2011 年 10月27日、セキュリティを題材に、おもしろおかしく読めるセキュリティ マンガ シリーズ「斉羽家のセキュライフ!」第一弾を公開しました!サイバー家、サイバ家、斉羽家…なんて安易な発想ですみません。それはさておき、記念すべき第1回のテーマは「パスワード」。パスワードってついつい安易なものを繰り返し使用しがちですよね。
セキュリティって?というような方でもおもしろおかしく読めて、マンガを通じてなんとなくセキュリティって大事かも?と感じていただけることを意識して制作しています。勿論、ここから掘り下げたい方には、関連コンテンツをわかりやすいように配置しています。
月例で新作を公開する予定です。おもしろいと思われた方、是非、ご家族、ご友人、SNS やブログなどでご紹介いただけると嬉しく思います。
前回は、日本における現在の情報セキュリティーの状況について書かせていただきましたが、今回は、米国で注目されている情報セキュリティの状況について紹介します。
本文中でも紹介するように、米国でもAPT(Advanced Persistence Threat:高度で執拗な攻撃)と考えられる攻撃が目立ってきたように思います。日本でも、9月に報道された防衛産業でのマルウエア感染事例以降、急速に注目が高まっており、政府レベルにおいても色々な対策が取られようとしています。このように、現実として起きている問題の対策が行われることは重要なことなのですが、少々気になることもあります。
まずは、基本的なセキュリティ対策がとれていない状況でAPTのような高度な攻撃の対策がとれるのだろうかという疑問です。初級者(スクリプトキディ)にも勝てない初心者が、有段者(APTを使うプロのハッカー)に勝つための必殺技を必死で考えているような可笑しさを感じます。たとえば、不審メールのトレーニングも、何らかの役に立つのだとは思うのですが、初心者が真剣白刃取りをしようとしているようなもので、実質的な効果はないと思います。技術的な問題を、モラルやリテラシーで解決することはできません。技術的な問題に対しては、技術的で合理的な対策が必要だと思います。
前置きが長くなってしまいましたが、今回は米国で注目をされた事例を分析し、次回以降、具体的な対策について紹介をしていこうと思います。
米国での事件を分析しようと考えたのは、大手電機メーカーへの不正アクセスに対する日本の報道が、マイクロソフト本社から流れてくる米国での報道と、ずいぶんと違っていたことがきっかとなった。まず、自分で米国の報道を個別に調べていたが、調べているうちに、自分が着目した視点とほぼ同じ視点で情報を取りまとめたサイトにたどり着いた。今回の分析は、このサイトの情報を使用させていただいている[1]。
このサイトでは、日本で報道されているような、USB等のメディアやPCを紛失した事例は扱っておらず、このサイトの特性上、当然ではあるのだが外部からの意図的な攻撃(ハッキング)が全体の80%を占めている。手法を見ていくと、SQLインジェクションが30%、APT(Advanced Persistence Threat:高度で執拗な攻撃)と考えられるものが 13%を占めている。
次に、侵害の対象となったシステムを見ていくと、WEBサーバーか、データベースが侵害を受けたケースが66%を占めており、既に対策が確立したと考えられている公開セグメントからの情報漏えいが、大半を占める結果となった。この傾向は、高いセキュリティレベルを維持しながら公開セグメントの運用を続けることが、とても難しいという事を端的に示しているのかもしれない。
例えば、米国のセキュリティ企業[2]は2月にSQL Injection等の侵入を受け、68,000通のE-Mailが公表されてしまった。他にも、オンラインマーケティング企業[3]、オンラインゲーム会社[4]、TV番組のサイト[5]、米上院のサーバー等[6]など、管理がしっかりしており侵入が難しいと考えられるサイトについても、多数の不正アクセス事件が起きている。
これらの事件に対する新たな注目点として、任意の組織や企業グループをターゲットにした意図的な攻撃活動がある。多くのセキュリティ事件を発生させたネットワークワームは、プログラムが生成したランダムなIPアドレスに対して、事前に組み込まれた攻撃を行うもので、広く浅い攻撃が特徴となる。これに対し、任意のターゲットに対する意図的な攻撃は、ターゲットを十分に調査した上での狭く深い攻撃が行われるため、漏れのない、高いレベルの対策が必要となる。
なお、このような特定の組織に対する攻撃が行われる場合、企業における経営上のガバナンスと、ブランドイメージの不一致が問題となっている。企業グループの経営形態として、それぞれのグループ企業が独理性を保った経営を行う場合が少なくないが、このような場合でも、攻撃を行う側や報道からの視点では、同一のブランドとして見られてしまう。すぐに解決ができる問題とは思えないが、少なくとも、グループ企業においてセキュリティ事件が発生した際の対応を明確にする必要があるように思われる。
特殊な攻撃と考えられることの多いAPT(Advance Persistence Threat)も目立ってきている。例えば、3月に世界的に著名なセキュリティ企業が侵入を受け、二要素認証に係わる情報が盗み出される事件が起きた[7]。そして、この情報を使って米国の防衛産業への侵入が行われたと考えられている[8]。
APTの手法は、関係者を装ったメール(標的型攻撃)や、USB等のメディアなど、利用可能な多数の手法を組み合わせて実行される。APTにはマルウエアが利用される事が多いが、マルウエア対策と考えるよりも、マルウエアを使った高度な「ハッキング」と考えた方が理解しやすい。
APTで利用されるマルウエアは、いわゆるウィルスやワームとは違い、極めて狭い範囲で利用される。例えば、Windows Serverのブルースクリーンの解析から新しいマルウエア(RAT:Remote Access Tool)が発見された事例では、同じマルウエアは世界中でわずか5件しか検出されなかった。このように極めて少数しか存在しないマルウエアは、セキュリティベンダーが把握することが難しく、結果としてアンチウィルス等で検知できない場合が多い。ある程度の規模で感染するマルウエアを前提としたパターンファイル(ブラックリスト)を使ったウィルス・ワーム対策だけでは、APTの対策は難しいと考える必要がある。
公開セグメントへの侵入とAPTによる内部セグメントへの侵入を比較すると、公開セグメントへの侵入では、メールアドレスやクレジットカード番号と言った顧客情報が大量に流出することが問題となるケースが多い。これに対して、APTによる内部セグメントの侵入では、組織の根幹にかかわる機密性の高い情報が狙われる。例えば、前述のセキュリティ企業の例では、二要素認証の根幹にかかわる情報であり、昨年(2010年)1月に話題となった、Operation Auroraでは、Webメールシステムのソースコードがターゲットと考えられている[9]。また、日本で発生した防衛産業の事例も、同様の機密性の高い情報の詐取が懸念されている。
今回は、日本と米国での情報セキュリティ事件の分析結果を紹介した。
日本の事例の分析では、紛失と盗難が60%を占めており、紙などの媒体、USB��のメディアやPCが主要な流出媒体となっている。しかし、セグメントごとに見ると、いわゆる不正アクセスが原因となる情報流出が目立つという結果となった。
米国の事例では、話題となった事例の多くは不正アクセス(ハッキング)に分類されるもので、公開セグメント上のWebサーバーやデーターベースからの詐取が70%近くを占めている。また、APTと呼ばれる高度な攻撃も目立つようになってきており、これまで考えられなかったような深刻な被害も機密性の高い内部情報が詐取されている。
このような分析結果から、今、考えなければならないセキュリティ対策として、次の項目が重要であると考えられる。
次回は、ここで上げた対策項目についての考察を進めたい。
なお、ここでは取り上げないが、全体の約半数を占める紙媒体についての対策と、は、物理的に保護する以外の手段がない。機密性の高い情報については、紙媒体の利用を避ける事も検討に値する。
[1] Welcome to 2011, Year of the Hacker, Jason Mick (Blog) - June 14, 2011 9:40 PM
http://www.dailytech.com/Welcome+to+2011+Year+of+the+Hacker/article21896.htm
[3] Epsilon
http://www.epsilon.com/News%20&%20Events/Press_Releases_2011/Epsilon_Notifies_Clients_of_Unauthorized_Entry_into_Email_System/p1057-l3
[4] Playstation Network http://www.dailytech.com/Sony+Hit+With+First+Lawsuit+After+Losing+101+Million+Customer+Records/article21540.htm
2011 年 10 月 12 日に、マイクロソフト セキュリティ インテリジェンス レポート (SIR) 第 11 版 を公開しました。SIR はマイクロソフトが半期に一度公開している「セキュリティの脅威の動向を調査したレポート」で、第 11 版では、2011 年上半期における、脆弱性、悪用 (Exploit)、マルウェア、感染等に関する傾向を、全世界 100 以上の国や地域における 6 億台以上のシステムから収集したデータを基に分析しています。
マルウェアの拡散方法に関する新しい分析
第 11 版では新しい分析として、マルウェアの拡散方法という観点で分析を行っています。分析結果では、2011 年上半期においてゼロデイ [i] の脆弱性を悪用した攻撃は、脆弱性を悪用する全攻撃のうち、わずか 1% 以下に留まるという結果が出ています (図1)。ちなみに、この分析には悪意のあるソフトウェアの削除ツール (MSRT) のデータを使用しています。MSRT のデータを使用した理由やこの分析手法の詳細は英語版の Security Intelligence Report (SIR) Volume 11 -Zeroing In on Malware Propagation Methods で詳しく説明していますのでご参照ください。
図1: 2011 年上半期、MSRT により検出されたマルウェアの拡散方法の内訳
ゼロデイ攻撃に関する補完分析
MSRTは “感染したコンピューターの数” を表すのに対し、ウイルス対策製品などは “感染の試みをブロックした数” を表します。Microsoft Malware Protection Center (MMPC) では、マイクロソフトのウイルス対策製品向けに作成した 3,000 以上のシグネチャに関連する脆弱性の悪用状況を追跡しています。例えば、今年 4 月に公開された Adobe Flash Player の脆弱性 (CVE-2011-0611) の悪用状況は図2 のようになります。4 月 8 日に最初の悪用が報告されてから 4 月 15 日に Adobe 社よりセキュリティ更新が公開されるまでの間ゼロデイ攻撃が観測されていますが (図2、赤色部分)、実際に悪用が増加するのは更新プログラムが公開されてひと月以上後であることがわかります (図2、緑色部分)。複数の脆弱性について同様の傾向が確認でき、脆弱性の悪用は、ゼロデイの期間より更新プログラムが提供された後の方が圧倒的に多いことが補完調査からも示されています。
図2: 2011 年 4 月から7 月における CVE-2011-0611 に対する悪用の検出数
ソーシャル エンジニアリング型攻撃への対応
さて、図1 に戻り、マルウェアの拡散方法として一番利用されているのが、ユーザーの操作を必要とするタイプの攻撃、つまりソーシャル エンジニアリング攻撃で、44.8% を占めているという結果が MSRT のデータから出ています。ソーシャル エンジニアリング攻撃は、ユーザーの心理を巧みに悪用し、あたかも正当なように見せかけた悪質なファイルを開かせたり、悪意のある Webサイトへのリンクをクリックさせて感染させます。偽セキュリティ ソフトウェア詐欺、フィッシング詐欺などもソーシャル エンジニアリング攻撃ですね。
対策としては、疑わしいファイルやリンクはクリックしないことが重要なのですが、ユーザーの心理に依存しない方法として、最新のブラウザーを使用することが挙げられます。現在実に 3億4,000万台のPC (4 台に 1 台) が古いブラウザーを使用していると言われています (図3)。またソーシャル エンジニアリング攻撃は古い製品やブラウザーを狙ったものが多いとも言われています。最新のブラウザーを使用することで、たとえ悪意のあるリンクをクリックしたとしても、マルウェアのダウンロードをブラウザーがブロックし感染を防ぐことができます。過去のブログ「質問: ソーシャル エンジニアリング攻撃型マルウェアに強い Web ブラウザーは?」もご参考いただき、是非、ソーシャル エンジニアリング型マルウェアに強いブラウザーを選択して使用してください。
図3: 出典: YourBrowsermatters.org
自動実行機能 (AutoRun) への対応
図1でソーシャル エンジニアリング攻撃の次に多かったのは、AutoRun (USB/Network) による感染でした (図1、2位/3位)。これに関し、マイクロソフトは 2011 年 2 月に、AutoRun を無効化する更新プログラムを XP/Vista 向けに公開しました (Windows 7 は既定で有効)。その結果、2011 年 5 月の段階で、AutoRun を悪用するマルウェアによる感染の割合は 6 割 ~ 8 割減少しています。このことから、次期以降の調査では AutoRun による感染は更に減少すると予測されます。AutoRun の無効化の効果については、次のブログ「Windowsの自動実行機能 (Autorun) の無効化の効果について考える」で紹介していますのでご参考ください。
まとめ
今回の SIR では、新たな分析手法を用いた調査が行われましたが、過去の調査結果からも一貫して言えることは、「ソフトウェアを最新に保つ」という基本的な対応が非常に重要だということです。ソフトウェアのセキュリティ更新プログラムは確実に適用する、また可能な限り最新のバージョンのソフトウェアを使用することで、PC 利用の安全性は飛躍的に向上します。
これは、Windows 上で動作するサードパーティ製品についても同じことが言えます。2011 年上半期の傾向では、Java また Adobe Reader / Flash の脆弱性を狙った悪用が増えてきています。製品が広く普及していながら長期間更新プログラムを適用しないまま放置されていることが多いため、攻撃者の恰好のターゲットとなっているようです。PC にインストールされたすべてのソフトウェアについて、確実にセキュリティ更新プログラムを適用することが、個人や企業の財産を守るための非常に重要な鍵となります。
参考情報
セキュリティ インテリジェンス レポート ポータル サイト (日本語)
http://www.microsoft.com/japan/sir
Security Intelligence Report ポータルサイト (英語)
http://www.microsoft.com/security/sir
[i] ゼロデイ: ソフトウェア ベンダーがその脆弱性を修正するセキュリティ更新プログラムを公開する前にその脆弱性が悪用されること
チーフセキュリティアドバイザーの高橋です。マイクロソフトに入社して、まもなく5年になりますが、はじめて「日本のセキュリティチームのブログ」書かせてもらうことになりました。lようやく「日本のセキュリティチーム」の一員となる機会を得ることができたように思います。
今回は、9月末に行った弊社のお客様向けのセミナーで紹介した内容を中心に、昨今の情報セキュリティの傾向について紹介します。
このセミナーでは、現在の情報セキュリティの状況を理解し、対策を考察するため、2011年の8月中旬までに日本で報道された事件と、同時期に米国で注目された事件に対する分析を行いました。」そして、この分析の結果、「2011年は、情報セキュリティのトレンドが大きく動いた年として記憶される」、という思いを強く持つこととなりました。
この連載では、これらの事件の分析と、分析結果から見えてくる、今、必要とされる対策について、考察をしていきたいと考えています。第1回の今回は、分析の結果見えてきた日本における現在の情報セキュリティの状況について紹介します。
2011年は、情報セキュリティのトレンドが大きく動いた年として記憶されるかもしれない。
まず、1月にAnonymousによるhacktivismが話題となった。そして、この流れから大手家電メーカーに対する侵入行為や妨害行為が行われた事は記憶に新しい。また、3月には世界的に著名なセキュリティ企業から、二要素認証に係わる情報が盗み出され[1]、この情報が防衛産業への侵入に利用されたと考えられている[2]。加えて、9月には、日本でも防衛産業への侵入(ウィルス感染)が明らかになり、これまで、諸外国の問題と思われていたCyber Espionage(電子的な諜報活動)が、初めて公に扱われることとなった[3]。ここ数年にわたり、米軍や米国軍事産業へのインターネットを使った攻撃(サイバー攻撃)が報道されてきたが、これが現実のもので継続的に行われている事、そして日本もターゲットである事がようやく認識されることになった。
一方で、日本で報道されている情報セキュリティ事件に目を向けると、紙などの媒体、PC、USB等のメディアの紛失と盗難を中心とした、個人情報漏えいに関する事件が大半を占めている。この傾向は、これらの事件が個人情報保護法による届け出義務によって公表を義務付けられているためだと考えられる。しかし、注意深く分析すると、民間企業で発生した情報漏えい事件の半数が、不正アクセスやウィルスによって発生するなど、日本においても、外部からの攻撃による被害が拡大しており、紛失、盗難、内部犯行を中心としたセキュリティ対策では、対応が難しい状況になりつつある。
日本での状況を分析するため、”Security NEXT:個人情報漏洩事件・事故一覧[4]”から、2011/1/1-2011/8/16までの事件に対して、漏洩した媒体と、漏洩した原因について分析を行った。
漏洩した媒体を見ると、紙などの媒体が40%と最も多く、続いてUSB等のメディア(16%)とメール(16%)、サーバーなどの不正アクセス等(14%)、PC(9%)となっている。
そして、漏洩した理由を見ると、紛失と盗難で60%を占めており、これに誤配信・誤廃棄(19%)、設定ミス(7%)、不正アクセスとウィルス(10%)が続く。
紙が主要な漏洩の媒体というのは以前からの傾向で、今年特有の傾向ではない。個人情報漏えい対策が、PCやUSB等のメディアといったIT関係に注目が集まりやすいが、紙に対する対策も重要であることを示している。しかし、紙媒体は暗号化等の保護ができないため、事故を想定した対策が取りにくい面があるため、社外に持ち出す情報については、IT化も選択肢として検討する価値がある。
一方で、USB等のメディアとPCからの漏洩は25%を占めることから、これらに対する暗号化等の対策を確実に行えば、実質的な被害を防ぐ上で大きな効果が期待できる。
メールの誤送信も16%を占めており、対策が必要な項目となのだが、決定的な対策は取りにくい領域と言える。最近のSNSが注目されており、コミュニケーションの手段が、メールからSNSに移行するという分析を見ることが多い。この背景には、送信相手を事前に限定できない、送信したメールを削除できないと言った、メールの特性に対する情報保護の観点も要因となっている。
最後に、個人情報漏えいの原因としては、あまり注目をされなかった不正アクセスとウィルスだが、後述のセグメントごとの分析で触れるように、既に無視できない漏えい要因となっている。
セグメントごとの傾向を見てみると、それぞれの特性が見えてくる。自治体、銀行、団体(業界団体、政府関連団体等)では、紙などの媒体による漏洩が半数を超えており、多くの業務が、紙を中心として行われている事がうかがえる。一方で、教育機関と、医療機関は、USB等のメディアによる漏洩が半数を超えており、正反対の傾向を示している。教育機関、医療機関は、職場で使用しているデータを、USB等のメディアを使って自宅などに持ち出す運用形態が多いものと考えられる。
民間企業を見ると、USB等のメディアが6%にとどまっているのに対して、意外なことに、設定ミス(を使った不正アクセス)、ウィルス(による流出)、不正アクセスと言ったハッキングと分類できる外的な要因が50%を占めている。後述する米国に対する分析では、この傾向が顕著なのだが、日本でも民間企業については、意図的な外部からのハッキングが半数を占める状況に変化しており、紛失や盗難、そして内部犯行を中心としたセキュリティ対策だけでは、このような攻撃の対応ができない可能性が高い。
[1] Open Letter to RSA Customers
http://www.rsa.com/node.aspx?id=3872
[2] Lockheed Martin Acknowledges 'Significant' Cyberattack
http://www.pcworld.com/businesscenter/article/228960/lockheed_martin_acknowledges_significant_cyberattack.html
[3] 情報セキュリティ政策会議 第27回会合(平成23年10月7日)
http://www.nisc.go.jp/conference/seisaku/index.html#seisaku27
[4] Security Next 個人情報漏洩事件・事故一覧
http://www.security-next.com/category/cat191/cat25
皆さん、こんにちは!今月のマイクロソフトワンポイントセキュリティ情報担当者です。
先ほど 10 月のマイクロソフト ワンポイント セキュリティ情報を公開しました。
本日 10 月 12 日に公開した新規 8 件 (緊急 2 件、重要 6 件) のセキュリティ更新プログラムの適用優先度、既知の問題、回避策や再起動の有無など、セキュリティ情報について知りたいポイントを凝縮してお伝えしています。また本日更新した 3 件のセキュリティ情報 MS11-044、MS11-072、MS11-074 やセキュリティアドバイザリ 2269637 の概要についても、併せて説明していますので、概要把握のために是非ご視聴ください。
また内容に関するフィードバックも随時受け付けています。今月のマイクロソフト ワンポイント セキュリティ情報サイト右上のフィードバックボックスからご意見・ご感想をお寄せください。
フルサイズ版、縮小版版ダウンロードファイルは以下のサイトからご覧いただけます。
http://technet.microsoft.com/ja-jp/security/dd251169.aspx
下の画像をクリックして動画を再生してください。
.jpg)
