最近の情報セキュリティに関するトピック
最近の情報セキュリティに関するトピックを紹介します。
- WordPressの脆弱性を悪用した攻撃によりホームページの改ざんが多発
2017年2月にオープンソースのCMS(Contents Management System)ソフトウェアのWordPressに脆弱性が見つかり、この脆弱性を悪用した攻撃により多くのサーバが改ざんされるという被害が発生しました。
改ざんされたサーバーは、全世界で6万を超えるという報告もあり、日本でも多くのWebサーバが改ざんされる被害を受けました。
対応としては、WordPressを最新版に更新する必要がありますが、脆弱性が見つかってから短時間で悪用するためのコードが出回ったり、ソフトウェアの脆弱性情報をサーバー管理者が認識していない等、正しく管理されていないサーバが多く存在するため多くの被害が出たと言われています。
Webサーバーの管理者は、サーバーがWordPressで作成されたものでないか、WordPressで作成された場合、最新版になっているかどうかを確認する必要があります。
監視カメラやビデオレコーダー、プリンタ、ルータなどネットワークに接続されたIoT機器の脆弱性を狙った攻撃により、外部から不正アクセスされ、不正に遠隔操作されたり、DDoS攻撃の踏み台に利用されて外部への攻撃に利用されるIoT機器が増加しています。
IoT機器は、利用者が不正アクセスを受ける対象と認識していないことが多く、またPCやサーバのような管理も行われていないことも多いため攻撃を受けやすくなっています。
- マイナンバーの運用と改正個人情報保護法への対策が必要になります
個人情報保護法とマイナンバー法が、2015年9月9日に改正されました。
個人情報保護法の改正により、ほとんどの個人情報を保有している事業者が、「個人情報取扱事業者」となりますので、個人情報の取扱に関して注意が必要となります
また、マイナンバーの運用が、2016年1月より開始され、マイナンバー(個人番号)の管理が厳しくなりましたので、これらへの対応も必要となり、さらなる情報セキュリティ対策が求められています。
対応内容については、
こちらを参照してください。
- OSコマンドインジェクション攻撃による不正アクセスで個人情報が流出
Webサーバーのソフトウェアの脆弱性を利用したOSコマンドインジェクション攻撃による不正アクセスで複数のWebサーバーから個人情報が流出する事件が発生しました。
情報セキュリティニュースから記事を拾うと、
2016年4月21日 日本テレビのWebサイトから約43万件の個人情報が流出
4月22日 J-WAVEのWebサイトから約64万件の個人情報が流出
4月28日 エイベックス所属アーティストのWebサイトから約35万件の個人情報が流出
4月29日 栄光ゼミナールのWebサイトから2761人分の個人情報が流出
のような事件が起きています。
Webサーバーで使用しているソフトウェア「ケータイキット for Movable Type」に悪意のある命令を受け入れて、任意のOSコマンドを実行されてしまう脆弱性が見つかったため、この脆弱性をつかれて攻撃が行われたとされています。
(上記の事件の全てが同ソフトウェアによるものかは明らかにされていない)
「ケータイキット for Movable Type」の修正版が既にリリースされていますので、このソフトウェアを使用しているWebサーバーは、直ちに修正版の適用が必要です。
2015年9月以降、日本国内の企業や団体、政府機関へのDDoS攻撃が相次いでいます。
攻撃は、アノニマスによるものと見られていますが、全てがアノニマスによるものかどうかは不明です。
今まで攻撃の対象となって被害を受けたのは、新聞記事になったものだけでも、成田空港、中部国際空港、ASCII.jp、KADOKAWA、南海電鉄、毎日新聞、2020年東京五輪・パラリンピックの組織委員会、日経新聞、厚生労働省、安倍首相のHPなど多くのサイトが攻撃の対象となっています。
「vvvウイルス」はランサムウェア(PCのファイルを暗号化して身代金を要求し、身代金を支払わない場合には、暗号化を解かないというもの)の一種で、暗号化されたファイルの拡張子が「.vvv」となるため、「vvvウイルス」と呼ばれるものです。
また、「vvvウイルス」は、ランサムウェアの「CryptTesla」(または、TeslaCryp)の亜種と見られていて、2015年12月頃からネット上で話題なっていましたが、感染経路については噂の域を出ていない状態でした。
日本では、2015年12月8日頃から請求書を偽装したメールにランサムウェアが含まれるファイルが添付されて来るケースが増えているとして、各情報セキュリティ関係機関が注意を呼びかけるようになっています。
日本で確認されているウイルスが仕組まれたメールでは、メールの添付ファイル(zip圧縮ファイル)を開くとJavaScriptが起動し、そのJavaScriptによりインターネットから不正プログラムがダウンロードされ、実行されてウイルスが感染するとされています。
- IE(インターネット・エクスプローラー)は、各OSに対応した最新版のみサポート対象となる
MS(マイクロソフト)社のWebブラウザ、IE(Internet Exploere)は、以前は各OSのリリース時から現在までのすべてのIEのバージョンについてサポート対象としましたが、2014年8月にポリシーを変更し、2016年1月13日以降、各OSで稼働可能なIEの最新版のみをサポートのみ行い、更新プログラムも最新版のみ提供が行われるようになります。
そのため、今後IEは、各OSに対応した最新バージョンを使用していない場合には、IEにバグやセキュリティ上の脆弱性が見つかっても修正されないため、パソコンが攻撃を受ける脅威が増すとされています。
情報セキュリティに関する用語説明
その他の情報セキュリティに関する用語を説明します。
JavaのWebアプリケーションフレームワークのApache Struts2に脆弱性が見つかり、Struts2 の修正データが提供された問題で、同じ脆弱性が
Struts1 にも存在することが判明しました。
Struts1 のサポートは既に終了しているため、修正データは提供されませんが、Struts2 が Struts1 の単なるバージョンアップでは無いため、Struts1
で開発されたシステムを Struts2 用に変更することには多くの工数を要するため、Struts2 への移行は簡単にはできません。
現在も Struts1 で開発されたシステムが多く残っていて大問題となり、対応ができない多くのサイトが公開中止になりました。
- APT攻撃(Advanced Persistent Threat攻撃)
APT攻撃は標的型攻撃の一種ですが、攻撃対象に対して、より高度な技術を組み合わせ、より執拗で継続的に行われる攻撃です。
そのため、単純な金銭目的というよりは、産業スパイや国家機密の諜報活動として行われると考えられています。
オープンソースの暗号化ライブラリとして使われている「OpenSSL」に脆弱性が見つかり、修正プログラムが提供されましたが、多くのサーバで「OpenSSL」が使用されていて、対応していないサーバが多く存在していたため、脆弱性を利用した攻撃で内部情報が盗まれる事件が多発しました。
この脆弱性に対して攻撃を受けると、OpenSSL で保護されているはずのシステムメモリ上のあらゆる情報を見られてしまうため影響は広範囲に及び、このバグは、その重大性から「Heartbleed
Bug」(心臓出血)とも呼ばれました。
- MITB攻撃(Man in the Browser攻撃)
MITB攻撃とは、マルウエアをPCに送り込み、ブラウザを乗っ取って、ユーザーがオンラインバンキングで送金するときに、不正送金を行う攻撃です。
ユーザーがオンラインバンキングで送金する画面の送金先等を、マルウエアが勝手に書き換えて不正送金を行いますが、ユーザーはブラウザ画面を見ている限り送金は行われているので不正に気づかず、また銀行でも不正送金であることがわかりません。
まるで、ブラウザの中に人がいて、勝手に操作しているようなので、Man in the Browser攻撃と言います。
Microsoft社は、WindowsXPのサポートを2014年4月9日の定例アップデートをもってサポートを終了しましたが、WindowsXPはまだ多くの人が利用していることがわかっているため、今後WindowsXPの脆弱性が見つかった場合、この脆弱性を狙ったコンピュータ・ウイルスがでてくることを心配して大きな社会問題となりました。
また、WindowsXPとともに、Office2003のサポートも終了したため、こちらの脆弱性が見つかった場合にも危険性が大きくなります。
まだ、WindowsXPを使用している場合には、セキュリティ・リスクが大きくなりますので、こちらをご覧下さい。
フィッシング詐欺の手口の一つで、特定の相手に対して、重要な情報を盗み取るための攻撃を言います。
手口としては、上司や得意先企業を装ってメールを送り、相手の警戒を解いてメールに忍ばせたマルウェアにより情報を盗み取るものです。
ゼロデイ攻撃とは、OS(オペレーティング・システム)やソフトウェアにセキュリティ上の脆弱性が見つかった時に、その脆弱性に対応した修正プログラムが公開される前に、その脆弱性を狙って攻撃を行うものです。
標的型攻撃とは、特定の組織や企業の情報を盗むために、攻撃対象となる組織や企業のセキュリティの脆弱性をねらって、組織や企業内のネットワークに侵入し、情報を盗み取るものです。
一般的には、標的型メール攻撃により、メールに仕組まれたコンピュータウイルス等により内部に侵入し、それを突破口として、情報を盗み出すことが行われます。
対策としては、最初のメールを受け取ったときに進入を防ぐ「入り口対策」と、内部に進入してしまったコンピュータウイルス等からの情報の発信を防ぐ「出口対策」を行うことが必要となります。
フィッシング詐欺は、メール等を使用して金銭を盗み取る詐欺です。
フィッシングは、phishing と書き fishing の釣り上げるという意味ではありません。
企業や金融機関を装ったメールが送られてきて、そのメールのURLを開くと、その企業や金融機関を装ったWEBサイトに誘導され、そのWEBサイトにパスワード等の情報を入力すると入力された情報が盗み取られるというものです。
フィッシングメールは、「パスワードの有効期限が切れました」等、もっともらしい理由が書かれていて、メールもWEBサイトも本物に似せて作られているため、騙されてしまう人が多いので事件も多く発生しています。
ブルートフォース攻撃は、総当たり攻撃とも言い、ユーザIDやパスワード等で考えられる全てのパターンを入力して解析する攻撃手法です。
人手による入力では不可能な多くのパターンを自動的に入力して試みることにより、正しい値を求める方法で、例えば4桁の数字のパスワードならば、0000〜9999までの値を最大でも10000パターンを試すことにより、正しい値を探し出すことができます。
水飲み場型攻撃は、標的型攻撃の一種ですが、攻撃対象となる組織や企業の従業員等が良く見るウェブサイトにわなを仕掛け、該当の従業員等がアクセスした場合にだけ、コンピュータウイルスに感染させるというものです。
通常のウェブサイトの改ざんでは、アクセスした人全員が感染する可能性があり、ウイルス対策ソフトにより発見される可能性が高くなりますが、この攻撃では、感染する数が限定されるので、それだけ発見される可能性も低くなります。
この攻撃を成功させるためには、攻撃対象となる組織や企業の従業員等が良く見るウェブサイトを見つけて、そのウェブサイトにコンピュータウイルスを仕掛けることと、攻撃対象となる組織や企業が未対応のゼロデイ攻撃を見つけることが必要で、これらの条件に合う攻撃を行うことができれば、攻撃対象となる組織や企業内にコンピュータウイルスを送り込み、内部に侵入することに高い確率で成功します。
通常の標的型攻撃が、攻撃対象となる組織や企業にメールを送るなどを行うプッシュ型に対して、攻撃対象が訪れるのを待つというプル型の攻撃と言えます。
現在では、このような巧妙に仕込まれた詐欺行為に対して、防衛するための一般的な対策は無く、各種の対策を積み上げて行き、総合的に防御するような方法をとる必要があります。
ランサムウェアは身代金を要求するコンピュータウイルスで、このコンピュータウイルスにPCが感染すると、PCのハードディスクを暗号化してアクセスできないようにし、コンピュータのデータを人質にして、身代金を要求するメッセージを表示するもので、このメッセージを無視したり、拒否するとPCを使うことができなくなります。
しかし、一般にこの要求に応じて金銭を支払ってもPCが使用可能に戻る保証はなく、戻らないことが多いです。
リスト型攻撃は、他のインターネットのサーバから漏えいした大量のログインID/パスワードの組み合わせを使用して、ターゲットとなるサーバのログインを試みるものですが、同じログインID/パスワードを使い回している場合があるため、ログインに成功してしまうものです。
対策としては、ログインID/パスワードの使い回しをしないことですが、最近では多くのサーバにログインする必要があるため、現実的にはなかなか対応が難しくなっています。
一方、サーバ側の対応としては、常にログインを監視し、同一のIPアドレスから大量のログインが発生した場合、不正アクセスの可能性と判断して、ログインを中止する等の対策があります。