明
証
・
・
数
限
9
4
13
EW
C
:
報
漏
:
題
問
の
理
情
94
C
題
問
の
処
値
列
字
文
・
11
W
E-
89
E-
W
C
:
エ
ラ
ー
:
79
W
C
:
ン
シ
ク
ァ
フ
書
式
バ
ッ
ェ
ン
イ
ョ
ン
ョ
シ
ク
ェ
ジ
ン
ド
コ
ー
E-
78
E-
E-
W
W
:
XS
S:
C
C
C
:
ン
ョ
シ
ク
Lイ
SQ
ジ
22
59
W
E-
20
E-
W
C
:
ル
題
ェ
ジ
ン
O
Sコ
マ
ン
ド
イ
リ
ン
ク
解
釈
の
問
サ
ー
バ
ラ
ト
ス
パ
E-
EW
C
C
:
:
認
定
確
設
力
境
入
環
な
切
適
不
W
16
0
■ 2013 ■ 2014
●傾向分析
CWE のタイプ別の集計
(iDefense 情報は CWE との関連付けがないため、JVN を用いた)
お お む ね 2014 年 の 傾 向 と し て、暗 号 の 問 題
(CWE-310)が 119 件→1519 件 と 激 増 し た。こ れ は 米 国 CERT/CC が 複 数 の
Android アプリに対して SSL サーバ証明書を適切に検証しているか調査し、その結果、多数の脆弱性が発見され、公表されたた
めである。Android アプリ単位での件数となっているため、非常に多い。
その他については、XSS
(CWE-79)
が 617 件→879 件と増加した。
スマートフォン
(Androidと iOS)の脆弱性件数(iDefense情報より)
450
400
350
250
200
150
100
50
0
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
■ Android ■ Apple iOS
●傾向分析
※同一案件で更新情報が重なっているものは、1 件に集約して計上
スマートフォン OS の脆弱性の年間件数の推移である。Android、Apple iOS 以外にもいくつか存在するが、Android、Apple
iOS が支配的なので分かりやすく、その 2 つに絞った。
Apple iOS の件数が、2013 年に減少したかに思われたが、2014 年は一転して増加になり、スマートフォン OS としても 2013
年より増加した。
なお、脆弱性情報件数の推移と、マルウェアの流通件数やインシデント件数の推移とはまた別であり、注意が必要である。
65
サイバーセキュリ ティ アニュアルレポート
300
脆 弱 性の動 向
3
1. 脆弱性情報の動向
産業用制御システムの脆弱性件数
70
60
50
40
30
20
10
0
2008
2009
2010
2011
2012
2013
2014
■ KingView ■ RealFlex ■ 7T IGSS ■ Rockwell ■ GENESIS ■ Schnider SCADA ■ IntegraXor ■ Advantech WebAccess ■ SIMATIC WinCC ■ 他SCADA
●傾向分析
※同一案件で更新情報が重なっているものは、1 件に集約して計上
産業機械の制御ソフトの脆弱性の年間件数の推移である。iDefense のソースで報告されるものを抽出した。
2 011 年 ∼ 2 013 年で 減 少していたが、2 014 年 は今までほとんど 脆 弱 性 が なかった Schnider SCADA、IntegraXor、
Advantech WebAccess、SIMATIC WinCC の脆弱性が報告され、増加した。
66
NTTグループにおけるセキュリティ対応状況
4
(NTT- CERTの取り組み状況)
第4章では、2014年度、NTT-CERTにおいて取り扱ったセキュリティ事案対応状況について、全体的な概要と
その中の代表的な事案を中心に報告する。
サイバーセキュリティ 年次報告書
67
NTTグループにおけるセキュリティ対応状況︵ NTT ーCERTの取り組み状況 ︶
4
1. 問い合わせ・対応状況
100
90
80
70
42
60
50
21
14
3
7
40
19
30
7
25
11
7
4
2
18
10
13
2
10
16
15
21
12
11
6
11
7
4
2
3
15
12
10
6
11
2
7
9
15
14
6
14
7
0
6
12
13
20
10
20
7
3
9
6
9
10
12
11
10
9
5
5
6
6
10
4月
5月
6月
7月
8月
9月
10 月
11 月
12 月
1月
2月
3月
4月
5月
6月
7月
8月
9月
10 月
11 月
12 月
1月
2月
3月
42
21
7
7
12
20
14
14
10
15
9
13
3
7
6
6
4
2
2
2
12
10
10
12
■ インシデントハンドリング
19
25
13
14
15
21
16
11
6
11
11
10
■ 技術問い合わせ
11
10
7
6
11
7
12
7
9
6
9
6
■ 調査・情報収集
18
7
9
4
2
3
15
3
5
5
6
10
■ セキュリティアラート
■ 一般公開前脆弱性ハンドリング
●各月の特徴
・4 ∼ 5 月 :OpenSSL(Heartbleed)、Apache Struts2 などの脆弱性対応
・9 月 :満州事変(9/18 ∼)に関わるサイバー攻撃の警戒
・9 ∼ 10 月:Bash(Shellshock)、SSL v3(POODLE)
などの脆弱性対応
・12 ∼ 1 月:Android に関わる複数の公開前脆弱性対応
68
2. 対応事例
❶ 9.18満州事変に伴うサイバー攻撃について
2014年度の攻撃について
・近年、毎年のように 9 月 18 日は中国からのサイト改ざんや DoS といったサイバー攻撃が発生しており、2014 年も確
認された。ただ、2010年から2012年は多数の攻撃が確認されていたが、2013年から減少し、2014年も少なかった。
・NTT-CERT では、改ざん報告サイトや攻撃者のサイトから、130 件程度の改ざんを確認した( 投稿者名:1937nick、
越南邻国宰相、黑旗奶嘴)。
・被害に合ったサイトは、ほとんどがホスティング(VPS )
サービスを利用していた。
・NTT グループが被害にあった Web サイトは見当たらなかった。
・既知の脆弱性や空いたままのポートを狙っての攻撃の模様。日ごろからのパッチの適用、不必要にポートを空けない
といったことが重要
■改ざんサイト報告掲示板(hack-cn)
■攻撃者のWebサイト
(1937CN)
■改ざんサイトの画面1
■改ざんサイトの画面2
サイバーセキュリ ティ アニュアルレポート
■改ざんサイトの画面3
69
NTTグループにおけるセキュリティ対応状況︵ NTT ーCERTの取り組み状況 ︶
4
2. 対応事例
❷ 翻訳サイトの翻訳結果がWeb検索で表示されてしまう
(ilovetranslation)
「ilovetranslation」
という翻訳サイト
においてテキストを翻訳すると、翻訳
結果がページとして作成され、Google
検索などで表示されることが判明
このサイトでは 67 の言語への翻訳が可能
Google な ど で「ilovetranslation +
キーワード」
で検索をすると、テキスト
翻訳の結果が表示される。具体的な会
社名や個人名などが複数表示されてし
まう。
翻訳の結果が Web ページとして残っ
てしまうため、翻訳サイトには会社名
や個人名を入力せず、最小限の使用に
とどめる。
70
❸ Thunderbirdのバグによる誤送信事案
2014 年 7 月 23 日にリリースされた、
「Thunderbird 31.0」に、メール送信時に勝手にアドレス帳からアドレスが追加
されて送信されてしまうという、誤送信を誘発する重大なリスクを伴う事象が NTT グループ内で確認され、調査を実施した。
メールを作成
送信
勝手にアドレスが追加されて
送信されてしまった。
再現が取れ、Thunderbird 31.0 の
「アドレスリスト」
のバグが原因と判明した。
宛先を
「○○○ < ∼∼∼@ntt-cert.org>」
の形式で表記した場合に、”○○○”という同名のアドレスリストが存在する
と、本来の宛先であるはずの
「 ∼∼∼@ntt-cert.org」
ではなく、当該アドレスリストを対象に送信してしまうことが分
かった。
メールを作成する。
送信
To: taro <taro@ntt-cert.org>
○○○のアドレスリストに登録された
To:jiro <jiro@ntt-cert.org>
メールアドレスに送信されてしまう。
To:saburo <saburo@ntt-cert.org>
71
サイバーセキュリ ティ アニュアルレポート
∼∼∼@ntt- cert.org へ送ろうと
To:○○○ < ∼∼∼@ntt-cert.org>
NTTグループにおけるセキュリティ対応状況︵ NTT ーCERTの取り組み状況 ︶
4
2. 対応事例 − ❸ Thunderbirdのバグによる誤送信事案
Mozilla 製品関連フォーラムには、類似事象が報告されていた。
参照:http://forums.mozillazine.jp/viewtopic.php?t=14894&p=52878
本事象は、Mozillaの開発者よりバグとして報告され、2014 年 9 月 2 日にリリースされた Thunderbird 31.1 にて解消
された。
参照:https://bugzilla.mozilla.org/show_bug.cgi?id=1008718
72
❹ Webサーバへの不正侵入事例
■まとめ
(注意のポイント)
【対応事例】
Webサーバへの不正侵入事案
2014 年度は、悪意のある第三者による Web サイトへの不正ログイン・不正利用や Web サイト改ざん、Web サービス
からのユーザ情報漏えいが多く発生した。
NTT-CERT でも Web サイトに対する攻撃事案をいくつか対応しており、その中から一つの事案を紹介する。
本事案は外部へ公開している Web サーバが不正侵入され、DDoS 攻撃を行う複数の ELF マルウェアが格納された。
このマルウェアにより、特定の数十サイトへ DoS 攻撃を行っていた。
●攻撃の流れ
① Tomcat 管理画面へブルートフォース攻撃発生
② Tomcat 管理画面のユーザとパスワードが攻撃者に搾取される。
③ Tomcat 管理画面から Webshell※ファイルを格納される。
④ Webshell 経由でさまざまな ELF マルウェアが格納される。
⑤ ELF マルウェアが実行され、外部の C&C サーバと接続する(命令待ち)。
⑥ C&C サーバから命令を受信して、ELF マルウェアが特定のサイトを攻撃
C&C サーバ
①Tomcat 管理画面へブルートフォース攻撃発生
②ログインIDとパスワード搾取
③Webshellファイルをアップロード
④Webshell 経由で ELF マルウェアをアップロード
⑥C&C サーバから命令を受信して、
ELF マルウェアが特定のサイトを
DoS 攻撃
⑤C&C サーバと通信
公開 Web サーバ
※Webshell:Webブラウザ経由でコンピュータをファイルアップロードや削除などの操作ができるツール
73
サイバーセキュリ ティ アニュアルレポート
外部からの
ハイポート許可
NTTグループにおけるセキュリティ対応状況︵ NTT ーCERTの取り組み状況 ︶
4
2. 対応事例 − ❹ Webサーバへの不正侵入事例
●攻撃者によりアップロードされたファイル①
以下のファイルは、実際にアップロードされた Webshell「 FreeBSD.war」を起動した画面
ディレクトリの参照、作成編集などを Web ブラウザを通して実行することができる。
右下の図はシステム情報一覧を表示した画面
Webshell「 FreeBSD.war」
をアップロードされた時の「access.log」と「catalina.log」の抜粋
●攻撃者によりアップロードされたファイル②
以下のファイルは、Webshell「 FreeBSD.war」経由でアップロードされた ELF マルウェア(DDoS Bot)ファイルの一覧
ファイル名
サイズ
形 式
備 考
Kaspersky
Symantec
Fsecure
①
Alale
833 KB
ELF
Backdoor.Linux.Mayday.g
−
−
②
k
577 KB
ELF
−
−
−
③
xudp.exe
808 KB
ELF
Backdoor.Linux.Mayday.g
−
−
④
jbk
1.44 MB
ELF
Backdoor.Linux.Mayday.f
Trojan.Chikdos.B!gen1 Backdoor.Linux.Agent.F
⑤
sshf
1.09 MB
ELF
Backdoor.Linux.Ganiw.a
Trojan.Chikdos.B!gen2
−
⑥
xudp
808 KB
ELF
Backdoor.Linux.Mayday.g
−
−
−
−
−
−
−
−
Backdoor.Linux.Ganiw.a
Trojan.Chikdos.B!gen2
−
⑦
conf.n
69 byte
data
⑧
fake.cfg
51byte
txt
⑨
sshd
1.09 MB
ELF
⑤と⑨に関連する
設定ファイル
①、
④、
⑥に関連する
設定ファイル
74
❺ 検索エンジン
「SHODAN」
の調査報告
■まとめ
(注意のポイント)
SHODANとは
●インターネットに接続されたI oT(Internet of Things)機器の各種情報(IPアドレス、ホスト名、ドメイン保有者情報、
位置情報、ポート番号、OS、バナー情報)を収集するサイト。利用者は検索キーワードを組み合わせることで各種情報を
閲覧することができる。
・ サイバー犯罪者による悪用が指摘されている。
・ デフォルトパスワードを用いているI oT 機器の調査
・ 脆弱性のあるソフトウェアを用いている機器の調査などで利用
(これらがバナー情報に含まれているケースがある)
・ 逆に、
守る側
(企業)
は自組織内のIoT管理機器を不用意にインターネット上に公開していないかを調査する手段
として活用できる。
■SHODAN検索結果(例)
検索キーワードを入力して
検索ボタンを押下すると
75
サイバーセキュリ ティ アニュアルレポート
検索結果が表示される
NTTグループにおけるセキュリティ対応状況︵ NTT ーCERTの取り組み状況 ︶
4
2. 対応事例 − ❺ 検索エンジン「SHODAN」の調査報告
■検索結果にて表示される機器(以下の例では複合機)
にht
tpアクセスできてしまうことも
複合機内に保管した文書(スキャナファイル)
が
閲覧できてしまう
FAX宛先表が閲覧できてしまう
悪意のあるユーザがSHODANを利用することで、脆弱な設定がされている I oT機器を見つけ出すことが可能
【管理者側のリスク】
・インターネット接続した I oT機器内に保存したデータが意図せずにインターネットに公開され、結果として機密情報が漏え
いする可能性がある。
(例) ・ 複合機内に保管した文書
(スキャナファイル)
・TV会議システムにおける通話記録
(電話番号)、
または映像の盗聴
→ オフィス機器の多くは、
管理設定画面を提供するためWebサーバ機能を搭載している。
・悪意のあるユーザが Webアクセスすることで、機器の設定情報が漏えいする、もしくは設定が変更される可能性がある。
・DNSやNTPなどのサービスが稼動しているオフィス機器の場合、攻撃の踏み台に悪用され、サービス不能攻撃に加担し
てしまう恐れがある。
【管理者側の対策】
・複合機などのオフィス機器を不用意にインターネットに接続しない。
・インターネットに接続する際は以下の対応を行う。
・ログイン認証の設定
(デフォルトパスワードの変更)
→ 推測することが困難なパスワードを設定することが重要
・アクセス制限の実施
→ アクセス元を制限可能であれば制限を掛けることが重要
・ファームウェアのアップデート
→ 定期的にメンテナンスすることが重要
→ 製品利用マニュアルに必ず目を通し、セキュリティ設定を行うこと
(上記以外のセキュリティ設定があれば実施す
ることを推奨する)
76
5 2014年度のサイバーセキュリティ関連トピック
第5章では、2014年度のサイバーセキュリティを取り巻く重要なICT環境変化にかかわるトピックとして、
「個人情報、プライバシー問題」
「AndroidアプリケーションにおけるJavaScript連携の脆弱性調査」
「クラウドセキュリティに関わる標準化」を取り上げて解説する。
サイバーセキュリ ティ アニュアルレポート
77
2014年度のサイバーセキュリティ関連トピック
5
1. 個人情報、プライバシー問題
個人情報保護法の改正
●個人情報保護法の改正に向けた動き
2003 年 5 月 個人情報保護法 制定
個人情報保護法制定から約 12 年(施行から約 10 年) 当時想定されていなかった個人情報の利活用、ルールの曖昧さ、制度の国際的な調和
2012 年 11 月∼2013 年 6 月
パーソナルデータの利用・流通に関する研究会(総務省)
パーソナルデータ
という概念の創出
2013 年 9 月∼12 月、2014 年 3 月∼ 5 月
パーソナルデータに関する検討会(IT 総合戦略本部)
技術検討ワーキンググループ
2013 年 12 月
パーソナルデータの利活用に関する制度見直し方針(IT 総合戦略本部決定)
匿名化された
パーソナルデータの扱いを
技術面から検討
2014 年 3 月
「パーソナルデータ関連制度担当室」を設置(IT 総合戦略本部)
2014 年 6 月 個人情報保護改正の内容を大綱として取りまとめ
2014 年 12 月 パーソナルデータの利活用に関する制度改正に係る法律案の骨子(案)
2015 年 3 月 個人情報保護法改正案の国会提出
●個人情報保護法の改正の理由
・今国会(第189回国会)に以下の法案が提出された。
『個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を
改正する法律案』
・法案提出の理由
個人情報の保護及び有用性の確保に資するため、特定の個人を識別することのできる符号を個人情報として位置付け
るとともに、当該符号の削除等により個人情報の復元ができないように加工した匿名加工情報の取扱いについての規
律を定め、個人情報等の取扱いに関し監督を行う個人情報保護委員会を設置するほか、預金等に係る債権の額の把握
に関する事務を個人番号利用事務に追加する等の必要がある。これが、この法律案を提出する理由である。
78
●個人情報保護法の法目的の新旧比較
【新 改正案】
【旧 現行法】
(目的)
第一条 この法律は、高度情報通信社会の進展に伴い個
人情報の利用が著しく拡大していることに鑑み、個人
情報の適正な取扱いに関し、基本理念及び政府による
基本方針の作成その他の個人情報の保護に関する施策
の基本となる事項を定め、国及び地方公共団体の責務
等を明らかにするとともに、個人情報を取り扱う事業
者の遵守すべき義務等を定めることにより、個人情報
の適正かつ効果的な活用が新たな産業の創出並びに活
力ある経済社会及び豊かな国民生活の実現に資するも
のであることその他の個人情報の有用性に配慮しつ
つ、個人の権利利益を保護することを目的とする。
(目的)
第一条 この法律は、高度情報通信社会の進展に伴い個
人情報の利用が著しく拡大していることにかんがみ、
個人情報の適正な取扱いに関し、基本理念及び政府に
よる 基本方針の作成その他の個人情報の保護に関す
る施策の基本となる事項を定め、国及び地方公共団体
の責務等を明らかにするとともに、個人情報を取り扱
う事業者の遵守すべき義務等を定めることにより、
個人情報の有用性に配慮し
つつ、個人の権利利益を保護することを目的とする。
参照:http://www.cas.go.jp/jp/houan/150310/siryou3.pdf
●個人情報保護法の改正のポイント
個人情報の定義の明確化
適切な規律の下で個人情報などの
有用性を確保
個人情報の保護を強化
およびその権限
個人情報の取り扱いの
グローバル化
・要配慮個人情報(いわゆる機微情報)に関する規定の整備
・匿名加工情報に関する加工法や取り扱いなどの規定の整備
・個人情報保護指針の作成や届出、公表などの規定の整備
・トレーサビリティの確保(第三者提供に係る確認および記録の作成義務)
・不正な利益を図る目的による個人情報データベースなど提供罪の新設
・個人情報保護委員会を新設し、現行の主務大臣の権限を一元化
・国境を越えた適用と外国執行当局への情報提供に関する規定の整備
・外国にある第三者への個人データの提供に関する規定の整備
・本人同意を得ない第三者提供(オプトアウト規定)の届出、公表など厳格化
その他改正事項
・利用目的の変更を可能とする規定の整備
・取り扱う個人情報が 5,000 人以下の小規模取扱事業者への対応
参照:http://www.cas.go.jp/jp/houan/150310/siryou1.pdf
79
サイバーセキュリ ティ アニュアルレポート
個人情報保護委員会の新設
・個人情報の定義の明確化(身体的特徴などが該当)
2014年度のサイバーセキュリティ関連トピック
5
1. 個人情報、プライバシー問題
『改正法(案)』 法改正でもほぼ変わらない個人情報
●
「明確化」された個人情報の位置付け
「個人識別符号」が、それだけで特定の個人が識別できるものとして位置付けられた。
それに含まれる情報
だけで特定の個人が
識別できる。
●
『パーソナルデータの利活用に関する制度改正に係る法律案の骨子(案)
』P3 より抜粋
参照:http://www.kantei.go.jp/jp/singi/it2/pd/dai13/siryou1.pdf
●
『改正法(案)』に見る個人情報の定義
(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気
的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。
第十八条第二項において同じ。
)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事
項(個人識別符号を除く。
)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合
することができ、それにより特定の個人を識別することができることとなるものを含む。
)
二 個人識別符号が含まれるもの
2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令
で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当
該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカード
その他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若
しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されるこ
とにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
●個人情報の「明確化」の影響
・ビジネスにおいて、顔認識データ、顧客 ID などが、それ単体で管理されることは稀であり、氏名などと容易に照合でき
るデータベースにおいて管理されている。
・すなわち、実務上、顔認識データ、顧客 ID などは容易照合性のある個人情報として扱わざるを得ない。
・法改正によって、顔認識データ、顧客 ID などが新たに個人情報として位置付けられたとしても、実務に与える影響は少ない。
80
『改正法
(案)
』 本人同意なき個人情報の第三者提供
●個人データを
『匿名加工情報』にすれば、本人同意なく第三者に提供できる
第37条 匿名加工情報を第三者に提供する
場合には、第三者提供をする旨を公表
個人
第三者提供の
同意なし
第37条 提供先に匿名加工情報であることを明示
個人情報/匿名加工情報取扱事業者(提供者)
個人
データ
匿名加工
情報
加工
第36条1項 個人情報に復元することが
できないように加工を行う。
加工前
《注》
個人情報保護委員会規則
で定める基準で加工方法
利
用
第38条 削除をした記述など、および加工
の方法に関する情報を取得し、
または当該匿名加工情報をほかの
情報と照合してはならない。
加工後
加工前
加工後
変換
IDを変換した識別番号
ID
IDを変換した識別番号
氏名
削除
−
氏名
−
電話番号
削除
−
電話番号
−
生年月日
生年月日
生年月日
性別
性別
性別
乗降駅名/利用日時
乗降駅名/利用日時
乗降駅名/利用日時
鉄道利用額
鉄道利用額
鉄道利用額
−
物販情報等
−
はこの例で良いかどうかは
分からない。
匿名加工
情報
ID
生年月日
が明らかになる。現時点で
第三者
(受領者)
第三者提供
(販売など)
鉄道利用額
削除
物販情報等
照合
性別
乗降駅名/利用日時
●匿名加工情報の定義
個人識別符号の置き換えに当たるか?
加工前
ID
変換
IDを変換した識別番号
個人情報に含まれる記述などの一部の削除に当たるか?
氏名
削除
−
電話番号
削除
《注》
個人情報保護委員会規則
で定める基準で加工方法
が明らかになる。現時点で
はこの例で良いかどうかは
分からない。
加工後
性別
乗降駅名/利用日時
照合
可能
鉄道利用額
物販情報等
−
生年月日
生年月日
性別
乗降駅名/利用日時
鉄道利用額
削除
−
81
サイバーセキュリ ティ アニュアルレポート
(定義)
第二条
9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定
の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元する
ことができないようにしたものをいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元す
ることのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を
復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
2014年度のサイバーセキュリティ関連トピック
5
1. 個人情報、プライバシー問題
●匿名加工情報の作成
(匿名加工情報の作成等)
第三十六条 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)
を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにする
ために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。
2 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人
識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情
報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。
3 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該
匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
4 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員
会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及
びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を
明示しなければならない。
5 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情
報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。
6 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措
置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保す
るために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
●匿名加工情報の提供、識別行為の禁止など
(匿名加工情報の提供)
第三十七条 匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節に
おいて同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に
提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第
三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
(識別行為の禁止)
第三十八条 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられ
た個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第三十
六条第一項の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合しては
ならない。
(安全管理措置等)
第三十九条 匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱
いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措
置の内容を公表するよう努めなければならない。
82
●
『匿名加工情報』
がもたらす影響
・個人データと
『匿名加工情報』
の使い分けが進む。
個人データ
匿名加工情報
長所:個人が特定できる
(個人にリーチできる)
長所:第三者提供の本人同意の取得コストが不要
(特に、第三者提供の同意なく取得した膨大な
短所:第三者提供の本人同意の取得コストが高い
個人データの場合)
(特に、第三者提供の同意なく取得した膨大な
短所:個人が特定できない
(個人にリーチできない)
個人データの場合)
加工コスト
・匿名加工情報に加工するソリューション、委託業務の市場の誕生
・取得時に第三者提供を想定していなかった蓄積済みのビッグデータの取引が進む。
(例)
個人が特定できなくても、顧客セグメントの特性が理解できれば良い場合など
ベネッセ名簿流出事件
●ベネッセ事件の概要
・教育事業会社であるベネッセの所有する個人情報が、漏えい
・漏えいした情報が名簿業者である文献社から、第三者
(ジャストシステム)
に販売
・当該第三者
(ジャストシステム)
が、DM 発送などに利用した。
・DB の運用・保守などを委託していた委託先の契約社員が、情報を持ち出し、売却したことが判明
ベネッセ
個人
個人情報取扱事業者
二次受領者
・ 不正に流出した情報とは
知らなかった
・ 適法・公正に入手したもので
あることを条件とする契約を
文献社と締結
②預託
委託先
名簿業者
個人
データ
流出
文献社
ジャストシステム
名簿業者
(受領者)
二次受領者
個人 ②提供
個人 ③提供
個人
(名簿販売) データ
(名簿販売) データ
データ
【事件後の社内調査】
文献社に入手経路を確認していたが、
最終的にはデータの出所が明らかに
なっていない状況で契約し購入していた。
83
サイバーセキュリ ティ アニュアルレポート
個人
データ
①取得
受領者
・ 別の名簿業者から購入した
・不正に流出した情報とは 知らなかった
と主張
2014年度のサイバーセキュリティ関連トピック
5
1. 個人情報、プライバシー問題
●個人情報の適正取得の義務
・個人情報取扱事業者は、不正な手段などで個人情報を取得してはならない。
個人情報第 17 条 適正な取得
不正な手段
個人
個人情報取扱事業者
個人
データ
取得
「不正な手段」例
経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
(平成 26 年 12 月 12 日改正)
2-2-2(1)適正な取得
例 1)
親の同意がなく、十分な判断能力を有していない子どもから、取得状況から考えて関係のない親の収入事情
などの家族の個人情報を取得する場合
例 3)
他の事業者に指示して例 1)などの不正の手段で個人情報を取得させ、その事業者から個人情報を取得する場合
経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」Q&A
Q50:サービスを利用した本人から友人を紹介してもら
A50:事業者が偽ったり、騙したりするなどして、
ペーン」
による取得は個人情報の取得の手段として適正
しているということにはなりません。
い、その友人の個人情報を取得する、
「友人紹介キャン
ですか。
個人情報を不正に取得するのでなければ、法に違反
●第三者提供を受ける者も適正取得の義務あり
「不正な手段」例
経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
(平成 26 年 12 月 12 日改正)
2-2-2(1)適正な取得
例 2)
法第 23 条に規定する第三者提供制限違反をするよう強要して個人情報を取得した場合
例 4)
法第 23 条に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができる
にもかかわらず、個人情報を取得する場合
例 5)
例 2)
などの不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、
当該個人情報を取得する場合
例4)違反されようとしていることを知る/容易に知ることができる
個人
不正な手段
取得
個人情報取扱事業者(提供者)
第三者
(受領者)
個人
データ
個人
データ
提供
二次受領者
提供
個人
データ
例2)違反するよう強要する
ジャストシステムが、
例5に該当する可能性が
指摘されている。
84
例5)第三者提供違反などの不正な手段で
取得されたことを知る/容易に知り得る
(例)数百万件のクレジットカード情報など、
第三者からの入手が、通常困難な場合など
●名簿業者からの購入
・「名簿業者からの購入」は「適正な取得」か? →不正取得されたものであると知らなかったとしても、
「容易に知ることができる/知ることができて当然である」
場合、
「不正な取得」となる可能性がある。
経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」 Q&A
Q51①:名 簿業者から個人の名 簿 を 購入することは
A51①:購入すること自体が禁止されているわけでは
Q51②:名簿が不正取得されたものであることを知ら
A51②:知らなかった場合でも、知ることができて当然
ますか。
あります。このような場合には、購入には慎重
禁止されていますか。
ずに買った場合は、責任を問われることはあり
ありません。
である場合などには責任を問われる可能性が
であるべきです。
Q52:「第三者提供制限違反がされようとしていること
を知り、又は容易に知ることができる」とは、
どのような場合ですか。
A52:例えば、部外秘などと明記された従業員名簿、
クレジットカード情報が含まれる顧客名簿など、
社会通念上、第三者提供制限に違反することなく、
第三者提供をすることが困難な場合が考えられます。
●本人同意なく、名簿販売はなぜできる
なぜ名簿業者は、本人同意なく、名簿を販売できるのか?
・名簿業者やデータベース事業者は、法第 23 条第 2 項のオプトアウトをしている。
経済産業省 個人情報保護法ガイドライン
個人情報取扱事業者は、第三者提供におけるオプトアウトを行っている場合には、前項の規定にかかわらず、本人の
同意なく、個人データを第三者に提供することができる。
(中略)
また、オプトアウトの方法によって個人データを第三者に提供する場合、例えば、名簿などの入手元を明らかにしな
いことを条件に販売するなどのように、提供元の個人情報取扱事業者は、提供先に対して、その個人データの入手元
を開示することを妨げるようなことは避けることが望ましい。
【オプトアウトの事例】
事例 1)
住宅地図業者
(表札や郵便受けを調べて住宅地図を作成し、販売(不特定多数への第三者提供))
事例 2)
データベース事業者
(ダイレクトメール用の名簿などを作成し、販売)
85
サイバーセキュリ ティ アニュアルレポート
2-2-4.
(2)
オプトアウト
(法第23条第2項関連)
(前略)
2014年度のサイバーセキュリティ関連トピック
5
1. 個人情報、プライバシー問題
『改正法(案)』 名簿屋対策3点セット
●
『名簿屋対策3点セット』
・ベネッセ名簿流出事件を受けて、
『改正法
(案)』にいわゆる『名簿屋対策3点セット』が盛り込まれた。
① 第三者提供に係る確認および記録の作成の義務付け
② 不正な利益を図る目的による個人情報データベース提供罪の新設
③ 本人同意を得ない第三者提供への関与
(オプトアウト規定の見直し)
●
『名簿屋対策3点セット』 その1 概要
・個人データの提供者と受領者に新たな義務
第26条 取得した経緯などを確認する
個人
個人情報取扱事業者(提供者)
第三者
(受領者)
個人
データ
個人
データ
第三者提供
(販売など)
第25条 提供の年月日、
提供先の氏名などの
記録を作成し、
一定の期間保存
第26条 提供の年月日、
当該確認に係る事項
などの記録を作成し、
一定の期間保存
●
『名簿屋対策3点セット』 その1 法文
・第三者提供に係る確認及び記録の作成の義務付け
(第三者提供に係る記録の作成等)
第二十五条 個人情報取扱事業者は、個人データを第三者(第二条第五項各号に掲げる者を除く。以下この条及び次条において同
じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名
又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの
提供が第二十三条第一項各号又は第五項各号のいずれか(前条の規定による個人データの提供にあっては、第二十三条第一項
各号のいずれか)
に該当する場合は、
この限りでない。
2 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければな
らない。
(第三者提供を受ける際の確認等)
第二十六条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるとこ
ろにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項
各号のいずれかに該当する場合は、
この限りでない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあ
るものにあっては、
その代表者又は管理人)の氏名
二 当該第三者による当該個人データの取得の経緯
2 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該
確認に係る事項を偽ってはならない。
3 個人情報取扱事業者は、第一項の規定による確認を行ったときは、
個人情報保護委員会規則で定めるところにより、当該個人
データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなけ
ればならない。
4 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければな
らない。
86
●
『名簿屋対策3点セット』 その2 概要
・個人情報データベース提供罪により、
直罰制に
個人
個人情報取扱事業者(提供者)
第三者提供
(販売など)
個人
データ
第三者
(受領者)
個人
データ
第83条 個人情報データベースなどを
不正な利益を図る目的で提供し、
または盗用する行為を処罰
●
『名簿屋対策3点セット』 その2 法文
・不正な利益を図る目的による個人情報データベース提供罪の新設
第八十三条 個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第八十七条第一
項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業
務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三
者の不正な利益を図る目的で提供し、
又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。
●
『名簿屋対策3点セット』 その3 概要
・従来のオプトアウトの必要事項に加えて、個人情報保護委員会への届出義務
①取得
個人情報取扱事業者(提供者)
第三者
(受領者)
個人
データ
個人
データ
③提供
通知/周知
【必要事項】
(ア)
利用目的を第三者提供と
する
(イ)
提供する個人データ項目
(ウ)
提供方法
(エ)
提供停止と受付
(第三者提供を止めたい場合、
提供停止を要求する)
第23条 個人情報保護委員会に
届け出なければならない
個人情報保護委員会
87
サイバーセキュリ ティ アニュアルレポート
個人
第三者提供の
同意なし
2014年度のサイバーセキュリティ関連トピック
5
1. 個人情報、プライバシー問題
●
『名簿屋対策 3 点セット』 その 3 法文
・本人同意を得ない第三者提供への関与
(オプトアウト規定の見直し)
(第三者提供の制限)
第二十三条
2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。
)について、
本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げ
る事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る
状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供す
ることができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の方法
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
五 本人の求めを受け付ける方法
3 個人情報取扱事業者は、前項第二号、第三号又は第五号に掲げる事を変更する場合は、変更する内容について、個人情報
保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人
情報保護委員会に届け出なければならない。
4 個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該
届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
●名簿屋対策 3 点セットの影響
・個人情報データベースの流通市場が健全化する。
・個人情報データベースの提供の記録、受領の記録に関わる管理コストの負担が発生
・個人情報データベースの受領者は、提供者が当該個人情報データベースを取得した経緯を確認(気軽に受領できなくなる)
・個人が直接、刑事罰の対象に
(不正の抑止力が働く)
・オプトアウト時の個人情報保護委員会への届出コストの発生
88
2. AndroidアプリケーションにおけるJavaScript連携の
脆弱性調査
背景
これまで、Android における大きな脅威となる脆弱性の一つとして、WebView の脆弱性が指摘されている*1。
WebView の脆弱性箇所は、主に以下の 3 種類が存在する。
① WebView キャッシュ
② file:// スキーマ
③ JavaScript 連携
特に③の問題はアプリケーションに設定されたパーミッションをすべて利用可能であるため、大きな脅威となり得る。
そこで、Google Play*2 からアプリを取得し、③の脆弱性がどの程度存在するかを調査した。
*1:Android アプリセキュリティ∼WebView の注意点
(1)
∼ 参照:https://appkitbox.com/knowledge/android/20130819-84
*2:Google Play 参照:https://play.google.com/store
JavaScript連携の仕組み
① アプリケーションの Activity が、WebView に
Java Object を登録する。
② アプリケーションが JavaScript を読み込むと、
Java Object にアクセスする。
Ativity
④
①
Androidアプリ
③
Java Object
③ Java Object が Activity にアクセスする。
JavaScript
WebView
④ Activity を使って JavaScript に記載された処理
Android
を行う。
②
WEBサーバ
Android アプリと Web サーバ間のデータや処理を円滑に行うための機能であるが、端末情報の取得や、ほかアプリへ
の送信、その他任意のプログラムやライブラリを実行される恐れがある。このため、Android4.2 以降では、JavaScript
が呼び出せるメソッドを指定して予期しないオブジェクトを読み込ませないようにする
「アノテーション機能」
が追加さ
れており、使用が推奨されている。
データセット
① 特定の Android アプリケーションマーケットでアプリケーションのタイトル文字列を取得
② 取得したタイトル文字列の使用頻度が高い単語リストを作成(約 2,400 件)
③ 各単語をランダムに用いて Google Play で検索し,アプリケーションリストを取得
④ 得られたアプリリストからランダムに、1,000 件に達するまでアプリケーションをダウンロード
【取得期間】
リスト取得:2015 年 1 月 22 日 アプリ取得:2015 年 2 月 1 日∼ 2015 年 2 月 28 日
調査手法
【調査手法】
静的解析を行い、以下の項目について調査した。
(A)
アプリケーションに JavaScript 連携機能が含まれているか。
(B)
JavaScript が呼び出すクラスにアノテーションが付与されているか。
(C)
JavaScript 連携機能が含まれるアプリのパーミッション
【調査日時】2015 年 2 月 28 日∼ 2015 年 3 月 3 日
89
サイバーセキュリ ティ アニュアルレポート
【選定方法】
以下の①∼④の順で実施した。
2014年度のサイバーセキュリティ関連トピック
5
2. AndroidアプリケーションにおけるJavaScript連携の脆弱性調査
調査結果と考察
【調査 A と B の結果】
・1,000 件中、JavaScript 連携機能が含まれたアプリケーションは 292 件(29.2%)であった。
・JavaScript 連携機能が含まれたアプリケーション 292 件のうち、アノテーションが付与されいなかったアプリケー
ションは 193 件
(66.10%)
であった。
・前述の通り、アノテーションが付与されていない場合は、設定されたパーミッションを最大限に利用できてしまう。
しかし、悪意がないにもかかわらずアノテーションを付与できない理由としては、以下が想定される。
・Android 4.2 以前の端末も動作対象としており、アノテーション機能が利用できない。
・アプリケーションの修正が追い付いていない。
・JavaScript 連携による脆弱性を認識していない。
■JavaScript 連携機能とアノテーションの有無
JavaScript
連携機能
なし:708
JavaScript
連携機能
あり:292
アノテーション
あり:99
アノテーション
なし:193
【調査 C の結果】
・WebView を使って Web サーバから情報を取得するという機能であるため、インターネット接続パーミッション
が設定されていたのは 290 件
(99.32%)であり、非常に多い。
・利用者情報
(高い精度で利用者を一意に特定できる情報およびそれに紐づいた個人的な履歴、趣味嗜好などの情報)
を取得可能とするパーミッションが設定されていたのは 233 件(79.79%)であり、多い。
・WebView の接続先が不正サイトであった場合、利用者情報が漏えいしてしまう可能性がある。また、最初の接続先
が正規サイトであった場合でも、リダイレクトにより同様の被害が起こる可能性がある。
まとめ
・WebView を用いたアプリケーションは非常に便利である一方、脆弱性も生み出しやすい。特に、パーミッションが多
く設定されているアプリケーションについては、アノテーション機能が必須であると言える。また、開発元である
Google は、旧バージョン(Android 4.3 以下)における WebView の脆弱性は、以後修正しない旨を 2015 年 1 月 24 日
に発表している*3 。
・以上から、WebView を用いたアプリケーションを利用する際は、可能な限り Android4.4 以降の端末を使うことが
推奨される。
*3:Adrian Ludwig’Google+ 参照:https://plus.google.com/+AdrianLudwig/posts/1md7ruEwBLF
90
3. クラウドセキュリティに関わる標準化
クラウドセキュリティに関わる標準化動向
・クラウド関連の情報セキュリティマネジメント規格の発行、策定作業が進む。
ISO/IEC 27018:2014(データ保護)は発行済み、ISO/IEC DIS 27017(クラウドセキュリティ)、ISO/IEC WD
27036-4
(供給者関係)
は策定中
・クラウドセキュリティ監査に関する技術ガイドを日本からISOに新たに提案
ISO/IEC 27008 Annex C として策定中
・ 経産省が
「クラウドセキュリティ監査制度の見直し」
に着手
ISO/IEC 27001、27002の2013年改訂を踏まえ、
「情報セキュリティ管理基準」および「クラウド情報セキュリティ
管理基準」
の改訂を検討
2014年 7 月 経産省 平成26年度サイバーセキュリティ経済基盤構築事業(クラウドセキュリティ監査制度の見直し)の公告
2014年 7 月
ISO/IEC 27018:2014 パブリッククラウドにおける個人識別情報(PII)
の保護のための実施基準が発行
2014年10月
ISO/IEC 27017(クラウドセキュリティ)のDIS(Draft International Standard:国際規格原案)への移行
が決定
2014年10月
Cloud security Assessment and Audit Based on ISO/IEC 27017が提案され、WD(Working
Draft: 作業原案)への移行が決定、ISO/IEC 27008 Annex Cへ
ISOを軸に進むクラウドセキュリティの標準化
【総務省】
【ISO】
【経済産業省】
ISO/IEC 27001:2005
ISMS Requirements
ISO/IEC 27002:2005
Code of Practice
2003年策定、2008年改訂
2011年4月
情報セキュリティ管理基準
(2008年改訂)
2012年9月
2013年10月
ISO/IEC 27001:2013
ISMS Requirements
2014年4月
ISO/IEC 27002:2013
Code of Practice
ISOに提案
JASA クラウド情報セキュリティ
管理基準
(2012)
2014年3月
クラウドサービス利用のための情報
セキュリティマネジメントガイドライン
(改訂版)
クラウドサービス提供における
情報セキュリティ対策ガイドライン
2015年夏以降?
2014年5月
JASA クラウド情報セキュリティ
管理基準
(2014)
情報セキュリティ管理基準
(2015年改正版)
2015年10月予定
ISO/IEC 27017:2015
Cloud Services
2015年10月以降?
JASA クラウド情報セキュリティ
管理基準
(2015年改訂版)
91
サイバーセキュリ ティ アニュアルレポート
クラウドサービス利用のための
情報セキュリティマネジメントガイドライン
6 外部動向
第6章では、外部の動向として、国内および海外のサイバーセキュリティ政策関連動向について報告する。
2014年度は、世界各国でサイバー攻撃の脅威に対する認識が進み、サイバーセキュリティに関する国家戦略の策定が
行われた。日本においても、内閣官房情報セキュリティセンタ(NISC)による「サイバーセキュリティ戦略」の決定、
国家安全保障局、通称「日本版NSC」の誕生、防衛省・自衛隊によるサイバー防衛隊新編などがあった。
92
1. 政府動向
サイバーセキュリティ基本法の成立
2014 年、サイバーセキュリティ法制に関する最大のトピックは、サイバーセキュリティ基本法の成立である。
それに伴い、内閣官房サイバーセキュリティセンタが設置され、わが国のサイバーセキュリティ推進体制が強化された。
●サイバーセキュリティ基本法
サイバーセキュリティ基本法は、サイバーセキュリティの確保が国家戦略として喫緊の課題になった状況をふまえ、
2014年秋の臨時国会、参議院で10月29日に可決された後、11月6日の衆議院本会議においても賛成多数で可決され、
成立した。
サイバーセキュリティ基本法は、以下のような構成である
第 1 章
総則
第 2 章 サイバーセキュリティ戦 略
第 3 章 基本的施策
第 4 章 サイバーセキュリティ戦 略本部
●内閣官房サイバーセキュリティセンター設置などの組織改編
また、サイバーセキュリティ基本法に基づき、2015 年 1 月、内閣に
「サイバーセキュリティ戦略本部」
が設置され、同時
に、内閣官房に「内閣サイバーセキュリティセンター
(NISC)
」
が設置された。
従来のわが国情報セキュリティ政策は、官民の統一的セキュリティ対策を推進する情報セキュリティ政策会議と、基本
戦略の立案をなどを担当する内閣官房情報セキュリティセンター
(NISC)
が中心であった。しかし、法的な根拠、権限が
不明確というような指摘もあり、今回のサイバーセキュリティ基本法成立により、サイバーセキュリティ戦略案策定や
政府機関の基準作成を行うサイバーセキュリティ本部と、GSOC に関する事務、原因究明調査に関する事務、監査など
に関する事務のほか、サイバーセキュリティに関する企画・立案、総合調整を行う内閣官房サイバーセキュリティセン
ターの緊密な連携により、わが国のサイバーセキュリティ戦略は推進されることとなったのである。
関係官庁の取り組み(総務省)
通信の秘密などに配慮した適切な最新のサイバー攻撃対応検討のための研究会を開催
官公庁・大企業などの LAN 管理者のサイバー攻撃への対応能力向上を狙い実践的なサイバー防御演習実施
・ 2014 年 4 月 4 日 総務省が 2013 年 11 月から開催していた
「電気通信事業におけるサイバー攻撃への適正な対処の
在り方に関する研究会」での結果報告書が公表され、それに伴う意見募集の結果が公表された。
サイバー攻撃が巧妙
ており、優先的に対応すべき課題とその対策を洗い出し、これらについて集中的に、技術的・制度的な観点から議論を
行った。具体的には、以下の課題の検討を行っている。
・ マルウェア感染駆除の拡大
・ 新たな DDoS 攻撃である DNSAmp攻撃の防止
・ SMTP 認証の情報
(ID およびパスワード)
を悪用した SPAM メールへの対処
参照 : http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000074.html
この研究会報告書をふまえ、インターネットの安定的な運用に関する協議会では、
「電気通信事業者における大量通信
などへの対処と通信の秘密に関するガイドライン」
の改定第 3 版を発行した。
*電気通信事業者における大量通信などへの対処と通信の秘密に関するガイドラインの改定について
参照 : http://www.jaipa.or.jp/topics/?p=695
93
サイバーセキュリティ 年次報告書
化、複雑化する中で、電気通信事業者が通信の秘密などに配慮した適切な対応を行うことが可能となることを目的とし
外部動向
6
1. 政府動向
●2014年10月21日∼ 実践的サイバー防衛演習
(CYDER)
の実施
CYDERは2013年から実施されているが、
この日から2014年度の第1回CYDERが実施された。
*総務省|「実践的サイバー防御演習
(CYDER)
」
の実施
参照 : http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000085.html
*ニュース 2014年10月21日:総務省主催の
「実践的サイバー防御演習
(CYDER)
」
を 実施 | NTT Com 企業情報
参照 : http://www.ntt.com/release/monthNEWS/detail/20141021.html
関係官庁の取り組み(経済産業省)
2011年から進めているサイバー情報共有イニシアティブ(J-CSIP)に加えて、サイバーレスキュー隊(J-CRAT)を情報処
理推進機構
(IPA)
に設置
・サイバーレスキュー隊
(J-CRAT)の設置
情報処理推進機構(IPA)では、2014年5月20日に準備チームを立ち上げていたが、7月16日にサイバーレスキュー隊
(J-CRAT)を発足させた。J-CRATは、
(1)攻撃に気付いた組織に対する被害拡大と再発の抑止・低減、
(2)標的型攻撃によ
る諜報活動などの連鎖の遮断、を活動の中心としており、独立行政法人など、を対象に、初年度は30組織程度への支援を
見込んでいる。
支援対象として想定しているのは、攻撃を検知できずに「潜伏被害」を受けている組織や検知した「セキュリティインシ
デント」の状況や深刻度が認識できずにいる組織であり、まず、対象となる組織に「サイバー攻撃に気づいてもらう」こと
が中心である。さらに、①攻撃の把握、②被害の把握、③対策の早期着手、などの支援により攻撃の連鎖を断ち切り、被害
の拡大と再発の防止、
低減を図る。
*IPAプレスリリース 参照 : https://www.ipa.go.jp/about/press/20140520.html
参照 : https://www.ipa.go.jp/about/press/20140716_1.html
・2014年5月30日、IPAはJPCERT/CCと共同で情報セキュリティ早期警戒パートナーシップガイドラインを改訂し、
2014年版をIPAおよびJPCERT/CCのWebサイトで公開
*IPAプレスリリース 参照 : https://www.ipa.go.jp/security/ciadr/partnership_guide.html
その他各官庁の取り組み
重要インフラ防護、
IT企業と法執行機関の連携の観点から、
新しい官民連携の仕組みの始まり
<金融分野>
2014年8月1日、金融機関間のサイバーセキュリティに関する情報を共有するための組織「一般社団法人 金融ISAC」が設
立された。これは高度化するサイバー攻撃に対抗するため、フィッシング被害、不正送金被害、APT攻撃、DDoS攻撃、脆弱
性・ゼロデイの脅威などのサイバーセキュリティに関する情報を、会員である金融機関で共有し連携して対策に当たる枠
組みとして設立された法人であり、翌年2月20日には米国FS-ISACとアフィリエイト合意を締結しサイバー攻撃対抗の情
報共有に関する協力、
および、
今後の更なる協力推進に合意した。
(金融ISAC Webサイトより)
・ 一般社団法人 金融ISACの設立について ∼高度化するサイバー攻撃対策のため金融機関間の情報共有を促進∼
参照 : http://www.f-isac.jp/press_release/20140807.html
・ 米国FS-ISACとのアフィリエイト合意締結について ∼サイバー攻撃対処の情報共有を含む国際的な協力関係に合意∼
参照 : http://www.f-isac.jp/press_release/20150220.html
<警察庁>
2014年11月13日、
日本版NCFTAとして、
サイバー空間の脅威に対処するための非営利団体
「一般財団法人サイバー犯罪
対策センター(JC3=Japan Cybercrime Control Center)」が業務を開始した。これは2013年のサイバーセキュリティ
戦略などに明記された「日本版NCFTA」として、産学官が同じ場を共有し、それぞれが持つサイバー空間の脅威への対処
経験などを全体で蓄積、共有するとともに、脅威への先制的、包括的な対応を可能にする産学官連携の枠組みを指向して
いる。
参照 : https://www.jc3.or.jp/
94
2. 外国動向
アメリカ、
ヨーロッパ
2013 年の動きを受けて、アメリカ、ヨーロッパではサイバー脅威への情報共有の取り組みがさらに一歩進んだ。
自主規制のアメリカ、法規制のヨーロッパ、それぞれのアプローチでサイバーセキュリティの情報共有が進展する。
1. アメリカ
アメリカは、2014 年 2 月 14 日、商務省の配下である国立標準技術研究所
(NIST)
が Cybersecurity Framework
(以下、
「CF」
)
を 公 表 し た の を 受 け て、CF 普 及、促 進 の た め の 取 り 組 み が 進 め ら れ て い る。例 え ば、国 土 安 全 保 障 省
(Department of Homeland Security:DHS)
では、官民のパートナーシップを強化し CF の認知を高めることを目的
とした Critical Infrastructure Cyber Community Voluntary Program
(C3Voluntary Program)
を立ち上げている。
また、CF 導入のためのインセンティブも検討されている。
そして 2015 年 2 月 13 日、オバマ大統領はサイバーセキュリティと消費者保護に関するサミットを開催、政府と企業の
間でサイバー攻撃に関する情報共有を促す大統領令に関する大統領令に署名した。これにより、連邦政府機関における
情報共有の推進が期待されるが、大統領令とほかの法規制の関係が不明確であると言う指摘もあり、官民相互間での情
報共有の推進までの効果があるかどうかは、専門家の間でも見解の分かれるところである。
(ホワイトハウス Web サイトより)
The White House, Summit on Cybersecurity and Consumer Protection
参照:https://www.whitehouse.gov/issues/foreign-policy/cybersecurity/summit
2. ヨーロッパ
ヨーロッパでは、2013 年 2 月欧州委員会が公表した新たなサイバーセキュリティ戦略
(Cybersecurity Strategy of
the European Union)を受けて、サイバーセキュリティに関する規制の議論が進行している。即ち、このサイバーセ
キュリティ戦略を受けて、欧州議会、欧州連合理事会が「NIS
(ネットワークと情報セキュリティ)
に関する欧州指令」
を公
表、加盟各国に対して法規制を指示していた。この欧州指令を受け、2015 年夏にも、ナショナル CSIRT の強化などの内
容を含む、
「新たな欧州規制」
が実施されると言われている。
(参考)
DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
concerning measures to ensure a high common level of network and information security across the Union
参照:http://eeas.europa.eu/policies/eu-cyber-security/cybsec_directive_en.pdf
サイバーセキュリ ティ アニュアルレポート
95
商標について
・ Adobe Flash Player、Adobe Acrobat 、Adobe Readerは、Adobe Systems Incorporated
(アドビ システムズ社)
およびその子会社、
関連会社の米国およびその他の国における登録商標または商標です。
・MySQL、Java、JRE、JDK、Solarisは、Oracle Corporationおよびその子会社、関連会社の米国およびその他の国における登録商標または
商標です。
・ Internet Explorer、Windows、Windows XPは、Microsoft Corporationおよびその子会社、関連会社の米国およびその他の国における
登録商標または商標です。
・ Twitterは、米国およびその他の国におけるTwitter, Inc.の登録商標または商標です。
・ Apple、Apple Store、WebKitは、米国およびその他の国のApple Inc.の登録商標または商標です。
・ Android、Google Chrome 、Google Play、Gmail、YouTubeは、Google Inc.の登録商標または商標です。
・ Linuxは、Linus Torvaldsの米国およびその他の国における登録商標または商標です。
・ FreeBSDは、FreeBSD Foundationの登録商標または商標です。
・ VMwareは、VMware, Inc.の米国およびその他の国における登録商標または商標です。
・ Mozilla、Firefox、Thunderbird、SeaMonkeyとそれぞれのロゴは、米国Mozilla Foundationの米国およびその他の国における登録商標
または商標です。
・ Apache、Apache Tomcat、Apache Strutsは、Apache Software Foundationの登録商標または商標です。
・ IBM、AIXは、International Business Machines Corporationの米国およびその他の国における登録商標または商標です。
・ CISCO IOSは、Cisco Systems, Inc.の登録商標または商標です。
・ CERTは、米国CERT/CCの登録商標です。
・ Facebookは、Facebook, Inc.の登録商標または商標です。
・ HUAWEIは、Huawei Technologies株式会社の登録商標または商標です。
・ ZTEは、ZTE Corporationの中国およびその他の国における登録商標または商標です。
・ Ruby on Railsは、David Heinemeier Hansson氏の登録商標です。
・その他、記載されている社名、製品名などの固有名詞は、各社の登録商標または商標です。
96
NTT Secure Platform Laboratories
NTTセキュアプラットフォーム研究 所