cyber security secure platform laboratories nttセキュアプラットフォーム研究所 ntt...
TRANSCRIPT
NTT Secure Platform Laboratories NTTセキュアプラットフォーム研究所
NTT Secure Platform LaboratoriesNTTセキュアプラットフォーム研究所
NTT-CERT NTT Computer Security Incident Response and Readiness Coordination Team
サイバーセキュリティ アニュアルレポート 2015
この印刷には責任ある森林管理の「FSC®認証紙」を使用し、環境に配慮した「水なし印刷」と「ベジタブルインキ」を採用しています。工場の消費電力量の一部はCO2を排出しないグリーン電力を使用しています。
C y b e r S e c u r i t y
目次
03
06
08
09
16
16
28
37
45
50
54
61
62
67
68
69
69
70
71
73
75
77
78
89
91
92
93
95
96
はじめに
1 サイバーセキュリティの概況(エグゼクティブサマリ)
2 世の中のサイバーセキュリティ事案
1 事案の概況(年表)
2 事案の分析
❶ 深刻な脆弱性
❷ 大規模なサイバー攻撃と情報流出
❸ モバイルの安全性
❹ プライバシーの扱い
❺ 各国の動き
❻ 新しい脅威
3 脆弱性の動向
1 脆弱性情報の動向
4 NTTグループにおけるセキュリティ対応状況(NTT-CERTの取り組み状況)
1 問い合わせ・対応状況
2 対応事例
❶ 9.18満州事変に伴うサイバー攻撃について
❷ 翻訳サイトの翻訳結果がWeb検索で表示されてしまう
(ilovetranslation)
❸ Thunderbirdのバグによる誤送信事案
❹ Webサーバへの不正侵入事例
❺ 検索エンジン「SHODAN」の調査報告
5 2014年度のサイバーセキュリティ関連トピック
1 個人情報、プライバシー問題
2 AndroidアプリケーションにおけるJavaScript連携の脆弱性調査
3 クラウドセキュリティに関わる標準化
6 外部動向
1 政府動向
2 外国動向
商標について
はじめに
本レポートは、2014年度のサイバーセキュリティ動向および
NTTセキュアプラットフォーム研究所の関連する活動状況についてまとめたものです。
本レポート読者の方々に、現在のサイバー脅威の動向をご理解いただき、
ご自身が提供されるサービス、システムなどの安心・安全に向けた取り組みの
ご参考としていただければ幸いです。
なお、本レポートに記載された情報、URLなどは、2014年度のものであり、
情報内容の変化、リンク先の情報削除などが行われている場合があります。
04
NTTセキュアプラットフォーム研究所では、NTTグループのセキュリティ強化に向け、NTTグループのCSIRT(Computer Security Incident Response Team)であるNTT-CERTおよびセキュリティ研究成果・知見により、技術的な支援を進めている。
NTT-CERTの紹介
NTTグループのCSIRTとして、2004年に発足した。セキュリティ情報をいち早くキャッチし、NTTグループ全体の被害の極小化、未然防止を図る。
NTT-CERT活動概要
セキュリティ研究活動概要
NTTセキュアプラットフォーム研究所
セキュリティ・ポータル 脆弱性情報配信
インシデント・ハンドリング 脆弱性ハンドリング
セキュリティ教育・訓練 セキュリティ・コンサル など
①検知・防御技術 ②暗号プロトコル ③可視化・証跡
フィールドサポート
フィールドサポート
国内外研究機関
未然防止
被害極小化
セキュリティ診断
OSINT(セキュリティ情報分析)
ブラックリスト提供
セキュリティ製品評価 運用ガイド策定
フォレンジック マルウェア解析
技術開発
予防
検知
事後対応
セキュリティ診断
運用ガイド策定 ブラックリスト提供
OSINT(セキュリティ情報分析)
フォレンジックマルウェア解析
セキュリティ製品評価
(nicter)・・・etc.
セキュリティベンダ
NTTグループ社内情報システム
NTTグループ公衆/インフラ
NTTグループ法人/ソリューション
フィードバック
NTTグループ各社リスク管理
被害の未然防止/被害の極小化
セキュリティ運用ノウハウ集積・活用
攻撃の検知通常対応
警戒・緊急対応
NTTーCERTの
グループ支援施策例
独自センサーなど (例:ハニーポット)
外部機関(FIRST、NCAなど)
事件事件 被害発生時の対応
被害発生時の対応防止 脆弱性などの
収集・共有 攻撃の検知防止 脆弱性などの収集・共有
内外の適材適所への迅速な情報伝達と専門的対応支援
セキュリティ運用ノウハウ集積・活用
脆弱性・攻撃などに関する情報の収集分析と早期検知
CSIRTがやること
情報共有 分析・調査トレーニングなど 相談受付 対応支援
・脆弱性検証情報提供・公開前脆弱性情報提供
・インシデント通知・情報漏えい検知
・インシデント対応支援・事例共有
・セキュリティSE・セキュリティ教育・セキュリティSE・セキュリティ教育
・脆弱性検証情報提供・公開前脆弱性情報提供
・インシデント通知・情報漏えい検知
・インシデント対応支援・事例共有
各フェーズでNTTグループを支援
セキュリティ研究活動
サイバーセキュリティティテ
アニュアルレポート
05
NTT-CERTの紹介
NTT-CERT活動概要
セキュリティ研究活動概要
未然防止
予防 検知 事後対応
被害極小化
事業環境における検証設備構築や実施手順などに関わる技術支援
セキュリティ診断結果に基づく事業での対応やブラックリストおよびログ分析手法などの導入に関わる技術支援
分析対象取得、技術対策適用におけるオンサイトでの技術支援
事業会社のセキュリティ運用
フィールドサポート
R&Dミッション
予防から検知、事後対応までの一貫したセキュリティ運用強化を図る技術確立と事業会社支援を実施する。
①検知・防御技術 ②暗号プロトコル ③可視化・証跡
フィールドサポート
フィールドサポート
セキュリティ診断
OSINT(セキュリティ情報分析)
ブラックリスト提供
セキュリティ製品評価 運用ガイド策定
フォレンジック マルウェア解析
技術開発
セキュリティ診断グループ各社のWebサイトについて、改ざん、脆弱性、要塞化不備を定期的に検査/分析し、問題があれば対策などを立案
運用ガイド策定政府や業界によるガイドライン策定の動向を見据え、グループでの遵守に向けた技術検証や手順書策定を実施
ブラックリスト提供研究所で構築したブラックリスト(AVベンダなどが所有するものとの差分)をグループ会社に情報展開し、攻撃ブロックに寄与
OSINT(セキュリティ情報分析)インターネット上のセキュリティに関わる情報を広く収集、総合的な分析を行い、最新の状況を共有
フォレンジックマルウェア解析セキュリティ事案へ対応する中、事業サイドでは実施が難しい深い部分(AP/システムログ、悪性プログラムなど)の分析手法の確立および技術変化に追随する継続的な維持・高度化
セキュリティ製品評価事業導入前に、新たな技術/製品などの機能、性能、脆弱性を評価するとともに、必要な対策などをレポート
セキュリティベンダ
フィードバック
NTTグループ各社リスク管理
被害の未然防止/被害の極小化
セキュリティ運用ノウハウ集積・活用
攻撃の検知通常対応
警戒・緊急対応
NTTーCERTの
グループ支援施策例
独自センサーなど (例:ハニーポット)
外部機関(FIRST、NCAなど)
事件事件 被害発生時の対応
被害発生時の対応防止 脆弱性などの
収集・共有 攻撃の検知防止 脆弱性などの収集・共有
内外の適材適所への迅速な情報伝達と専門的対応支援
セキュリティ運用ノウハウ集積・活用
脆弱性・攻撃などに関する情報の収集分析と早期検知
CSIRTがやること
情報共有 分析・調査トレーニングなど 相談受付 対応支援
・脆弱性検証情報提供・公開前脆弱性情報提供
・インシデント通知・情報漏えい検知
・インシデント対応支援・事例共有
・セキュリティSE・セキュリティ教育・セキュリティSE・セキュリティ教育
・脆弱性検証情報提供・公開前脆弱性情報提供
・インシデント通知・情報漏えい検知
・インシデント対応支援・事例共有
各フェーズでNTTグループを支援
セキュリティ研究活動
06
1 サイバーセキュリティの概況(エグゼクティブサマリ)
第1章では、2014年度のセキュリティ動向および本レポートの概要について説明する。
0706
2014年度はソニーピクチャーズへの攻撃やDarkhotelなど、高度な標的型攻撃が報告されたほか、インター
ネットの基盤技術に関わる重大な脆弱性(Heartbleed、Shellshock、POODLE、 DNSの委任/移転通知インジェ
クション攻撃など)やインターネットの基盤に関わるインシデント(DNSへのDDoS攻撃/ドメイン乗っ取り/証明書
への攻撃など)が多発した年度であった。さらに、国家による監視強化と世論やサービス提供業者の反発による綱引
きは継続しつつも、全体的には国際的なテロ続発の中で監視強化の流れが進んだ。新技術の動向としては、制御シ
ステムやIoT(Internet of Things)への攻撃やリスクの指摘が本格化し、欧州では鉄鋼所が現実に被害を受けた。
また、スマートフォンへの攻撃も、従来の不正アプリだけではなく脆弱性を突くタイプの攻撃やランサムウェアの流
行など、PC以上に高度な攻撃が流行した。
日本国内のセキュリティ動向に目を向けてみると、ベネッセによる大規模な情報流出が大きなトピックとなった。ま
た、海外では数年前から問題となっていた不正送金マルウェアの日本対応が本格化し、不正送金被害が急増したほ
か、昨年度から引き続いてのリスト型攻撃による情報漏えいやCMSなどの脆弱性を突いたWebサイト改ざん、ス
マートフォンの普及に伴ってSNSを悪用する攻撃(LINE乗っ取り、FacebookやTwitter機能の不正利用など)が急
増した。さらに、混沌とした世界情勢を反映し、ハクティビストの活動が拡大する中で、日本の多数のサイトが攻撃に
巻き込まれる事態も発生した。一方で、2020年東京オリンピック・パラリンピックに向けた日本全体のセキュリティ
強化の取り組みが始まった年度でもあり、サイバーセキュリティ基本法の成立、個人情報保護法の改正、内閣サイ
バーセキュリティセンターの発足などが進められた。また、マイナンバー制度の2016年1月開始に向け、法制度な
どの整備が進められたが、社会的な対応の遅れやプライバシー、セキュリティに関しての懸念が指摘された。
本レポート第2章では、これらの状況をセキュリティインシデントに関わる報告、記事情報などをもとに動向を整
理、分析する。続いて、第3章で攻撃の原因の一つである脆弱性の動向についての分析結果について報告する。
第4章では、これらのセキュリティインシデントに対応するための取り組みであるNTT-CERTの活動状況について、
具体的な対応事例を交えて報告する。
第5章では、2014年度のセキュリティに関連するトピックとして、個人情報保護およびプライバシーに関する日本
国内の動向、Android端末の主な脆弱性の原因の一つであるWebViewの脅威の実態、今年度普及が進んだクラ
ウドセキュリティに関する標準化動向について報告する。
第6章では、2014年度のサイバーセキュリティ動向を把握していただくための外部の動向の情報として、政府動向、
海外動向について報告する。
1 サイバーセキュリティの概況(エグゼクティブサマリ)
第1章では、2014年度のセキュリティ動向および本レポートの概要について説明する。
サイバーセキュリティティテ
アニュアルレポート
2 世の中のサイバーセキュリティ事案
第2章では、セキュリティ事案にかかわる新聞記事などから、2014年度のセキュリティ事案の概況について説明し、
さらにトピックとなる事案についての分析を行った結果について報告する。
08
第1四半期
第2四半期
トピック日 URL
4月
5月
6月
サイバーセキュリティティテ
アニュアルレポート
09
2 世の中のサイバーセキュリティ事案
第2章では、セキュリティ事案にかかわる新聞記事などから、2014年度のセキュリティ事案の概況について説明し、
さらにトピックとなる事案についての分析を行った結果について報告する。
08
・OpenSSLの深刻な脆弱性(SSL Heartbleed)が発見された。この脆弱性を狙った攻撃により、海外ではカナダ歳入庁、国内では三菱UFJニコスで不正アクセスによる被害が報告された。
・Windows XPサポートが終了となった。Microsoftはその後に発見されたIEの脆弱性に対するWindows XP更新プログラムを特例で配布した。
・米司法省は、オンラインバンキングを標的としたマルウェア「Game over Zeus」についてテイクダウンを実施し、関連サイトの差し押さえや管理者の逮捕を行った。
・iPhone乗っ取り、Twitter、LINEアカウント乗っ取りなど、スマートフォンユーザやSNSユーザに対するサイバー脅威が広まりを見せた。
・内部犯行により約3,500万件と大規模な個人情報の流出が発生、ベネッセは被害者に補償金として500円相当の金券などを送付した。
・オンラインバンキングの不正送金被害額が18億円に到達。警察庁は、金融機関に対して対策の強化を要請するとともに、取り締りの強化を開始した。
・スマートフォンでは、Android と iOS を標的にしたモバイルマルウェアやランサムウェアが増加するなど、引き続き攻撃の対象となっている。
・中国がLINEやフリッカー、Googleなどの接続規制を開始した。・国内ではサイバーレスキュー隊「J-CRAT」が結成された。JPCERT/CCは国際的なボットネットのテイクダウン作戦に協力、感染端末などの情報を提供した。
第1四半期
第2四半期
1. 事案の概況(年表)
トピック日 URL
「OpenSSL」暗号ライブラリに重大な脆弱性
XPサポート打ち切り 韓国政府が支援策
米英2紙にピュリツァー賞、NSAの情報収集活動を暴露
8
9
15
15
15
17
4月
Microsoft、XPで特例の更新プログラム配布
三井住友銀行、新手のネット不正送金被害を発表
サイバー対策を強化、来年度めどに組織格上げ 次官級も 政府⦆
ネットバンキング不正送金被害が最悪に
2
12
15
19
28
5月
【Update】CDNetworksが侵害公表、バッファロー、JUGEMなどで改ざん:「外部サービス」が原因、公式サイトの改ざん被害相次ぐ[CNET Japan] 米当局、「GameOver Zeus」ボットネットを摘発 --ユーザは2週間以内に防御策の実施を
LINE乗っ取り300件以上 不正ログイン、金銭被害3件
国会図書館、日立社員2人を刑事告発
ニコニコ動画の広告からマルウェア感染 --原因はマイクロアドと米ヤフー
DDoS攻撃で停止の「ファンタシースターオンライン2」、再開できず「攻撃規模、極めて大きい」
3
3
17
18
19
23
6月
【参考記事】
http://japan.cnet.com/news/service/35046250/
http://www3.nhk.or.jp/news/html/20140409/k10013623911000.html
http://www.cnn.co.jp/tech/35046575.html
OpenSSLの“Heartbleed”脆弱性による被害が発生、カナダ歳入庁が発表
DNSキャッシュ汚染に注意 --カミンスキー型攻撃の増加に専門機関が警鐘
Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)
http://internet.watch.impress.co.jp/docs/news/20140415_644351.html
http://www.security-next.com/048036
http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
http://www.yomiuri.co.jp/it/security/goshinjyutsu/20140502-OYT8T50142.html
http://www.nikkei.com/article/DGXNASFL120SX_S4A510C1000000/
http://www3.nhk.or.jp/news/html/20140515/k10014475191000.html
http://sankei.jp.msn.com/politics/news/140519/plc14051911120004-n1.htm
iPadやiPhoneの乗っ取り被害多発、ロック解除に「身代金払え!」⦆ http://www.itmedia.co.jp/news/articles/1405/28/news038.html
http://www.atmarkit.co.jp/ait/articles/1406/03/news056.html
http://www.asahi.com/tech_science/cnet/CCNET35048843.html
http://www.nikkei.com/article/DGXNASDG1703H_X10C14A6CR8000/
http://www.nikkei.com/article/DGXNASFK1602E_W4A610C1000000/
http://japan.cnet.com/news/business/35049705/
http://www.itmedia.co.jp/news/articles/1406/23/news078.html
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
10 11
1. 事案の概況(年表)
・SPEへの攻撃に関連し、NSAが2010年より北朝鮮内部を監視していたと報道。さらにNSAなどによる世界的なSIM情報窃取(ベンダは影響小と発表)やHDDファームへのマルウェア設置など、高度かつ対策困難な諜報活動(Equation Group)の実態が報道された。
・ISILを中心として、双方の攻撃が激化、米軍Twitter乗っ取り、NW紙サイト改ざん、ISILへのAnonymous宣戦布告やISILサイト改ざんが発生した。
・レノボ社PCプリインストールソフトに、暗号通信を阻害する脆弱性の指摘があり問題化した。・2020大会に向けNTTなどがパートナー選定されたほか、セキュリティ強化に向け業界全体が活発化した。内閣がインフラ事業者など48社に情報共有を要請するなどの国全体で強化の方向となった。
・POSを狙う高度なマルウェア「ポセイドン」が報告された。・米Githubへの大規模DDoS攻撃が発生した。
第4四半期
トピック日 URL
1月
2月
サイバー対策で情報共有 政府、48事業者に協力要請
“盗んだアドレス10億件超” 米で3人起訴
個人情報保護法改正案を閣議決定、個人情報の定義は骨子案を踏襲
特定標的サイバー攻撃 3倍以上に急増(警察庁 26年サイバー空間動向報告)
OSS検索システムの脆弱性を狙うサイバー攻撃が発生中
1
7
10
12
16
26
31
3月
・ Shellshockを狙う攻撃、Winshock、SSL3.0の脆弱性(POODLE)発覚、ドメインに対する攻撃、ICANNやISC不正アクセスなど、インターネットやサーバのプラットフォームの問題が継続した。
・ソニーピクチャーズが大規模攻撃により業務停止となった。FBIは北朝鮮からの攻撃と発表したが、セキュリティ専門家からは疑義が投げかけられた。
・米国で大規模な情報漏えい (JPモルガン、米郵政公社、ステープルズなど)が継続した。・医療費通知を装う大規模攻撃が発生、遠隔操作ツールによる情報流出などが多発した。・USB仕様上の脆弱性を突いたBadUSBなど、従来の対策技術では対応困難な攻撃手法が報告された。・サイバーセキュリティ基本法成立、経産省個人情報取り扱いのガイドラインを改定した。・総務省主催第1回「実践的サイバー防御演習(CYDER)」が開催された。
第3四半期
8月
9月
「サイバーセキュリティ基本法」が成立、国の責務を明確化
ファームウェアを勝手に書き換える、USBの危険すぎる脆弱性「BadUSB」
米郵政公社にサイバー攻撃、職員80万人超の個人情報など流出の恐れ
5
6
10
11
26
トピック日
URL
bashの脆弱性を抱えるNASへの攻撃、日本や韓国が標的に
JPモルガン・チェース 顧客情報大量流出
SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
セキュリティベンダの共同作戦で Hidden Lynx のマルウェアに打撃
「実践的サイバー防御演習(CYDER)」の実施
産業制御システムを狙うマルウェア、米ICS-CERTが注意呼び掛け
登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起
3
3
15
17
21
31
10月
11月
トピック日 URL
URL
中国でLINEが不通に 「政府の関与」指摘も
「Baidu IME」の自動アップデート機能で別ソフトがインストールされる障害が発生
Google、ゼロデイ攻撃を防止する「Project Zero」を発表
標的型サイバー攻撃に立ち向かう、IPAのサイバーレスキュー隊が正式発足
日本国内のオープンリゾルバを悪用するDDoS攻撃が発生 --DNSリフレクター攻撃とは異なる手法AndroidにID偽装の脆弱性が存在、アプリ特権を悪用可能に
2
7
16
16
23
30
7月
【参考記事】
【参考記事】トピック日 URL
【参考記事】
イランのハッカー集団、航空・エネルギー会社など攻撃
ソニーのプレステネットワークにシステム障害、「Lizard Squad」の攻撃か
Facebookに新たなサイバー攻撃 日本語広告で偽企業サイト誘導 タグ付け機能使い拡散も 金銭や個人情報要注意
経産省、ベネッセ事件などを受けて個人情報ガイドライン改正
ICANNに不正アクセス、ユーザ情報が流出
3
9
10
12
18
25
12月
GitHubに“史上最大”のDDoS攻撃、中国のネット検閲絡みか http://www.itmedia.co.jp/news/articles/1503/31/news047.html
POSシステムを狙う新手のマルウェア「ポセイドン」出現 http://www.itmedia.co.jp/news/articles/1503/26/news072.html
http://www.nikkei.com/article/DGXLASFS01H20_R00C15A3PE8000/
http://itpro.nikkeibp.co.jp/atcl/news/15/031000875/
http://www3.nhk.or.jp/news/html/20150307/k10010007231000.html
http://www3.nhk.or.jp/news/html/20150312/k10010013011000.html
http://www.security-next.com/056694
日本製「身代金要求型ウイルス」を初確認
韓国原子力発電所へのサイバー攻撃
スマホに「消せないメッセージ」 注意を
韓国原子力発電所へのサイバー攻撃
サイバー攻撃で欧州の大手Bitcoin取引所閉鎖
米軍Twitterアカウントにハッキング、イスラム国支持集団の犯行か
NSA、北朝鮮のネットワークをソニー攻撃前から監視か --2010年より
3
5
7
13
20
26 http://www3.nhk.or.jp/news/html/20150126/k10014958851000.html
http://www.nikkei.com/article/DGXLASDG26HAF_S5A100C1CC1000/
http://www.nikkei.com/article/DGXMZO81660690X00C15A1000000/
http://www.icr.co.jp/newsletter/global_perspective/2015/Gpre2015002.html
http://itpro.nikkeibp.co.jp/atcl/news/15/011300124/
http://japan.cnet.com/news/business/35059190/
不正広告の閲覧で自動感染させる攻撃も、「Flash Player」が18件の脆弱性を修正
サイバーセキュリティ戦略本部発足
ハッカー集団のAnonymous、ISIS攻撃を宣言
極めて高度なサイバー攻撃集団「Equation Group」、セキュリティ企業が報告
SSL通信を盗聴される恐れ、ノートPCに潜む「Superfish」の正体
6
10
10
18
20
21 http://mainichi.jp/select/news/20150221k0000e040213000c.html
http://internet.watch.impress.co.jp/docs/news/20150206_687251.html
http://www.kantei.go.jp/jp/97_abe/actions/201502/10cyber_security.html
http://www.itmedia.co.jp/enterprise/articles/1502/10/news053.html
http://itpro.nikkeibp.co.jp/atcl/news/15/021800571/
http://itpro.nikkeibp.co.jp/atcl/news/15/022000625/
http://itpro.nikkeibp.co.jp/atcl/news/14/110701794/
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/110600093/
http://jp.reuters.com/article/topNews/idJPKCN0IU24020141110
ソニーピクチャーズにサイバー攻撃か、米メディアが報道 http://itpro.nikkeibp.co.jp/atcl/news/14/112602024/
http://www.itmedia.co.jp/enterprise/articles/1410/03/news109.html
http://www.itmedia.co.jp/news/articles/1410/03/news042.html
http://www.itmedia.co.jp/enterprise/articles/1410/15/news054.html
http://www.symantec.com/connect/ja/blogs/hidden-lynx-2
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000085.html
http://www.itmedia.co.jp/enterprise/articles/1410/31/news051.html
https://www.jpcert.or.jp/at/2014/at140044.html
http://www.asahi.com/articles/ASG7262K9G72UHBI01T.html
http://www.forest.impress.co.jp/docs/news/20140707_656766.html
http://japan.cnet.com/news/service/35050933/
http://internet.watch.impress.co.jp/docs/news/20140716_658291.html
http://www.security-next.com/050711
http://www.itmedia.co.jp/enterprise/articles/1407/30/news041.html
露ハッカー集団が12億件の情報窃盗、史上最大の流出か 米社発表
[Black Hat USA 2014 レポート]ファームウェア書き換えでUSBに機能追加
「Suicaポイントクラブ」756アカウントで不正ログイン、一部サービス停止中
中国ハッカー集団、米大手医療機構に侵入 個人情報大量流出
日産、公式サイトで第三者の不正アクセスにより一部のプログラムが改ざん
「PSN」を含むSony Entertainment NetworkのサービスにDDoS攻撃 大規模接続障害が発生、個人情報の漏えいはなし
6
11
18
20
25
26
http://www.afpbb.com/articles/-/3022417
http://scan.netsecurity.ne.jp/article/2014/08/11/34665.html
http://internet.watch.impress.co.jp/docs/news/20140818_662457.html
http://www.epochtimes.jp/jp/2014/08/html/d44358.html
http://internet.watch.impress.co.jp/docs/news/20140825_663453.html
http://car.watch.impress.co.jp/docs/news/20140826_663720.html
米ホーム・デポ、国内のほぼ全店舗で顧客データ流出か
JR東日本サイトに不正ログイン
JALで情報流出、マイレージ会員情報など最大75万件の可能性も
UNIXとLinuxの「Bash」シェルに重大なセキュリティホール
佐川急便でも不正ログイン、運輸・物流業界でリスト型攻撃相次ぐ
リクルートHD/ポンパレモールに不正ログイン/被害件数は9,700件超に
4
12
24
25
30
30
http://jp.reuters.com/article/businessNews/idJPKBN0GZ03X20140904
http://www3.nhk.or.jp/news/html/20140912/k10014563011000.html
http://www.itmedia.co.jp/enterprise/articles/1409/24/news153.html
http://japan.cnet.com/news/service/35054245/
http://www.itmedia.co.jp/enterprise/articles/1409/30/news178.html
http://www.bci.co.jp/netkeizai/general/2014/781.html
http://jp.reuters.com/article/worldNews/idJPKCN0JH0IO20141203
http://itpro.nikkeibp.co.jp/atcl/news/14/120902171/
http://www.sankei.com/west/news/141210/wst1412100011-n1.html
http://itpro.nikkeibp.co.jp/atcl/news/14/121202230/
http://www.itmedia.co.jp/enterprise/articles/1412/18/news046.html
DNSソフト開発元サイトがダウン、利用者にマルウェア検査を要請 http://www.itmedia.co.jp/enterprise/articles/1412/25/news108.html
米英情報機関:SIMカード世界最大手に不正侵入か
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
10 11
1. 事案の概況(年表)
・SPEへの攻撃に関連し、NSAが2010年より北朝鮮内部を監視していたと報道。さらにNSAなどによる世界的なSIM情報窃取(ベンダは影響小と発表)やHDDファームへのマルウェア設置など、高度かつ対策困難な諜報活動(Equation Group)の実態が報道された。
・ISILを中心として、双方の攻撃が激化、米軍Twitter乗っ取り、NW紙サイト改ざん、ISILへのAnonymous宣戦布告やISILサイト改ざんが発生した。
・レノボ社PCプリインストールソフトに、暗号通信を阻害する脆弱性の指摘があり問題化した。・2020大会に向けNTTなどがパートナー選定されたほか、セキュリティ強化に向け業界全体が活発化した。内閣がインフラ事業者など48社に情報共有を要請するなどの国全体で強化の方向となった。
・POSを狙う高度なマルウェア「ポセイドン」が報告された。・米Githubへの大規模DDoS攻撃が発生した。
第4四半期
トピック日 URL
1月
2月
サイバー対策で情報共有 政府、48事業者に協力要請
“盗んだアドレス10億件超” 米で3人起訴
個人情報保護法改正案を閣議決定、個人情報の定義は骨子案を踏襲
特定標的サイバー攻撃 3倍以上に急増(警察庁 26年サイバー空間動向報告)
OSS検索システムの脆弱性を狙うサイバー攻撃が発生中
1
7
10
12
16
26
31
3月
・ Shellshockを狙う攻撃、Winshock、SSL3.0の脆弱性(POODLE)発覚、ドメインに対する攻撃、ICANNやISC不正アクセスなど、インターネットやサーバのプラットフォームの問題が継続した。
・ソニーピクチャーズが大規模攻撃により業務停止となった。FBIは北朝鮮からの攻撃と発表したが、セキュリティ専門家からは疑義が投げかけられた。
・米国で大規模な情報漏えい (JPモルガン、米郵政公社、ステープルズなど)が継続した。・医療費通知を装う大規模攻撃が発生、遠隔操作ツールによる情報流出などが多発した。・USB仕様上の脆弱性を突いたBadUSBなど、従来の対策技術では対応困難な攻撃手法が報告された。・サイバーセキュリティ基本法成立、経産省個人情報取り扱いのガイドラインを改定した。・総務省主催第1回「実践的サイバー防御演習(CYDER)」が開催された。
第3四半期
8月
9月
「サイバーセキュリティ基本法」が成立、国の責務を明確化
ファームウェアを勝手に書き換える、USBの危険すぎる脆弱性「BadUSB」
米郵政公社にサイバー攻撃、職員80万人超の個人情報など流出の恐れ
5
6
10
11
26
トピック日
URL
bashの脆弱性を抱えるNASへの攻撃、日本や韓国が標的に
JPモルガン・チェース 顧客情報大量流出
SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
セキュリティベンダの共同作戦で Hidden Lynx のマルウェアに打撃
「実践的サイバー防御演習(CYDER)」の実施
産業制御システムを狙うマルウェア、米ICS-CERTが注意呼び掛け
登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起
3
3
15
17
21
31
10月
11月
トピック日 URL
URL
中国でLINEが不通に 「政府の関与」指摘も
「Baidu IME」の自動アップデート機能で別ソフトがインストールされる障害が発生
Google、ゼロデイ攻撃を防止する「Project Zero」を発表
標的型サイバー攻撃に立ち向かう、IPAのサイバーレスキュー隊が正式発足
日本国内のオープンリゾルバを悪用するDDoS攻撃が発生 --DNSリフレクター攻撃とは異なる手法AndroidにID偽装の脆弱性が存在、アプリ特権を悪用可能に
2
7
16
16
23
30
7月
【参考記事】
【参考記事】トピック日 URL
【参考記事】
イランのハッカー集団、航空・エネルギー会社など攻撃
ソニーのプレステネットワークにシステム障害、「Lizard Squad」の攻撃か
Facebookに新たなサイバー攻撃 日本語広告で偽企業サイト誘導 タグ付け機能使い拡散も 金銭や個人情報要注意
経産省、ベネッセ事件などを受けて個人情報ガイドライン改正
ICANNに不正アクセス、ユーザ情報が流出
3
9
10
12
18
25
12月
GitHubに“史上最大”のDDoS攻撃、中国のネット検閲絡みか http://www.itmedia.co.jp/news/articles/1503/31/news047.html
POSシステムを狙う新手のマルウェア「ポセイドン」出現 http://www.itmedia.co.jp/news/articles/1503/26/news072.html
http://www.nikkei.com/article/DGXLASFS01H20_R00C15A3PE8000/
http://itpro.nikkeibp.co.jp/atcl/news/15/031000875/
http://www3.nhk.or.jp/news/html/20150307/k10010007231000.html
http://www3.nhk.or.jp/news/html/20150312/k10010013011000.html
http://www.security-next.com/056694
日本製「身代金要求型ウイルス」を初確認
韓国原子力発電所へのサイバー攻撃
スマホに「消せないメッセージ」 注意を
韓国原子力発電所へのサイバー攻撃
サイバー攻撃で欧州の大手Bitcoin取引所閉鎖
米軍Twitterアカウントにハッキング、イスラム国支持集団の犯行か
NSA、北朝鮮のネットワークをソニー攻撃前から監視か --2010年より
3
5
7
13
20
26 http://www3.nhk.or.jp/news/html/20150126/k10014958851000.html
http://www.nikkei.com/article/DGXLASDG26HAF_S5A100C1CC1000/
http://www.nikkei.com/article/DGXMZO81660690X00C15A1000000/
http://www.icr.co.jp/newsletter/global_perspective/2015/Gpre2015002.html
http://itpro.nikkeibp.co.jp/atcl/news/15/011300124/
http://japan.cnet.com/news/business/35059190/
不正広告の閲覧で自動感染させる攻撃も、「Flash Player」が18件の脆弱性を修正
サイバーセキュリティ戦略本部発足
ハッカー集団のAnonymous、ISIS攻撃を宣言
極めて高度なサイバー攻撃集団「Equation Group」、セキュリティ企業が報告
SSL通信を盗聴される恐れ、ノートPCに潜む「Superfish」の正体
6
10
10
18
20
21 http://mainichi.jp/select/news/20150221k0000e040213000c.html
http://internet.watch.impress.co.jp/docs/news/20150206_687251.html
http://www.kantei.go.jp/jp/97_abe/actions/201502/10cyber_security.html
http://www.itmedia.co.jp/enterprise/articles/1502/10/news053.html
http://itpro.nikkeibp.co.jp/atcl/news/15/021800571/
http://itpro.nikkeibp.co.jp/atcl/news/15/022000625/
http://itpro.nikkeibp.co.jp/atcl/news/14/110701794/
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/110600093/
http://jp.reuters.com/article/topNews/idJPKCN0IU24020141110
ソニーピクチャーズにサイバー攻撃か、米メディアが報道 http://itpro.nikkeibp.co.jp/atcl/news/14/112602024/
http://www.itmedia.co.jp/enterprise/articles/1410/03/news109.html
http://www.itmedia.co.jp/news/articles/1410/03/news042.html
http://www.itmedia.co.jp/enterprise/articles/1410/15/news054.html
http://www.symantec.com/connect/ja/blogs/hidden-lynx-2
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000085.html
http://www.itmedia.co.jp/enterprise/articles/1410/31/news051.html
https://www.jpcert.or.jp/at/2014/at140044.html
http://www.asahi.com/articles/ASG7262K9G72UHBI01T.html
http://www.forest.impress.co.jp/docs/news/20140707_656766.html
http://japan.cnet.com/news/service/35050933/
http://internet.watch.impress.co.jp/docs/news/20140716_658291.html
http://www.security-next.com/050711
http://www.itmedia.co.jp/enterprise/articles/1407/30/news041.html
露ハッカー集団が12億件の情報窃盗、史上最大の流出か 米社発表
[Black Hat USA 2014 レポート]ファームウェア書き換えでUSBに機能追加
「Suicaポイントクラブ」756アカウントで不正ログイン、一部サービス停止中
中国ハッカー集団、米大手医療機構に侵入 個人情報大量流出
日産、公式サイトで第三者の不正アクセスにより一部のプログラムが改ざん
「PSN」を含むSony Entertainment NetworkのサービスにDDoS攻撃 大規模接続障害が発生、個人情報の漏えいはなし
6
11
18
20
25
26
http://www.afpbb.com/articles/-/3022417
http://scan.netsecurity.ne.jp/article/2014/08/11/34665.html
http://internet.watch.impress.co.jp/docs/news/20140818_662457.html
http://www.epochtimes.jp/jp/2014/08/html/d44358.html
http://internet.watch.impress.co.jp/docs/news/20140825_663453.html
http://car.watch.impress.co.jp/docs/news/20140826_663720.html
米ホーム・デポ、国内のほぼ全店舗で顧客データ流出か
JR東日本サイトに不正ログイン
JALで情報流出、マイレージ会員情報など最大75万件の可能性も
UNIXとLinuxの「Bash」シェルに重大なセキュリティホール
佐川急便でも不正ログイン、運輸・物流業界でリスト型攻撃相次ぐ
リクルートHD/ポンパレモールに不正ログイン/被害件数は9,700件超に
4
12
24
25
30
30
http://jp.reuters.com/article/businessNews/idJPKBN0GZ03X20140904
http://www3.nhk.or.jp/news/html/20140912/k10014563011000.html
http://www.itmedia.co.jp/enterprise/articles/1409/24/news153.html
http://japan.cnet.com/news/service/35054245/
http://www.itmedia.co.jp/enterprise/articles/1409/30/news178.html
http://www.bci.co.jp/netkeizai/general/2014/781.html
http://jp.reuters.com/article/worldNews/idJPKCN0JH0IO20141203
http://itpro.nikkeibp.co.jp/atcl/news/14/120902171/
http://www.sankei.com/west/news/141210/wst1412100011-n1.html
http://itpro.nikkeibp.co.jp/atcl/news/14/121202230/
http://www.itmedia.co.jp/enterprise/articles/1412/18/news046.html
DNSソフト開発元サイトがダウン、利用者にマルウェア検査を要請 http://www.itmedia.co.jp/enterprise/articles/1412/25/news108.html
米英情報機関:SIMカード世界最大手に不正侵入か
サイバーセキュリティ
アニュアルレポート
12 13
NTTPC
OCN
OCN
OCN
IIJ-SECT
IIJ-SECT
NTT-ME
2世の中のサイバーセキュリティ事案
1. 事案の概況(年表)
2014年度の主なNTTグループのセキュリティ関連報道発表 (インシデント、不具合、脆弱性対応) ・2014年度は前年度に引き続きリスト型攻撃が多発、ISPをターゲットとするフィッシング攻撃も継続したほか、DNSへの攻撃によるサービス中断発生、IP-PBXを踏み台とした国際電話発信など、さまざまなサービスにおいてセキュリティ対策の重要性が増した年度だった。
・NTT持株が米国NCFTAへの加盟、NTTデータがサポートが終了しているApache Struts1向けのパッチ一般公開、 NTTコムが総務省主催「実践的サイバー防御演習」を全体統括、NTTナレッジ・スクウェアなどが情報セキュリティ大学院大学、NTTが早稲田大学と共同でセキュリティ人材教育に取り組むなど、NTTグループのセキュリティへの取り組みをアピールした年度でもあった。
2014/4/1
2014/4/1
2014/4/8
2014/4/16
2014/4/18
2014/4/5
2014/4/15
2014/4/16
2014/4/28
2014/4/30
2014/5/7
2014/5/20
2014/5/22
2014/5/28
2014/5/29
2014/5/30
2014/5/30
2014/6/25
2014/7/2
2014/7/18
2014/7/23
2014/9/9
2014/5/1
2014/5/14
2014/5/21
2014/5/23
2014/5/29
2014/5/29
2014/5/30
2014/5/30
2014/6/30
2014/7/18
2014/7/18
2014/7/30
2014/9/30
2014/9/30
2014/12/9
2015/2/12
2014/9/30
2014/9/30
2014/10/21
2015/1/23
2015/3/11
NTTデータ
NTT東日本
NTT西日本
NTT西日本
NTT西日本
NTT東日本
NTT東日本
NTT東日本
NTTスマートコネクト
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズNTTコミュニケーションズ
NTTコミュニケーションズNTTコミュニケーションズ
NTT西日本
NTTデータ
NTTデータ
NTTデータ
NTTファイナンス
NTTファイナンス
NTTぷらら
NTTぷらら
NTTぷらら
IIJmio(Twitter)
NTTぷらら
NTTぷらら
NTTぷらら
NTTドコモ
NTTドコモ
NTTドコモ
NTTドコモ
NTTドコモ
NTTドコモ
NTTスマートコネクト
NTTデータ先端技術
http://www.ntt-west.co.jp/info/support/owabi20140401.html
http://web116.jp/ced/support/news/contents/2014/20140401.html
http://support.ntt.com/maintenance/service/87?maintenanceTroubleTab=trouble#70964_0
http://www.ocn.ne.jp/info/announce/2014/04/08_3.html
http://vps.nttsmc.com/news/20140415.html
https://sect.iij.ad.jp/d/2014/04/157355.html
https://sect.iij.ad.jp/d/2014/04/159520.html
http://www.ntt.com/aboutus/information/info_20140418.html
http://www.nttdata.com/jp/ja/news/information/2014/2014042801.html
http://www.dokodemobank.ne.jp/error.asp
http://www.ntt-finance.co.jp/news/140501.html
http://www.wakwak.com/file/information/507/507_20140507.pdf
http://www.ntt-card.com/news/20140514.shtml
http://www.nttdata.com/jp/ja/news/information/2014/2014052001.html
http://www.ntt-east.co.jp/info/detail/140521_01.html
http://web.arena.ne.jp/support/news/2014/0522.html
http://www.nttdata.com/jp/ja/news/information/2014/2014052301.htmlhttp://flets.com/customer/const_h/t_detail?service=&id=HT00005705&acode=5&bcode=
http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_id=153608http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_id=153561http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_id=153514
https://twitter.com/iijmio/statuses/472534269508591616
http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_id=153656http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_id=153704http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_id=153751
http://www.ocn.ne.jp/info/announce/2014/06/25_1.html
http://www.ocn.ne.jp/info/announce/2014/06/30_1.html
http://www.ntt.com/release/monthNEWS/detail/20140702.html
http://www.ntt.com/aboutus/information/info_20140718.html
http://www.ntt-west.co.jp/info/support/hgw.html
http://www.ntt-east.co.jp/info/detail/140718_01.html
http://www.ntt.com/release/monthNEWS/detail/20140723.html
http://www.ntt.com/release/monthNEWS/detail/20140730.html
https://www.nttdocomo.co.jp/info/notice/page/140909_00_m.html
http://www.intellilink.co.jp/article/column/oss-ex20140930.html
http://id.smt.docomo.ne.jp/src/utility/pc/notice_illegallogin.html
https://www.nttdocomo.co.jp/info/notice/pages/140930_00.htmlhttps://www.nttdocomo.co.jp/info/news_release/2014/09/30_03.htmlhttps://www.nttdocomo.co.jp/info/network/kanto/pages/141020_00_m.htmlhttps://www.nttdocomo.co.jp/info/notice/page/141209_00_m.html
http://www.nttsmc.com/info/h27/20150123.html
https://www.ntt-west.co.jp/info/support/owabi20150212.html
http://www.ntt-west.co.jp/info/support/owabi20150311.html
「Netcommunity SYSTEM αNX typeL」をご利用のお客さまへ
お客さま各位 「Netcommunity SYSTEM αNX typeL」をご利用のお客さまへ
工事・故障情報 Kakeibonがご利用できない状況について
「OCNモバイル ONEプリペイド」が全国のローソン一部店舗にてご購入できない事象について
OpenSSL脆弱性に関するご案内
Heartbleed bugによるサーバ設定の状況変化
Heartbleed bugによる秘密鍵漏えいの現実性について
OpenSSLの脆弱性(Heartbleed)への対応について
Apache S t r u t s 1(アパッチ ストラッツワン)の脆弱性対策向けにTERASOLUNA®Server Framework for Java用パッチを提供
Microsoft社から発表された「IEの脆弱性」について
MyLink IDパスワードの設定に関するお願い
【注意】WAKWAKメールアドレスに関する確認のお願いおよび特定メールアドレスへのメール送信不可事象についてのお知らせ
MyLinkサービスの再開および、ログイン認証の変更について
NTTデータを騙る不審なメールについて
弊社製ビジネスホンなどをご利用のお客さまへ
Movable Typeの利用に関する注意喚起
Apache Struts1(アパッチ ストラッツワン)の脆弱性に対応した無償版TERASOLUNA® Server Framework for Javaを公開
故障発生/回復のお知らせ(宮城県エリア全域)
【故障(復旧)】DNSサーバ
【故障(復旧)】ぷららフォンforフレッツ(ビジネス含)、M・IPフォン故障
【故障(復旧)】メールシステム
本日から配布されているiPad AirおよびiPad mini retinaのキャリアプロファイルのアップデートを適用後(ドコモ16.2)、インターネット共有(テザリング)が利用不可になったとの声をいただいており、また担当者の手元のiPad Airでも事象を確認しています(続く)
【故障(復旧)】DNSサーバ
【故障(復旧)】ぷららフォンforフレッツ(ビジネス含)、M・IPフォン故障
【故障(復旧)】メールシステム
動画サイト「YouTube」が夜間に閲覧しづらい事象について
【回復】動画サイト「YouTube」が夜間に閲覧しづらい事象について
新幹線内の公衆電話サービスにおける一部誤課金について
3月6日に発生したOCNメール故障を踏まえての再発防止策について
ひかり電話対応機器「PR-400NE/RV-440NE/RT-400NE」をご利用のお客さまへ
ひかり電話ルータ「PR-400NE/RV-440NE/RT-400NE」をご利用のお客さまへ
「思い出あんしん保管」お申し込み情報の一部インターネット上における閲覧可能な状態について
ポイントークおよびgooポイントの不正利用について
法人のお客さまの保守運用に係る管理情報の流出に関するお詫び
緊急コラム: bash 脆弱性(CVE-2014-6271)の影響範囲の調査方法について
docomo IDに対する不正ログインについて
docomo IDへの不正ログインに関するお知らせ
報道発表資料 docomo IDへの不正ログインに関するお知らせ
【回復】北海道にてご契約の一部のお客さまにおいて、ドコモの携帯電話がご利用しづらい状況について(2014年10月21日 午前4時30分現在)ドコモからのお知らせ 「F2611」 「M1000」 「NM850iG」をご愛用のお客さまへのお知らせ
クラウドサービスにおける作業ミスによるデータ削除と再発防止について
お客さま情報の一時紛失に関するお詫びとお知らせ
お客さま情報の誤送信に関するお詫びとお知らせ
掲載元 見出し URL掲載日
掲載元 見出し URL掲載日
サイバーセキュリティ
アニュアルレポート
12 13
NTTPC
OCN
OCN
OCN
IIJ-SECT
IIJ-SECT
NTT-ME
2世の中のサイバーセキュリティ事案
1. 事案の概況(年表)
2014年度の主なNTTグループのセキュリティ関連報道発表 (インシデント、不具合、脆弱性対応) ・2014年度は前年度に引き続きリスト型攻撃が多発、ISPをターゲットとするフィッシング攻撃も継続したほか、DNSへの攻撃によるサービス中断発生、IP-PBXを踏み台とした国際電話発信など、さまざまなサービスにおいてセキュリティ対策の重要性が増した年度だった。
・NTT持株が米国NCFTAへの加盟、NTTデータがサポートが終了しているApache Struts1向けのパッチ一般公開、 NTTコムが総務省主催「実践的サイバー防御演習」を全体統括、NTTナレッジ・スクウェアなどが情報セキュリティ大学院大学、NTTが早稲田大学と共同でセキュリティ人材教育に取り組むなど、NTTグループのセキュリティへの取り組みをアピールした年度でもあった。
2014/4/1
2014/4/1
2014/4/8
2014/4/16
2014/4/18
2014/4/5
2014/4/15
2014/4/16
2014/4/28
2014/4/30
2014/5/7
2014/5/20
2014/5/22
2014/5/28
2014/5/29
2014/5/30
2014/5/30
2014/6/25
2014/7/2
2014/7/18
2014/7/23
2014/9/9
2014/5/1
2014/5/14
2014/5/21
2014/5/23
2014/5/29
2014/5/29
2014/5/30
2014/5/30
2014/6/30
2014/7/18
2014/7/18
2014/7/30
2014/9/30
2014/9/30
2014/12/9
2015/2/12
2014/9/30
2014/9/30
2014/10/21
2015/1/23
2015/3/11
NTTデータ
NTT東日本
NTT西日本
NTT西日本
NTT西日本
NTT東日本
NTT東日本
NTT東日本
NTTスマートコネクト
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズNTTコミュニケーションズ
NTTコミュニケーションズNTTコミュニケーションズ
NTT西日本
NTTデータ
NTTデータ
NTTデータ
NTTファイナンス
NTTファイナンス
NTTぷらら
NTTぷらら
NTTぷらら
IIJmio(Twitter)
NTTぷらら
NTTぷらら
NTTぷらら
NTTドコモ
NTTドコモ
NTTドコモ
NTTドコモ
NTTドコモ
NTTドコモ
NTTスマートコネクト
NTTデータ先端技術
http://www.ntt-west.co.jp/info/support/owabi20140401.html
http://web116.jp/ced/support/news/contents/2014/20140401.html
http://support.ntt.com/maintenance/service/87?maintenanceTroubleTab=trouble#70964_0
http://www.ocn.ne.jp/info/announce/2014/04/08_3.html
http://vps.nttsmc.com/news/20140415.html
https://sect.iij.ad.jp/d/2014/04/157355.html
https://sect.iij.ad.jp/d/2014/04/159520.html
http://www.ntt.com/aboutus/information/info_20140418.html
http://www.nttdata.com/jp/ja/news/information/2014/2014042801.html
http://www.dokodemobank.ne.jp/error.asp
http://www.ntt-finance.co.jp/news/140501.html
http://www.wakwak.com/file/information/507/507_20140507.pdf
http://www.ntt-card.com/news/20140514.shtml
http://www.nttdata.com/jp/ja/news/information/2014/2014052001.html
http://www.ntt-east.co.jp/info/detail/140521_01.html
http://web.arena.ne.jp/support/news/2014/0522.html
http://www.nttdata.com/jp/ja/news/information/2014/2014052301.htmlhttp://flets.com/customer/const_h/t_detail?service=&id=HT00005705&acode=5&bcode=
http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_id=153608http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_id=153561http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_id=153514
https://twitter.com/iijmio/statuses/472534269508591616
http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_id=153656http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_id=153704http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_id=153751
http://www.ocn.ne.jp/info/announce/2014/06/25_1.html
http://www.ocn.ne.jp/info/announce/2014/06/30_1.html
http://www.ntt.com/release/monthNEWS/detail/20140702.html
http://www.ntt.com/aboutus/information/info_20140718.html
http://www.ntt-west.co.jp/info/support/hgw.html
http://www.ntt-east.co.jp/info/detail/140718_01.html
http://www.ntt.com/release/monthNEWS/detail/20140723.html
http://www.ntt.com/release/monthNEWS/detail/20140730.html
https://www.nttdocomo.co.jp/info/notice/page/140909_00_m.html
http://www.intellilink.co.jp/article/column/oss-ex20140930.html
http://id.smt.docomo.ne.jp/src/utility/pc/notice_illegallogin.html
https://www.nttdocomo.co.jp/info/notice/pages/140930_00.htmlhttps://www.nttdocomo.co.jp/info/news_release/2014/09/30_03.htmlhttps://www.nttdocomo.co.jp/info/network/kanto/pages/141020_00_m.htmlhttps://www.nttdocomo.co.jp/info/notice/page/141209_00_m.html
http://www.nttsmc.com/info/h27/20150123.html
https://www.ntt-west.co.jp/info/support/owabi20150212.html
http://www.ntt-west.co.jp/info/support/owabi20150311.html
「Netcommunity SYSTEM αNX typeL」をご利用のお客さまへ
お客さま各位 「Netcommunity SYSTEM αNX typeL」をご利用のお客さまへ
工事・故障情報 Kakeibonがご利用できない状況について
「OCNモバイル ONEプリペイド」が全国のローソン一部店舗にてご購入できない事象について
OpenSSL脆弱性に関するご案内
Heartbleed bugによるサーバ設定の状況変化
Heartbleed bugによる秘密鍵漏えいの現実性について
OpenSSLの脆弱性(Heartbleed)への対応について
Apache S t r u t s 1(アパッチ ストラッツワン)の脆弱性対策向けにTERASOLUNA®Server Framework for Java用パッチを提供
Microsoft社から発表された「IEの脆弱性」について
MyLink IDパスワードの設定に関するお願い
【注意】WAKWAKメールアドレスに関する確認のお願いおよび特定メールアドレスへのメール送信不可事象についてのお知らせ
MyLinkサービスの再開および、ログイン認証の変更について
NTTデータを騙る不審なメールについて
弊社製ビジネスホンなどをご利用のお客さまへ
Movable Typeの利用に関する注意喚起
Apache Struts1(アパッチ ストラッツワン)の脆弱性に対応した無償版TERASOLUNA® Server Framework for Javaを公開
故障発生/回復のお知らせ(宮城県エリア全域)
【故障(復旧)】DNSサーバ
【故障(復旧)】ぷららフォンforフレッツ(ビジネス含)、M・IPフォン故障
【故障(復旧)】メールシステム
本日から配布されているiPad AirおよびiPad mini retinaのキャリアプロファイルのアップデートを適用後(ドコモ16.2)、インターネット共有(テザリング)が利用不可になったとの声をいただいており、また担当者の手元のiPad Airでも事象を確認しています(続く)
【故障(復旧)】DNSサーバ
【故障(復旧)】ぷららフォンforフレッツ(ビジネス含)、M・IPフォン故障
【故障(復旧)】メールシステム
動画サイト「YouTube」が夜間に閲覧しづらい事象について
【回復】動画サイト「YouTube」が夜間に閲覧しづらい事象について
新幹線内の公衆電話サービスにおける一部誤課金について
3月6日に発生したOCNメール故障を踏まえての再発防止策について
ひかり電話対応機器「PR-400NE/RV-440NE/RT-400NE」をご利用のお客さまへ
ひかり電話ルータ「PR-400NE/RV-440NE/RT-400NE」をご利用のお客さまへ
「思い出あんしん保管」お申し込み情報の一部インターネット上における閲覧可能な状態について
ポイントークおよびgooポイントの不正利用について
法人のお客さまの保守運用に係る管理情報の流出に関するお詫び
緊急コラム: bash 脆弱性(CVE-2014-6271)の影響範囲の調査方法について
docomo IDに対する不正ログインについて
docomo IDへの不正ログインに関するお知らせ
報道発表資料 docomo IDへの不正ログインに関するお知らせ
【回復】北海道にてご契約の一部のお客さまにおいて、ドコモの携帯電話がご利用しづらい状況について(2014年10月21日 午前4時30分現在)ドコモからのお知らせ 「F2611」 「M1000」 「NM850iG」をご愛用のお客さまへのお知らせ
クラウドサービスにおける作業ミスによるデータ削除と再発防止について
お客さま情報の一時紛失に関するお詫びとお知らせ
お客さま情報の誤送信に関するお詫びとお知らせ
掲載元 見出し URL掲載日
掲載元 見出し URL掲載日
サイバーセキュリティ
アニュアルレポート
14 15
2世の中のサイバーセキュリティ事案
1. 事案の概況(年表)
2014年度の主なNTTグループのセキュリティ関連報道発表 (製品、サービス、取り組み)
NTT東日本
NTT西日本
NTT西日本
NTT西日本
NTT西日本
NTTデータ
NTTデータ
NTTソフトウェア
NTTソフトウェア
NTTソフトウェア
NTTソフトウェア
NTTソフトウェア
NTTソフトウェア
OCN
OCN
OCN
OCN
IIJ
IIJ
IIJ
NTTドコモ・ベンチャーズ
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズNTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTエレクトロニクス
NTTコミュニケーションズ
NTTコミュニケーションズ
WAKWAK
NTTデータ先端技術
NTTデータ先端技術
NTTコムウェア
NTTレゾナント
NTTデータ
NTT
NTTぷらら
NTT
NTT
NTTドコモ
NTTデータ
NTTドコモ
NTTドコモhttp://www.ntt.com/release/monthNEWS/detail/20140421.html
http://www.nttdata.com/jp/ja/news/release/2014/042401.html
http://www.nttdocomo-v.com/p1626/
https://www.ntts.co.jp/whatsnew/2014/140508.html
http://www.ntts.co.jp/whatsnew/2014/140513.html
http://www.iij.ad.jp/news/pressrelease/2014/pdf/IIRVol23.pdf
https://www.ntts.co.jp/whatsnew/2014/140609.html
https://www.nttdocomo.co.jp/info/news_release/2014/06/10_00.html
http://www.ntt.com/release/monthNEWS/detail/20140618.html
http://www.wakwak.com/file/information/510/510_20140620.pdf
http://www.nttcom.co.jp/news/pr14062501.html
http://flets-w.com/topics/android44/
http://www.ntt-west.co.jp/news/1406/140630b.html
http://www.ntt-east.co.jp/release/detail/20140630_04.html
http://pr.goo.ne.jp/detail/1835/
http://www.plala.or.jp/support/info/2014/0718/
http://www.ocn.ne.jp/info/announce/2014/07/18_1.htmlhttp://www.ntt.com/release/monthNEWS/detail/20140724.html
http://www.ntts.co.jp/whatsnew/2014/140724.html
http://www.ntt.co.jp/topics/cautions/index.html
https://www.nttdocomo.co.jp/info/notice/pages/140725_00.htmlhttp://www.iij.ad.jp/news/pressrelease/2014/0822.html
http://www.ntt.com/release/monthNEWS/detail/20140908.htmlhttp://www.ocn.ne.jp/info/announce/2014/09/17_1.htmlhttp://www.ocn.ne.jp/info/announce/2014/09/18_1.htmlhttp://www.ntt.com/aboutus/information/info_20140929.html
http://www.ntt.com/release/monthNEWS/detail/20141002.htmlhttp://www.intellilink.co.jp/all/topics/20141008/nosidecloud.htmlhttp://www.nttdata.com/jp/ja/news/release/2014/101500.html
http://www.ntts.co.jp/whatsnew/2014/141016.html
http://www.ntt.com/release/monthNEWS/detail/20141021.html
http://www.ntt.co.jp/topics/ncfta/index.html
http://www.ntt.co.jp/news2014/1411/141104a.html
http://www.ntt.com/release/monthNEWS/detail/20141104.html
https://www.nttdocomo.co.jp/info/news_release/2014/11/07_00.html
https://flets-w.com/topics/antiphishing/
http://www.ocn.ne.jp/info/announce/2014/11/11_1.htmlhttp://www.iij.ad.jp/news/pressrelease/2014/1125.html
http://www.ntts.co.jp/whatsnew/2014/141127.html
http://www.ntt.com/release/monthNEWS/detail/20141202.html
http://www.intellilink.co.jp/all/topics/20141210/lastline.html
http://www.ntt.com/release/monthNEWS/detail/20141218.html
http://www.ntt-electronics.com/new/information/2014/12/kizunasien-net.html
ブラウザ間のリアルタイム通信技術を活用したチャットサービス 「WebRTC Chat on SkyWay」のトライアル提供開始 ~サーバに履歴を残さず、暗号化されたプライバシー性の高いコミュニケーションを実現~
高度化するサイバー犯罪の捜査技術向上に協力
報道発表資料 CertiVox Ltd.への出資について
体験型訓練機能で標的型攻撃メールへの対応力を向上!「CipherCraft(R)/Mail 標的型メール対策」の新バージョンを5月8日より販売~メールが受信されたあとでも、添付ファイルの閲覧を禁止できる!~機密情報を守るファイル共有ソリューション「WatchDox」、メールソフトと連携する新ラインナップを2014年5月13日より販売開始IIJ、インターネットの最新の技術動向・セキュリティ情報のレポート「Internet Infrastructure Review」Vol.23を発行
~企業の利用ニーズに合わせたセキュリティ強化とカスタマイズが可能~クラウド型データ連携サービスの新ラインナップ「SkyOnDemand Premium Edition」を6月10日より販売開始
報道発表資料 新たな小型認証デバイスを開発
「WideAngleマネージドセキュリティサービス」の総合ログ分析・リスク検知機能を強化し検知率を大幅に向上 ~標的型攻撃を含む未知のセキュリティ脅威に対する検知率500%向上を実現~【注意】ネットバンキングおよびクレジットカード ホームページ利用時におけるウイルス被害予防対策について
「FFRI Limosa」(MITB攻撃対策製品)の独占販売契約を締結し、阿波銀行が採用 ~ネットバンキングの不正送金対策を強化~
「セキュリティ対策ツール for Android」におけるAndroid OS 4.4対応について
「光回線監視サービス」の提供開始について
「光回線監視サービス」の提供開始について
防災関連情報が1つになった“防災ポータルアプリ” 「goo防災アプリ」リリースのお知らせ 【重要】インターネットバンキングを通じた不正送金に関するマルウェア感染にご注意ください
インターネットバンキングにかかわるマルウェア感染者に対する注意喚起について
米国HfS社のクラウドサービス(IaaS)評価レポートにおいてNTTグループが最上位の「Winner’s Circle」評価を獲得
パソコン内の操作をすべて録画する防犯カメラ「iDoperation SC」を7月24日より販売開始
【ご注意下さい!】NTTのホームページを模倣したWebサイトにご注意ください
NTTドコモのコーポレートサイトを模倣したWebサイトにご注意ください
IIJ、インターネットの最新の技術動向・セキュリティ情報のレポート「Internet Infrastructure Review」Vol.24を発行
企業向けIP電話サービスアプリの利便性とセキュリティを強化 ~「050 plus for Biz」と「Arcstar Smart PBX」のWeb電話帳オプションにメッセージ機能などを追加~
OCNメールの一部サービス(プロトコル)提供終了について
パソコンの遠隔操作によるプロバイダーの勧誘トラブルにご注意ください
【注意】第三者の不正アクセスによる国際電話接続にご注意ください
グローバル脅威情報レポート(日本語版)の公開
クラウドサービス利用時に求められるエンドポイントセキュリティを強化
標的型攻撃による被害を最小限に抑制し、速やかに安全な状態へ回復
自社サイトをサイバー攻撃の脅威から守る「TrustShelter」を11月4日から販売開始
総務省主催の「実践的サイバー防御演習(CYDER)」を実施~「サイバー攻撃複合防御モデル・実践演習の実証実験」の一環~
米国「NCFTA」へ加盟し、サイバー犯罪対応力の強化を推進
早稲田大学とNTTがサイバーセキュリティ人材育成に向けた寄附講座を設立~傑出した人材の発掘・育成を目指す~
スイスのセキュリティソリューション事業者 InfoTrust AGの株式取得について
報道発表資料 日本の情報セキュリティ分野の発展と人材育成のために、MOOCサイト「gacco(ガッコ)」で「情報セキュリティ『超』入門」講座を開講
フィッシングサイトにご注意ください!
OCNメールアドレス(OCN ID)のパスワード変更のお願いについて
IIJ、インターネットの最新の技術動向・セキュリティ情報のレポート「Internet Infrastructure Review」Vol.25を発行 ~USBメモリの煩雑な利用管理を効率化しつつ、情報漏えいを防ぐ~ 「Crossway®/データブリッジ」を12月15日から予約受付開始
「WideAngleマネージドセキュリティサービス」において リアルタイムマルウェア検知・防御を実現する新メニューを追加 ~未知・未定義ウイルスの検知から分析・防御対策までを低価格で一元的に提供~
高精度マルウェア検知解析システムの利用による、標的型攻撃対策サービスを強化
日本独自のゼロデイ攻撃対策セキュリティサービス「Zero day Attack Protection」(仮称)を開発・提供 ~NTTコミュニケーションズ、日本マイクロソフト、FFRIがサイバーセキュリティ基本法の成立を受け、セキュリティ対策サービスの開発・提供で協業~災害発生後の避難所での避難者の受け入れと情報共有を少ない手間で迅速化できる防災製品を発売
NTT東日本
NTT東日本
NTTコムウェア
NTTネオメイト
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズ
WebARENA
NTTアイティ
NTT
NTTソフトウェア
NTTドコモ
NTT
NTTドコモ
WAKWAK
NTTドコモ
NTTレゾナント
NTTドコモ
http://www.ntt-west.co.jp/info/support/teiden.html
http://www.ntt-east.co.jp/info/detail/141226_01.html
http://www.ntt-it.co.jp/press/2015/0113/
http://www.ntt.com/aboutus/information/info_20150120.htmlhttp://www.nttdata.com/jp/ja/news/release/2015/012200.html
http://www.ntt.com/release/monthNEWS/detail/20150123.html
http://www.ntt.co.jp/news2015/1501/150126a.html
http://www.ntts.co.jp/whatsnew/2014/150127.html
https://www.nttdocomo.co.jp/mydocomo/info/page/150129_s01.html
http://www.ntt.com/release/monthNEWS/detail/20150130.html
http://www.ntt-neo.com/news/2015/150209.html
http://www.nttid.jp/
https://www.nttdocomo.co.jp/info/notice/page/150303_00_m.html
http://www.nttcom.co.jp/news/pr15030302.html
http://web.arena.ne.jp/support/news/2015/0304_2.htmlhttps://www.nttdocomo.co.jp/info/news_release/2015/03/06_00.html
http://www.ntt.co.jp/news2015/1503/150309b.html
http://www.ntt.com/release/monthNEWS/detail/20150309.html
http://www.wakwak.com/file/information/531/531_20150309.pdf
http://pr.goo.ne.jp/corp/2015/10971/
http://www.ntt-east.co.jp/release/detail/20150310_02.htmlhttp://www.nttdata.com/jp/ja/news/release/2015/032300.htmlhttps://www.nttdocomo.co.jp/service/safety/number_check/index.html
http://www.ntt.com/release/monthNEWS/detail/20150325.html
停電に伴う通信サービスへの影響について
停電に伴う通信サービスへの影響について
評判情報解析サービス「評Ban」に話題まとめ表示機能を新たに搭載 ~類似クチコミをまとめてその日の話題の把握が容易に~
【注意】第三者の不正アクセスによる国際電話接続にご注意ください
マイナンバーの安全かつ簡便な提供・登録に向けた実証実験を開始 ~番号収集代行サービスにおける、電子収集技術の精度および使いやすさを検証~NTT Comはセキュリティアプライアンス世界1位のFortinetと協業しBizホスティング Enterprise Cloud およびWideAngleを強化~ソフトウェア型セキュリティアプライアンスとマネージドセキュリティサービス「WideAngle」を組み合わせ、通信事業者として世界で初めてワンストップ提供~
東京2020オリンピック・パラリンピック競技大会 ゴールドパートナー(第1号)に決定
トークナイゼーションによるデータ保護技術でセールスフォースでのマイナンバー管理業務を簡易に実現!「TrustBind(R)/Tokenization」2015年4月1日より販売開始
不正なアクセス対策としての「2段階認証」ご利用のお願い
平常時にも災害時にも活用できる、デジタルサイネージを核としたスマートフォン向け情報共有サービスの実証実験を開始 ~公衆無線LAN内・公衆無線LAN間の機器通信を、WebSocketとWebRTCを用いて実現~「AQStage 仮想スマートデバイス by remotium(リモティウム)」の提供開始について~remotium社製品を国内で初めてクラウドサービスとして提供~
NTT IDログインサービスの終了について
ドコモからのお知らせ ドコモメール(IMAP) 「セキュリティパスワード」の提供開始について
企業向けマイナンバー管理ソリューションを提供開始 ー強固なセキュリティ対応を低コストでー
【お知らせ】SuitePRO コントロールパネル 暗号化仕様変更について
海上保安庁と「災害時相互協力協定」を締結
災害・危機管理対策本部向け「危機管理情報マネジメント支援システム」を開発 ~つぶやきを活用した「防災アプリ」や「可搬型バックアップ電源」もあわせて開発~
VECとNTTコミュニケーションズ、 製造現場とクラウドをつなげた高セキュリティな「Industry4.1J」実証実験プロジェクトを開始 ~IoTにおけるセキュリティ面の課題を解決する日本版「Industry4.0」で産業界での安全確保・効率化を加速~
メールサーバの一部認証方式廃止のお知らせ
「goo防災アプリ」、「goo地図」に 全国の公衆電話設置場所を掲載開始 ~「goo防災アプリ」では災害時にオフラインでも閲覧可能に~ 「オフィスまるごとサポート スマートデバイスマネジメント」の提供開始について~事業所や学習塾などで配備するモバイル端末などをクラウドで管理・制御~
ATM共同監視アウトソーシングサービスを提供開始~ファーストユーザとして岩手銀行が採用~
あんしんナンバーチェック
NTTコミュニケーションズと大林組、IoTを活用した作業員向け安全管理システムの実証実験を開始 ~クラウドとウェアラブルセンサー“hitoe”を活用して建設現場の安全管理を低コストに実現~
2014/4/21
2014/4/24
2014/5/8
2014/5/23
2014/6/10
2014/5/1
2014/5/13
2014/6/9
2014/6/18
2014/6/20
2014/6/30
2014/6/30
2014/7/18
2014/7/24
2014/7/25
2014/8/22
2014/9/17
2014/9/29
2014/10/8
2014/10/16
2014/10/24
2014/11/4
2014/6/25
2014/6/30
2014/7/10
2014/7/18
2014/7/24
2014/7/25
2014/9/8
2014/9/18
2014/10/2
2014/10/15
2014/10/21
2014/11/4
2014/11/11
2014/11/25
2014/12/2
2015/12/18
2014/11/7
2014/11/11
2014/11/27
2015/12/10
2015/12/24
2014/12/26
2015/1/13
2015/1/22
2015/1/26
2015/1/29
2015/2/9
2015/3/3
2015/3/4
2015/3/9
2014/12/26
2015/1/20
2015/1/23
2015/1/27
2015/1/30
2015/3/2
2015/3/3
2015/3/6
2015/3/9
2015/3/10
2015/3/23
2015/3/9
2015/3/10
2015/3/23
2015/3/25
掲載元 見出し掲載日 URL 掲載元 見出し掲載日 URL
サイバーセキュリティ
アニュアルレポート
14 15
2世の中のサイバーセキュリティ事案
1. 事案の概況(年表)
2014年度の主なNTTグループのセキュリティ関連報道発表 (製品、サービス、取り組み)
NTT東日本
NTT西日本
NTT西日本
NTT西日本
NTT西日本
NTTデータ
NTTデータ
NTTソフトウェア
NTTソフトウェア
NTTソフトウェア
NTTソフトウェア
NTTソフトウェア
NTTソフトウェア
OCN
OCN
OCN
OCN
IIJ
IIJ
IIJ
NTTドコモ・ベンチャーズ
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズNTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTエレクトロニクス
NTTコミュニケーションズ
NTTコミュニケーションズ
WAKWAK
NTTデータ先端技術
NTTデータ先端技術
NTTコムウェア
NTTレゾナント
NTTデータ
NTT
NTTぷらら
NTT
NTT
NTTドコモ
NTTデータ
NTTドコモ
NTTドコモhttp://www.ntt.com/release/monthNEWS/detail/20140421.html
http://www.nttdata.com/jp/ja/news/release/2014/042401.html
http://www.nttdocomo-v.com/p1626/
https://www.ntts.co.jp/whatsnew/2014/140508.html
http://www.ntts.co.jp/whatsnew/2014/140513.html
http://www.iij.ad.jp/news/pressrelease/2014/pdf/IIRVol23.pdf
https://www.ntts.co.jp/whatsnew/2014/140609.html
https://www.nttdocomo.co.jp/info/news_release/2014/06/10_00.html
http://www.ntt.com/release/monthNEWS/detail/20140618.html
http://www.wakwak.com/file/information/510/510_20140620.pdf
http://www.nttcom.co.jp/news/pr14062501.html
http://flets-w.com/topics/android44/
http://www.ntt-west.co.jp/news/1406/140630b.html
http://www.ntt-east.co.jp/release/detail/20140630_04.html
http://pr.goo.ne.jp/detail/1835/
http://www.plala.or.jp/support/info/2014/0718/
http://www.ocn.ne.jp/info/announce/2014/07/18_1.htmlhttp://www.ntt.com/release/monthNEWS/detail/20140724.html
http://www.ntts.co.jp/whatsnew/2014/140724.html
http://www.ntt.co.jp/topics/cautions/index.html
https://www.nttdocomo.co.jp/info/notice/pages/140725_00.htmlhttp://www.iij.ad.jp/news/pressrelease/2014/0822.html
http://www.ntt.com/release/monthNEWS/detail/20140908.htmlhttp://www.ocn.ne.jp/info/announce/2014/09/17_1.htmlhttp://www.ocn.ne.jp/info/announce/2014/09/18_1.htmlhttp://www.ntt.com/aboutus/information/info_20140929.html
http://www.ntt.com/release/monthNEWS/detail/20141002.htmlhttp://www.intellilink.co.jp/all/topics/20141008/nosidecloud.htmlhttp://www.nttdata.com/jp/ja/news/release/2014/101500.html
http://www.ntts.co.jp/whatsnew/2014/141016.html
http://www.ntt.com/release/monthNEWS/detail/20141021.html
http://www.ntt.co.jp/topics/ncfta/index.html
http://www.ntt.co.jp/news2014/1411/141104a.html
http://www.ntt.com/release/monthNEWS/detail/20141104.html
https://www.nttdocomo.co.jp/info/news_release/2014/11/07_00.html
https://flets-w.com/topics/antiphishing/
http://www.ocn.ne.jp/info/announce/2014/11/11_1.htmlhttp://www.iij.ad.jp/news/pressrelease/2014/1125.html
http://www.ntts.co.jp/whatsnew/2014/141127.html
http://www.ntt.com/release/monthNEWS/detail/20141202.html
http://www.intellilink.co.jp/all/topics/20141210/lastline.html
http://www.ntt.com/release/monthNEWS/detail/20141218.html
http://www.ntt-electronics.com/new/information/2014/12/kizunasien-net.html
ブラウザ間のリアルタイム通信技術を活用したチャットサービス 「WebRTC Chat on SkyWay」のトライアル提供開始 ~サーバに履歴を残さず、暗号化されたプライバシー性の高いコミュニケーションを実現~
高度化するサイバー犯罪の捜査技術向上に協力
報道発表資料 CertiVox Ltd.への出資について
体験型訓練機能で標的型攻撃メールへの対応力を向上!「CipherCraft(R)/Mail 標的型メール対策」の新バージョンを5月8日より販売~メールが受信されたあとでも、添付ファイルの閲覧を禁止できる!~機密情報を守るファイル共有ソリューション「WatchDox」、メールソフトと連携する新ラインナップを2014年5月13日より販売開始IIJ、インターネットの最新の技術動向・セキュリティ情報のレポート「Internet Infrastructure Review」Vol.23を発行
~企業の利用ニーズに合わせたセキュリティ強化とカスタマイズが可能~クラウド型データ連携サービスの新ラインナップ「SkyOnDemand Premium Edition」を6月10日より販売開始
報道発表資料 新たな小型認証デバイスを開発
「WideAngleマネージドセキュリティサービス」の総合ログ分析・リスク検知機能を強化し検知率を大幅に向上 ~標的型攻撃を含む未知のセキュリティ脅威に対する検知率500%向上を実現~【注意】ネットバンキングおよびクレジットカード ホームページ利用時におけるウイルス被害予防対策について
「FFRI Limosa」(MITB攻撃対策製品)の独占販売契約を締結し、阿波銀行が採用 ~ネットバンキングの不正送金対策を強化~
「セキュリティ対策ツール for Android」におけるAndroid OS 4.4対応について
「光回線監視サービス」の提供開始について
「光回線監視サービス」の提供開始について
防災関連情報が1つになった“防災ポータルアプリ” 「goo防災アプリ」リリースのお知らせ 【重要】インターネットバンキングを通じた不正送金に関するマルウェア感染にご注意ください
インターネットバンキングにかかわるマルウェア感染者に対する注意喚起について
米国HfS社のクラウドサービス(IaaS)評価レポートにおいてNTTグループが最上位の「Winner’s Circle」評価を獲得
パソコン内の操作をすべて録画する防犯カメラ「iDoperation SC」を7月24日より販売開始
【ご注意下さい!】NTTのホームページを模倣したWebサイトにご注意ください
NTTドコモのコーポレートサイトを模倣したWebサイトにご注意ください
IIJ、インターネットの最新の技術動向・セキュリティ情報のレポート「Internet Infrastructure Review」Vol.24を発行
企業向けIP電話サービスアプリの利便性とセキュリティを強化 ~「050 plus for Biz」と「Arcstar Smart PBX」のWeb電話帳オプションにメッセージ機能などを追加~
OCNメールの一部サービス(プロトコル)提供終了について
パソコンの遠隔操作によるプロバイダーの勧誘トラブルにご注意ください
【注意】第三者の不正アクセスによる国際電話接続にご注意ください
グローバル脅威情報レポート(日本語版)の公開
クラウドサービス利用時に求められるエンドポイントセキュリティを強化
標的型攻撃による被害を最小限に抑制し、速やかに安全な状態へ回復
自社サイトをサイバー攻撃の脅威から守る「TrustShelter」を11月4日から販売開始
総務省主催の「実践的サイバー防御演習(CYDER)」を実施~「サイバー攻撃複合防御モデル・実践演習の実証実験」の一環~
米国「NCFTA」へ加盟し、サイバー犯罪対応力の強化を推進
早稲田大学とNTTがサイバーセキュリティ人材育成に向けた寄附講座を設立~傑出した人材の発掘・育成を目指す~
スイスのセキュリティソリューション事業者 InfoTrust AGの株式取得について
報道発表資料 日本の情報セキュリティ分野の発展と人材育成のために、MOOCサイト「gacco(ガッコ)」で「情報セキュリティ『超』入門」講座を開講
フィッシングサイトにご注意ください!
OCNメールアドレス(OCN ID)のパスワード変更のお願いについて
IIJ、インターネットの最新の技術動向・セキュリティ情報のレポート「Internet Infrastructure Review」Vol.25を発行 ~USBメモリの煩雑な利用管理を効率化しつつ、情報漏えいを防ぐ~ 「Crossway®/データブリッジ」を12月15日から予約受付開始
「WideAngleマネージドセキュリティサービス」において リアルタイムマルウェア検知・防御を実現する新メニューを追加 ~未知・未定義ウイルスの検知から分析・防御対策までを低価格で一元的に提供~
高精度マルウェア検知解析システムの利用による、標的型攻撃対策サービスを強化
日本独自のゼロデイ攻撃対策セキュリティサービス「Zero day Attack Protection」(仮称)を開発・提供 ~NTTコミュニケーションズ、日本マイクロソフト、FFRIがサイバーセキュリティ基本法の成立を受け、セキュリティ対策サービスの開発・提供で協業~災害発生後の避難所での避難者の受け入れと情報共有を少ない手間で迅速化できる防災製品を発売
NTT東日本
NTT東日本
NTTコムウェア
NTTネオメイト
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズ
NTTコミュニケーションズ
WebARENA
NTTアイティ
NTT
NTTソフトウェア
NTTドコモ
NTT
NTTドコモ
WAKWAK
NTTドコモ
NTTレゾナント
NTTドコモ
http://www.ntt-west.co.jp/info/support/teiden.html
http://www.ntt-east.co.jp/info/detail/141226_01.html
http://www.ntt-it.co.jp/press/2015/0113/
http://www.ntt.com/aboutus/information/info_20150120.htmlhttp://www.nttdata.com/jp/ja/news/release/2015/012200.html
http://www.ntt.com/release/monthNEWS/detail/20150123.html
http://www.ntt.co.jp/news2015/1501/150126a.html
http://www.ntts.co.jp/whatsnew/2014/150127.html
https://www.nttdocomo.co.jp/mydocomo/info/page/150129_s01.html
http://www.ntt.com/release/monthNEWS/detail/20150130.html
http://www.ntt-neo.com/news/2015/150209.html
http://www.nttid.jp/
https://www.nttdocomo.co.jp/info/notice/page/150303_00_m.html
http://www.nttcom.co.jp/news/pr15030302.html
http://web.arena.ne.jp/support/news/2015/0304_2.htmlhttps://www.nttdocomo.co.jp/info/news_release/2015/03/06_00.html
http://www.ntt.co.jp/news2015/1503/150309b.html
http://www.ntt.com/release/monthNEWS/detail/20150309.html
http://www.wakwak.com/file/information/531/531_20150309.pdf
http://pr.goo.ne.jp/corp/2015/10971/
http://www.ntt-east.co.jp/release/detail/20150310_02.htmlhttp://www.nttdata.com/jp/ja/news/release/2015/032300.htmlhttps://www.nttdocomo.co.jp/service/safety/number_check/index.html
http://www.ntt.com/release/monthNEWS/detail/20150325.html
停電に伴う通信サービスへの影響について
停電に伴う通信サービスへの影響について
評判情報解析サービス「評Ban」に話題まとめ表示機能を新たに搭載 ~類似クチコミをまとめてその日の話題の把握が容易に~
【注意】第三者の不正アクセスによる国際電話接続にご注意ください
マイナンバーの安全かつ簡便な提供・登録に向けた実証実験を開始 ~番号収集代行サービスにおける、電子収集技術の精度および使いやすさを検証~NTT Comはセキュリティアプライアンス世界1位のFortinetと協業しBizホスティング Enterprise Cloud およびWideAngleを強化~ソフトウェア型セキュリティアプライアンスとマネージドセキュリティサービス「WideAngle」を組み合わせ、通信事業者として世界で初めてワンストップ提供~
東京2020オリンピック・パラリンピック競技大会 ゴールドパートナー(第1号)に決定
トークナイゼーションによるデータ保護技術でセールスフォースでのマイナンバー管理業務を簡易に実現!「TrustBind(R)/Tokenization」2015年4月1日より販売開始
不正なアクセス対策としての「2段階認証」ご利用のお願い
平常時にも災害時にも活用できる、デジタルサイネージを核としたスマートフォン向け情報共有サービスの実証実験を開始 ~公衆無線LAN内・公衆無線LAN間の機器通信を、WebSocketとWebRTCを用いて実現~「AQStage 仮想スマートデバイス by remotium(リモティウム)」の提供開始について~remotium社製品を国内で初めてクラウドサービスとして提供~
NTT IDログインサービスの終了について
ドコモからのお知らせ ドコモメール(IMAP) 「セキュリティパスワード」の提供開始について
企業向けマイナンバー管理ソリューションを提供開始 ー強固なセキュリティ対応を低コストでー
【お知らせ】SuitePRO コントロールパネル 暗号化仕様変更について
海上保安庁と「災害時相互協力協定」を締結
災害・危機管理対策本部向け「危機管理情報マネジメント支援システム」を開発 ~つぶやきを活用した「防災アプリ」や「可搬型バックアップ電源」もあわせて開発~
VECとNTTコミュニケーションズ、 製造現場とクラウドをつなげた高セキュリティな「Industry4.1J」実証実験プロジェクトを開始 ~IoTにおけるセキュリティ面の課題を解決する日本版「Industry4.0」で産業界での安全確保・効率化を加速~
メールサーバの一部認証方式廃止のお知らせ
「goo防災アプリ」、「goo地図」に 全国の公衆電話設置場所を掲載開始 ~「goo防災アプリ」では災害時にオフラインでも閲覧可能に~ 「オフィスまるごとサポート スマートデバイスマネジメント」の提供開始について~事業所や学習塾などで配備するモバイル端末などをクラウドで管理・制御~
ATM共同監視アウトソーシングサービスを提供開始~ファーストユーザとして岩手銀行が採用~
あんしんナンバーチェック
NTTコミュニケーションズと大林組、IoTを活用した作業員向け安全管理システムの実証実験を開始 ~クラウドとウェアラブルセンサー“hitoe”を活用して建設現場の安全管理を低コストに実現~
2014/4/21
2014/4/24
2014/5/8
2014/5/23
2014/6/10
2014/5/1
2014/5/13
2014/6/9
2014/6/18
2014/6/20
2014/6/30
2014/6/30
2014/7/18
2014/7/24
2014/7/25
2014/8/22
2014/9/17
2014/9/29
2014/10/8
2014/10/16
2014/10/24
2014/11/4
2014/6/25
2014/6/30
2014/7/10
2014/7/18
2014/7/24
2014/7/25
2014/9/8
2014/9/18
2014/10/2
2014/10/15
2014/10/21
2014/11/4
2014/11/11
2014/11/25
2014/12/2
2015/12/18
2014/11/7
2014/11/11
2014/11/27
2015/12/10
2015/12/24
2014/12/26
2015/1/13
2015/1/22
2015/1/26
2015/1/29
2015/2/9
2015/3/3
2015/3/4
2015/3/9
2014/12/26
2015/1/20
2015/1/23
2015/1/27
2015/1/30
2015/3/2
2015/3/3
2015/3/6
2015/3/9
2015/3/10
2015/3/23
2015/3/9
2015/3/10
2015/3/23
2015/3/25
掲載元 見出し掲載日 URL 掲載元 見出し掲載日 URL
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
16 17
概要
背景
2014年度は深刻な脆弱性が多発した。特に話題になった脆弱性を紹介する。
❶ 深刻な脆弱性
●Heartbleed (OpenSSL)●Shellshock●POODLE●iOSの脆弱性(WireLurker、MasqueAttack)●CMSの脆弱性(Drupal、SoakSoak、CryptoPHP)●デバイスの脆弱性(MisfortuneCookie、Insecam)
・ソフトウェアのセキュリティホールである脆弱性はバグ同様必ず見つかるものである。・非常によく使われているソフトウェアで致命的な脆弱性が発見されるケースが増えている。・いきなりサイバー攻撃で使用されゼロデイとして認知されるものも多くなってきている。・公開直後に攻撃が開始されることもある。・モバイル端末のうちiOS端末は、脱獄(jailbreak)していなければ安全だと考えられていた。・従来脆弱性は善意による発見と報告のみであったが、近年ZDI(Zero Day Initiative)、ブラックマーケットに見られる ように、発見した脆弱性に対して対価が支払われるようになってきた。・さらに2013年からは、MicroSoft、Google、FacebookなどのTech Giantsと呼ばれる大企業が自社の製品、サービス の脆弱性の報告に対して褒賞金を支払うバグ褒賞プログラムを開始した。
Heartbleed(OpenSSL)
●Heartbleed脆弱性について
・2014年4月7日、OpenSSLがCVE-2014-0160(Heartbleed)の脆弱性を公表するとともに修正版であるOpenSSL 1.0.1gをリリースした。
・フィンランドのセキュリティ企業 Codenomicon社のエンジニアがこの脆弱性を発見したとのこと。
・この脆弱性は死活監視機能であるSSL Heartbeat機能の境界チェック処理の不備が原因で、システムのメモリ内の情報がリモートアクセスを行う第3者に漏れてしまうというもの。タイミングによっては重要な情報、さまざまな個人情報はもちろんのこと、秘密鍵も漏えいする可能性がある。
・対象はOpenSSL 1.0.1 ~ 1.0.1f、および1.0.2-beta ~1.0.2-beta1、各々それ以前の版はHeartbeat機能の実装がないため影響を受けない。
・英Netcraft社によると約50万台のWebサーバがこの脆弱性の影響を受けるとのこと。
●Heartbleed脆弱性対応について
・この脆弱性を突く攻撃は、通常のログに痕跡が残らない。また長期にわたって存在していた脆弱性であるため攻撃を受けたことを前提に対処する必要があった。
・サイト管理者による脆弱性への代表的な対策手順は以下の通り
① OpenSSLの版を1.0.1gに上げる ② 秘密鍵を新たに作成する ③ サーバ証明書の新規取得 ④ 古いサーバ証明書の失効 ⑤ サイト利用者のID/パスワードの変更を促す・手順の①については、ほかにワークアラウンドとして
Heartbeat機能の停止、IPSによる攻撃パケットの遮断、ほか のSSL実装に移行などがある。・この脆弱性をついた攻撃で話題となった件はカナダ歳入庁に
対して行われた攻撃で、カナダ人納税者900人のデータが盗まれたとのこと。カナダ歳入庁は脆弱性が明らかになった即日サーバを停止していたが、すでにデータは盗まれた後であったとのこと。なお、カナダ国家警察RCMPは2014年4月16日に19歳の学生をこの件で逮捕している。
●IPAのOpenSSL の脆弱性対策について参照:https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
●Heartbleed脆弱性を説明する漫画参照:http://www.f-secure.com/weblog/archives/00002696.html
2. 事案の分析本節では2014年度の重要なトピックとして、以下の6テーマについて分析を行う。
① 深刻な脆弱性② 大規模なサイバー攻撃と情報流出③ モバイルの安全性
④ プライバシーの扱い⑤ 各国の動き⑥ 新しい脅威
脆弱性
想定被害1
「OpenSSL」には、情報漏えいの脆弱性が存在します。脆弱性を悪用されることで、ウェブサイト内の情報が漏えいすることがあります。
漏えいした情報(秘密鍵)を悪用して、攻撃者は本物サイトと見分けがつかない偽サイトを作る可能性があります。偽サイトを通じて、パスワードがさらに漏えいすることがあります。
想定被害2
漏えいしたパスワードを悪用して、攻撃者は利用者になりすまして本物サイトにアクセスできます。サイトがショッピングサイトなどであれば、金銭被害の恐れもあります。
インターネットに繋がっていれば攻撃可能。
何度でも繰り返し攻撃できる。
通常の設定では、攻撃を受けてもログなどに残らない。
攻撃リクエスト
脆弱な「OpenSSL」が稼働している本物サイト
メモリ内データの一部が漏えい。・ウェブサイトの秘密鍵・正規利用者のIDやパワード・クレジットカード番号 …など
偽サイトを通じてパスワードを入手
突然、身に覚えのない請求を受ける。
ログイン後、商品の購入を指示、
本物サイトと全く見分けがつかない。
入手したパスワードを悪用してログイン。
ログインページ
ログインページ
攻撃者が用意した偽サイト
パスワード
パスワード
購入指示
請求
パスワード
パスワード
本物サイト
見分けがつかないため、偽サイトにログインし、攻撃者にパスワードが漏えいする。
攻撃者
攻撃者
攻撃者
正規利用者
正規利用者
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
16 17
概要
背景
2014年度は深刻な脆弱性が多発した。特に話題になった脆弱性を紹介する。
❶ 深刻な脆弱性
●Heartbleed (OpenSSL)●Shellshock●POODLE●iOSの脆弱性(WireLurker、MasqueAttack)●CMSの脆弱性(Drupal、SoakSoak、CryptoPHP)●デバイスの脆弱性(MisfortuneCookie、Insecam)
・ソフトウェアのセキュリティホールである脆弱性はバグ同様必ず見つかるものである。・非常によく使われているソフトウェアで致命的な脆弱性が発見されるケースが増えている。・いきなりサイバー攻撃で使用されゼロデイとして認知されるものも多くなってきている。・公開直後に攻撃が開始されることもある。・モバイル端末のうちiOS端末は、脱獄(jailbreak)していなければ安全だと考えられていた。・従来脆弱性は善意による発見と報告のみであったが、近年ZDI(Zero Day Initiative)、ブラックマーケットに見られる ように、発見した脆弱性に対して対価が支払われるようになってきた。・さらに2013年からは、MicroSoft、Google、FacebookなどのTech Giantsと呼ばれる大企業が自社の製品、サービス の脆弱性の報告に対して褒賞金を支払うバグ褒賞プログラムを開始した。
Heartbleed(OpenSSL)
●Heartbleed脆弱性について
・2014年4月7日、OpenSSLがCVE-2014-0160(Heartbleed)の脆弱性を公表するとともに修正版であるOpenSSL 1.0.1gをリリースした。
・フィンランドのセキュリティ企業 Codenomicon社のエンジニアがこの脆弱性を発見したとのこと。
・この脆弱性は死活監視機能であるSSL Heartbeat機能の境界チェック処理の不備が原因で、システムのメモリ内の情報がリモートアクセスを行う第3者に漏れてしまうというもの。タイミングによっては重要な情報、さまざまな個人情報はもちろんのこと、秘密鍵も漏えいする可能性がある。
・対象はOpenSSL 1.0.1 ~ 1.0.1f、および1.0.2-beta ~1.0.2-beta1、各々それ以前の版はHeartbeat機能の実装がないため影響を受けない。
・英Netcraft社によると約50万台のWebサーバがこの脆弱性の影響を受けるとのこと。
●Heartbleed脆弱性対応について
・この脆弱性を突く攻撃は、通常のログに痕跡が残らない。また長期にわたって存在していた脆弱性であるため攻撃を受けたことを前提に対処する必要があった。
・サイト管理者による脆弱性への代表的な対策手順は以下の通り
① OpenSSLの版を1.0.1gに上げる ② 秘密鍵を新たに作成する ③ サーバ証明書の新規取得 ④ 古いサーバ証明書の失効 ⑤ サイト利用者のID/パスワードの変更を促す・手順の①については、ほかにワークアラウンドとして
Heartbeat機能の停止、IPSによる攻撃パケットの遮断、ほか のSSL実装に移行などがある。・この脆弱性をついた攻撃で話題となった件はカナダ歳入庁に
対して行われた攻撃で、カナダ人納税者900人のデータが盗まれたとのこと。カナダ歳入庁は脆弱性が明らかになった即日サーバを停止していたが、すでにデータは盗まれた後であったとのこと。なお、カナダ国家警察RCMPは2014年4月16日に19歳の学生をこの件で逮捕している。
●IPAのOpenSSL の脆弱性対策について参照:https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
●Heartbleed脆弱性を説明する漫画参照:http://www.f-secure.com/weblog/archives/00002696.html
2. 事案の分析本節では2014年度の重要なトピックとして、以下の6テーマについて分析を行う。
① 深刻な脆弱性② 大規模なサイバー攻撃と情報流出③ モバイルの安全性
④ プライバシーの扱い⑤ 各国の動き⑥ 新しい脅威
脆弱性
想定被害1
「OpenSSL」には、情報漏えいの脆弱性が存在します。脆弱性を悪用されることで、ウェブサイト内の情報が漏えいすることがあります。
漏えいした情報(秘密鍵)を悪用して、攻撃者は本物サイトと見分けがつかない偽サイトを作る可能性があります。偽サイトを通じて、パスワードがさらに漏えいすることがあります。
想定被害2
漏えいしたパスワードを悪用して、攻撃者は利用者になりすまして本物サイトにアクセスできます。サイトがショッピングサイトなどであれば、金銭被害の恐れもあります。
インターネットに繋がっていれば攻撃可能。
何度でも繰り返し攻撃できる。
通常の設定では、攻撃を受けてもログなどに残らない。
攻撃リクエスト
脆弱な「OpenSSL」が稼働している本物サイト
メモリ内データの一部が漏えい。・ウェブサイトの秘密鍵・正規利用者のIDやパワード・クレジットカード番号 …など
偽サイトを通じてパスワードを入手
突然、身に覚えのない請求を受ける。
ログイン後、商品の購入を指示、
本物サイトと全く見分けがつかない。
入手したパスワードを悪用してログイン。
ログインページ
ログインページ
攻撃者が用意した偽サイト
パスワード
パスワード
購入指示
請求
パスワード
パスワード
本物サイト
見分けがつかないため、偽サイトにログインし、攻撃者にパスワードが漏えいする。
攻撃者
攻撃者
攻撃者
正規利用者
正規利用者
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
18 19
2. 事案の分析 - ❶ 深刻な脆弱性
●Heartbleed脆弱性のその他について ・この脆弱性に対する反応はすさまじく対応は一斉に始められ、CAビジネスのComodoには新しいサーバ証明書の申請が従来の10~ 12倍も来た。
・OpenSSLを含む製品を提供しているベンダも次々とアドバイザリとそれに続くパッチをリリースした。
・ブラウザでは、Heartbleedの脆弱性の有無が分かる拡張機能がすぐ用意された。・TorはHeartbleedに対して脆弱なExitノードのブラックリスト化を開始した。・モバイルAPへの影響についてもアドバイザリがリリースされた。・一方、一般ユーザも多くが関心を寄せることとなりパニック状態になることが懸念されたため、ENISAやSANSほか、多くのセキュリティ関連機関は一般ユーザ向けに具体的な対処を含めた解説を行うアドバイザリを発行した。
・英Netcraft社からの対応状況に関する2014年5月9日の報告によると、全体の43%がSSLサーバ証明書の再発行を行っているが、古い証明書を失効させ、新しい秘密鍵を使用しているのは全体の14%のみであったとのこと。
・今回の対策はパッチを充てるのみで十分というわけではない、対処手順が複雑な場合の対処は正しく行われるか確認する必要がある。
・なお、大規模パケット収集や政府からの秘密鍵公開要請などへの対策としてPFS(Perfect Forward Secrecy)の有効性が話題になっていたが、今回の脆弱性に起因した秘密鍵の漏えいのリスクに対する解としても再度注目を浴びることになり、大手のAPサービス提供者はPFSの採用を開始した。
●The Heartbleed Bugのロゴ参照:http://heartbleed.com/
●Shellshockの脆弱性について ・2014年9月24日、脆弱性(CVE-2014-6271)がパッチとともに公開される。
・脆弱性はLinuxで使用するシェルの一つであるGNU bash(Bourne-Again Shell)において発見された。
・当脆弱性は環境変数の処理の脆弱性で、リモートから任意のコードが実行可能であるとのこと。
・多くのLinuxディストリビューションがデフォルトのシェルとして、GNU bashを使用している。
・Webサーバ上で動作するCGIプログラムや Linuxベースの組み込みシステムなど、さまざまなケースでbashシェルが利用されていることが想定される。
・非常に広い範囲に影響を及ぼす脆弱性であることが認識される。 ●Shellshockの脆弱性攻撃イメージ
参照:https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html
Shellshock
●脆弱性公開のタイムライン ・2014年9月24日、脆弱性の公開に伴い、US-CERTから速報の注意喚起が発せられる。
・同日、リリースされたパッチが不十分であることが明らかになり、同日改めてCVE番号(CVE-2014-7169)が割り当てられる。
・2014年9月25日、US-CERTから改めてアラート(TA14- 268A)が発せられる。・同日、 JPCERT/CCからも国内向けに注意喚起が発せられる。・2014年9月26日、関連する脆弱性CVE-2014-7186領域外のメモリアクセスによる脆弱性、CVE-2014-7187境界条件の判定(off-by-one)による脆弱性が明らかになる。
・2014年9月27日、新たな関連する脆弱性(CVE-2014-6277 信頼できないポインタの参照、CVE-2014-6278環境変数の処理に関する脆弱性の修正漏れ)が報告される。
・2014年10月1日、PCI SSC(Payment Card Industry Security Standards Council)は、まだ小売店業界では攻撃が確認されていないが、ソフトウェアアップデートがリリースされたら速やかに適用することを小売店業界に推奨した。
・影響の有無の確認とパッチのリリースが迅速に進められた。一例として以下に記す。
●US-CERTのShellshock脆弱性についてのアラート「Alert(TA14-268A)」参照:https://www.us-cert.gov/ncas/alerts/TA14-268A
Apple OS Xでは、デフォルトでは安全である旨アナウンスした後、2014年9月29日bash脆弱性のためのパッチをリリースした。CISCO、2014年9月30日時点で脆弱な製品の特定を進めており、71製品が脆弱で38製品が影響を受けない、残り168製品については調査中とアナウンスした。Oracleでは、2014年9月30日時点で51製品が脆弱であることを確認しており、内9製品についてはパッチのリリースを行った。
●Shellshock脆弱性を狙った攻撃
・2014年9月26日、 Incapsula社からの報告ですぐに攻撃が開始されていることが明らかになる。・2014年9月29日、 Incapsula社からの追加報告では25日AM6時から同社のWAFは、4,115以上のドメインに対する217,089以上の攻撃を検知したとのこと、また29日には1時間に1,970攻撃にまで達したとのこと、攻撃の内訳は、 スキャニングが全体の68.27%、リモートアクセスの試みが18.37%、マルウェア感染(DDoS用のBotにする)16.64%であったとのこと。
・FireEye社が2014年9月28日に投稿したブログポストによると同社が確認した攻撃は、Reverse Shell接続を試みるPerl Scriptを用いるもの、DDo Sクライアントおよびバックドア機能を持つTsunami/Kaitenを用いるもの、IRC経由で不正サイトに接続するPerl.Shellbotなど多岐にわたるとのこと。
・その他トレンドマイクロからは、2014年9月26日にこの脆弱性を利用するマルウェア検体(ELF_BASHWOOP.A)に関する情報が公開され、またクライアント端末、サーバ、IoTごとの想定される攻撃シナリオなども公開された。
・2014年10月1日のFireEyeからのブログによると、NASへの攻撃が確認されたとのこと。
・DHCPサーバを通じた攻撃などのほかの攻撃方法についての可能性も示唆された。
・2014年10月24日のSANS ISCのブログによると、SMTPへの攻撃が確認されたとのこと。
●Shellshock脆弱性への攻撃内容内訳参照:http://www.incapsula.com/blog/shellshock- bash-vulnerability-aftermath.html
Scanners Reflected DDoS Shells DDoS Malware IRC Bots
0.70%
68.27%
0.02%
12.64%
18.37%
脆弱性 「bash」には、環境変数の処理に問題があり、任意のOSコマンドが実行される脆弱性が存在します。
想定される攻撃例
CGI経由でOSコマンドを実行するウェブアプリケーションが動作している場合、遠隔から任意のOSコマンドを実行される可能性があります。
1 リクエストを送信 2 ウェブアプリケーションがCGI経由で 予め決められたOSコマンドを実行
攻撃リクエスト
脆弱な「bash」を含むウェブサーバ
3 OSコマンドが「bash」により実行さ れた際に、攻撃リクエストに含まれた OSコマンドも実行してしまう
攻撃者が指定したOSコマンドが実行された結果、ウェブサーバの動作権限の範囲で・情報の搾取・ファイルの作成、編集、削除・ウェブサーバへの過負荷によるパフォーマンス低下 …などの被害が発生する可能性
攻撃者
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
18 19
2. 事案の分析 - ❶ 深刻な脆弱性
●Heartbleed脆弱性のその他について ・この脆弱性に対する反応はすさまじく対応は一斉に始められ、CAビジネスのComodoには新しいサーバ証明書の申請が従来の10~ 12倍も来た。
・OpenSSLを含む製品を提供しているベンダも次々とアドバイザリとそれに続くパッチをリリースした。
・ブラウザでは、Heartbleedの脆弱性の有無が分かる拡張機能がすぐ用意された。・TorはHeartbleedに対して脆弱なExitノードのブラックリスト化を開始した。・モバイルAPへの影響についてもアドバイザリがリリースされた。・一方、一般ユーザも多くが関心を寄せることとなりパニック状態になることが懸念されたため、ENISAやSANSほか、多くのセキュリティ関連機関は一般ユーザ向けに具体的な対処を含めた解説を行うアドバイザリを発行した。
・英Netcraft社からの対応状況に関する2014年5月9日の報告によると、全体の43%がSSLサーバ証明書の再発行を行っているが、古い証明書を失効させ、新しい秘密鍵を使用しているのは全体の14%のみであったとのこと。
・今回の対策はパッチを充てるのみで十分というわけではない、対処手順が複雑な場合の対処は正しく行われるか確認する必要がある。
・なお、大規模パケット収集や政府からの秘密鍵公開要請などへの対策としてPFS(Perfect Forward Secrecy)の有効性が話題になっていたが、今回の脆弱性に起因した秘密鍵の漏えいのリスクに対する解としても再度注目を浴びることになり、大手のAPサービス提供者はPFSの採用を開始した。
●The Heartbleed Bugのロゴ参照:http://heartbleed.com/
●Shellshockの脆弱性について ・2014年9月24日、脆弱性(CVE-2014-6271)がパッチとともに公開される。
・脆弱性はLinuxで使用するシェルの一つであるGNU bash(Bourne-Again Shell)において発見された。
・当脆弱性は環境変数の処理の脆弱性で、リモートから任意のコードが実行可能であるとのこと。
・多くのLinuxディストリビューションがデフォルトのシェルとして、GNU bashを使用している。
・Webサーバ上で動作するCGIプログラムや Linuxベースの組み込みシステムなど、さまざまなケースでbashシェルが利用されていることが想定される。
・非常に広い範囲に影響を及ぼす脆弱性であることが認識される。 ●Shellshockの脆弱性攻撃イメージ
参照:https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html
Shellshock
●脆弱性公開のタイムライン ・2014年9月24日、脆弱性の公開に伴い、US-CERTから速報の注意喚起が発せられる。
・同日、リリースされたパッチが不十分であることが明らかになり、同日改めてCVE番号(CVE-2014-7169)が割り当てられる。
・2014年9月25日、US-CERTから改めてアラート(TA14- 268A)が発せられる。・同日、 JPCERT/CCからも国内向けに注意喚起が発せられる。・2014年9月26日、関連する脆弱性CVE-2014-7186領域外のメモリアクセスによる脆弱性、CVE-2014-7187境界条件の判定(off-by-one)による脆弱性が明らかになる。
・2014年9月27日、新たな関連する脆弱性(CVE-2014-6277 信頼できないポインタの参照、CVE-2014-6278環境変数の処理に関する脆弱性の修正漏れ)が報告される。
・2014年10月1日、PCI SSC(Payment Card Industry Security Standards Council)は、まだ小売店業界では攻撃が確認されていないが、ソフトウェアアップデートがリリースされたら速やかに適用することを小売店業界に推奨した。
・影響の有無の確認とパッチのリリースが迅速に進められた。一例として以下に記す。
●US-CERTのShellshock脆弱性についてのアラート「Alert(TA14-268A)」参照:https://www.us-cert.gov/ncas/alerts/TA14-268A
Apple OS Xでは、デフォルトでは安全である旨アナウンスした後、2014年9月29日bash脆弱性のためのパッチをリリースした。CISCO、2014年9月30日時点で脆弱な製品の特定を進めており、71製品が脆弱で38製品が影響を受けない、残り168製品については調査中とアナウンスした。Oracleでは、2014年9月30日時点で51製品が脆弱であることを確認しており、内9製品についてはパッチのリリースを行った。
●Shellshock脆弱性を狙った攻撃
・2014年9月26日、 Incapsula社からの報告ですぐに攻撃が開始されていることが明らかになる。・2014年9月29日、 Incapsula社からの追加報告では25日AM6時から同社のWAFは、4,115以上のドメインに対する217,089以上の攻撃を検知したとのこと、また29日には1時間に1,970攻撃にまで達したとのこと、攻撃の内訳は、 スキャニングが全体の68.27%、リモートアクセスの試みが18.37%、マルウェア感染(DDoS用のBotにする)16.64%であったとのこと。
・FireEye社が2014年9月28日に投稿したブログポストによると同社が確認した攻撃は、Reverse Shell接続を試みるPerl Scriptを用いるもの、DDo Sクライアントおよびバックドア機能を持つTsunami/Kaitenを用いるもの、IRC経由で不正サイトに接続するPerl.Shellbotなど多岐にわたるとのこと。
・その他トレンドマイクロからは、2014年9月26日にこの脆弱性を利用するマルウェア検体(ELF_BASHWOOP.A)に関する情報が公開され、またクライアント端末、サーバ、IoTごとの想定される攻撃シナリオなども公開された。
・2014年10月1日のFireEyeからのブログによると、NASへの攻撃が確認されたとのこと。
・DHCPサーバを通じた攻撃などのほかの攻撃方法についての可能性も示唆された。
・2014年10月24日のSANS ISCのブログによると、SMTPへの攻撃が確認されたとのこと。
●Shellshock脆弱性への攻撃内容内訳参照:http://www.incapsula.com/blog/shellshock- bash-vulnerability-aftermath.html
Scanners Reflected DDoS Shells DDoS Malware IRC Bots
0.70%
68.27%
0.02%
12.64%
18.37%
脆弱性 「bash」には、環境変数の処理に問題があり、任意のOSコマンドが実行される脆弱性が存在します。
想定される攻撃例
CGI経由でOSコマンドを実行するウェブアプリケーションが動作している場合、遠隔から任意のOSコマンドを実行される可能性があります。
1 リクエストを送信 2 ウェブアプリケーションがCGI経由で 予め決められたOSコマンドを実行
攻撃リクエスト
脆弱な「bash」を含むウェブサーバ
3 OSコマンドが「bash」により実行さ れた際に、攻撃リクエストに含まれた OSコマンドも実行してしまう
攻撃者が指定したOSコマンドが実行された結果、ウェブサーバの動作権限の範囲で・情報の搾取・ファイルの作成、編集、削除・ウェブサーバへの過負荷によるパフォーマンス低下 …などの被害が発生する可能性
攻撃者
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
20 21
2. 事案の分析 - ❶ 深刻な脆弱性
●SSL/TLSのバージョンダウングレード参照:http://blog.trendmicro.co.jp/archives/10112
●POODLEの脆弱性について ・SSLv3は1995年に発表された古いプロトコルであるが、サービスやブラウザなどでサポートされ続けていた。
・POODLE/SSLの脆弱性(CVE-2014 -3566)SSLv3の脆弱性がGoogleの研究者Bodo Möller、Thai Duong、Krzysztof Kotowiczにより、2014年10月14日に 明らかにされた。 SSLv3はCBCモードの暗号でデータのパディングを検証しないため、攻撃者がパディング部分を操作することで暗号通信を平文化する情報を入手することが可能になる。推奨される対策はSSLv3を利用禁止にすることである。
・POODLE/TLSの脆弱性(CVE-2014-8730)セキュリティ研究者アダム・ラングリー氏が2014年12月8日のブログで指摘した。TLSではパディング処理の改善が行われたが、内部でSSLv3のコードを利用しているなど脆弱な実装を行っているプロダクトでは暗号通信を解読する攻撃が可能になる。
●POODLE対応に関するサービスおよびプロダクト動向 ・CloudFlare社は、2014年10月15日、同社が提供するCDNサーバの初期設定でSSLv3を禁止している。同社によると、HTTPSアクセスのうちたった0.65%がSSLv3であり、SSLv3の禁止が過剰な対応ではないとしている。
・Twitterは、2014年10月15日に同社サービスでSSL 3.0のサポートを即座に終了した。・Mozillaは、SSLv3を無効化するアドオンを出した。また2014年12月1日リリースしたFirefox 34では標準でSSLv3を禁止した。
・CDNのAkamaiは、SSLv3の撤廃を加速させることを明らかにした(10月末当時90%)。・Googleは、2014年10月30日に、数カ月以内に同社のクライアントプロダクトからSSLv3のサポートをやめると発表した。その後、2014年11月18日にはChrome39のリリースでデフォルトでSSLv3へのフォールバック機能を無効にした。またChrome40ではSSLv3そのものを無効にすることを明らかにした。
・Torブラウザは、2014年10月15日リリースの4.0で、POODLE攻撃を防ぐためにSSL3を無効化した。・Appleでは、2014年10月20日リリースのiOS8.1にて、POODLE脆弱性の対応がなされた。・Microsoftが2014年10月29日にPOODLE対策のFixItを公開した。またWindows XPについてはIE6がSSLv3にしか対応しておらず、永遠に脆弱のままである。
・Qualys社は、SSLサーバテストのフリーツールを提供しており、ドメイン名を入力することで自分のサイトが脆弱かどうか確認できた。
・2014年12月9日時点で、Bank of America、VMware、米国退役軍人省、AccentureなどのWebサイトがCVE-2014-8730の影響を受けることが明らかになった。
・2014年12月9日で、TLSコネクションを扱うF5 Networks社と A10 Networks 社のロードバランサがCVE-2014-8730について脆弱であるとのことが明らかになった。修正パッチは提供済みであった。
●その他のリスク ・公衆Wi-Fiでの利用について、スターバックスのような無料Wi-Fiなどで利用者がSSLv3で通信をする場合、Twitterや
Googleサービスのセッションを同一ネットワークにいる攻撃者に乗っ取られる危険がある。攻撃者のPOODLE攻撃が成功すれば利用者の暗号通信を解読することができる。まだSSLv3を使っている脆弱な利用者は公衆Wi-Fiを使ってはならない。SSLv3は古いが依然としてブラウザやWebサーバで利用可能となっている。
●POODLE/SSLの対策 ・サーバ側でSSLv3を禁止する。サーバ側で
SSLv3を禁止することにより、脆弱性を突いた攻撃を受けないようにする。
・クライアント側でSSLv3を禁止する。ブラウザのSSLv3利用を無効にすることにより、脆弱性を突いた攻撃を受けないようにする。
・POODLE/SSL脆弱性に対する攻撃方法と対策としてのTLS_FALLBACK_SCSV。サーバ・クライアント間の暗号通信でエラーが起こった場合、暗号プロトコルのバージョンを下げて暗号通信を再試行して接続する仕組みがある。これにより、SSLv3より上位の暗号プロトコルを使用しているサイトに対しても強制的にSSLv3プロトコルを指定し攻撃を行うことが可能となる。TLS_FALLBACK_SCSVを実装することで再試行をサーバが許可することを防ぎ、通信が強制的にSSLv3になることを防ぐことができる。
POODLE
クライアント側のリクエスト 中間者攻撃 Webサーバ側の応答
問題 SSL 3.0プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。脆弱性を悪用された場合、暗号通信の内容の一部が漏えいする可能性があります。
2 悪意有るスクリプトなどを挿入
ウェブサイト(SSL 3.0を使用)
利用者(SSL 3.0を使用) 暗号通信による保護
盗聴
通信経路上の攻撃者
1 中間者攻撃を行う
5 脆弱性により、暗号通信の 一部を復号される
4 継続的な盗聴を行う
3 大量通信を発生させる
●POODLEの脆弱性攻撃イメージ参照:https://www.ipa.go.jp/security/announce/20141017-ssl.html
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
20 21
2. 事案の分析 - ❶ 深刻な脆弱性
●SSL/TLSのバージョンダウングレード参照:http://blog.trendmicro.co.jp/archives/10112
●POODLEの脆弱性について ・SSLv3は1995年に発表された古いプロトコルであるが、サービスやブラウザなどでサポートされ続けていた。
・POODLE/SSLの脆弱性(CVE-2014 -3566)SSLv3の脆弱性がGoogleの研究者Bodo Möller、Thai Duong、Krzysztof Kotowiczにより、2014年10月14日に 明らかにされた。 SSLv3はCBCモードの暗号でデータのパディングを検証しないため、攻撃者がパディング部分を操作することで暗号通信を平文化する情報を入手することが可能になる。推奨される対策はSSLv3を利用禁止にすることである。
・POODLE/TLSの脆弱性(CVE-2014-8730)セキュリティ研究者アダム・ラングリー氏が2014年12月8日のブログで指摘した。TLSではパディング処理の改善が行われたが、内部でSSLv3のコードを利用しているなど脆弱な実装を行っているプロダクトでは暗号通信を解読する攻撃が可能になる。
●POODLE対応に関するサービスおよびプロダクト動向 ・CloudFlare社は、2014年10月15日、同社が提供するCDNサーバの初期設定でSSLv3を禁止している。同社によると、HTTPSアクセスのうちたった0.65%がSSLv3であり、SSLv3の禁止が過剰な対応ではないとしている。
・Twitterは、2014年10月15日に同社サービスでSSL 3.0のサポートを即座に終了した。・Mozillaは、SSLv3を無効化するアドオンを出した。また2014年12月1日リリースしたFirefox 34では標準でSSLv3を禁止した。
・CDNのAkamaiは、SSLv3の撤廃を加速させることを明らかにした(10月末当時90%)。・Googleは、2014年10月30日に、数カ月以内に同社のクライアントプロダクトからSSLv3のサポートをやめると発表した。その後、2014年11月18日にはChrome39のリリースでデフォルトでSSLv3へのフォールバック機能を無効にした。またChrome40ではSSLv3そのものを無効にすることを明らかにした。
・Torブラウザは、2014年10月15日リリースの4.0で、POODLE攻撃を防ぐためにSSL3を無効化した。・Appleでは、2014年10月20日リリースのiOS8.1にて、POODLE脆弱性の対応がなされた。・Microsoftが2014年10月29日にPOODLE対策のFixItを公開した。またWindows XPについてはIE6がSSLv3にしか対応しておらず、永遠に脆弱のままである。
・Qualys社は、SSLサーバテストのフリーツールを提供しており、ドメイン名を入力することで自分のサイトが脆弱かどうか確認できた。
・2014年12月9日時点で、Bank of America、VMware、米国退役軍人省、AccentureなどのWebサイトがCVE-2014-8730の影響を受けることが明らかになった。
・2014年12月9日で、TLSコネクションを扱うF5 Networks社と A10 Networks 社のロードバランサがCVE-2014-8730について脆弱であるとのことが明らかになった。修正パッチは提供済みであった。
●その他のリスク ・公衆Wi-Fiでの利用について、スターバックスのような無料Wi-Fiなどで利用者がSSLv3で通信をする場合、Twitterや
Googleサービスのセッションを同一ネットワークにいる攻撃者に乗っ取られる危険がある。攻撃者のPOODLE攻撃が成功すれば利用者の暗号通信を解読することができる。まだSSLv3を使っている脆弱な利用者は公衆Wi-Fiを使ってはならない。SSLv3は古いが依然としてブラウザやWebサーバで利用可能となっている。
●POODLE/SSLの対策 ・サーバ側でSSLv3を禁止する。サーバ側で
SSLv3を禁止することにより、脆弱性を突いた攻撃を受けないようにする。
・クライアント側でSSLv3を禁止する。ブラウザのSSLv3利用を無効にすることにより、脆弱性を突いた攻撃を受けないようにする。
・POODLE/SSL脆弱性に対する攻撃方法と対策としてのTLS_FALLBACK_SCSV。サーバ・クライアント間の暗号通信でエラーが起こった場合、暗号プロトコルのバージョンを下げて暗号通信を再試行して接続する仕組みがある。これにより、SSLv3より上位の暗号プロトコルを使用しているサイトに対しても強制的にSSLv3プロトコルを指定し攻撃を行うことが可能となる。TLS_FALLBACK_SCSVを実装することで再試行をサーバが許可することを防ぎ、通信が強制的にSSLv3になることを防ぐことができる。
POODLE
クライアント側のリクエスト 中間者攻撃 Webサーバ側の応答
問題 SSL 3.0プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。脆弱性を悪用された場合、暗号通信の内容の一部が漏えいする可能性があります。
2 悪意有るスクリプトなどを挿入
ウェブサイト(SSL 3.0を使用)
利用者(SSL 3.0を使用) 暗号通信による保護
盗聴
通信経路上の攻撃者
1 中間者攻撃を行う
5 脆弱性により、暗号通信の 一部を復号される
4 継続的な盗聴を行う
3 大量通信を発生させる
●POODLEの脆弱性攻撃イメージ参照:https://www.ipa.go.jp/security/announce/20141017-ssl.html
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
22 23
2. 事案の分析 - ❶ 深刻な脆弱性
●US-CERTの警告画面参照:https://www.us-cert.gov/ncas/alerts/TA14-317A
* 組織内で運用するために自社専用のiOSアプリを作成することができる。
●アプリインストール時にこのような警告が出た場合は、「Don’t Trust」を選択参照:https://www.fireeye.com/blog/threat-research/2014/11/masque- attack-all-your-ios-apps-belong-to-us.html
●WireLurker ●発見の経緯・2014年11月5日にPalo Alto NetworkがApple OS XとiOSを侵害する新しいマルウェアを発見し、WireLurkerと命名したことをブログで明らかにした。
・サードパーティアプリからOS Xが侵害され、これとUSB接続したiOS端末が感染した。・プロビジョニングプロファイルを悪用することで、従来安全と認識されていた非脱獄iOS端末に対しても感染させることができた。
●拡散・Maiyadi App Store(中国内サードパーティMacアプリストア)から汚染されたOS Xアプリが拡散した。
・過去6カ月で467種類の汚染アプリが総計35万回ダウンロード、数十万ユーザへの影響が懸念された。
・Windowsをホストとした亜種も出現した(実はOS X版よりWindows版が先に出現した)。●犯人逮捕・中国公安局が犯人(3名の容疑者)逮捕を発表した。・マルウェアを拡散していたサイトも閉鎖された。●感染確認と除去
Palo Alto Networks社により感染確認および除去方法がGitHubで公開された。(OS X およびiOS、Windowsからの各除去法を提示された。)
●MasqueAttack ●発見の経緯・FireEyeが、2015年11月10日、iOSの脆弱性を突き、悪意あるサードパーティのアプリを無断でインストールするマルウェア「Masque Attack」について報告した。
・同一のbundle identifierを持つアプリをインストールする際、コード署名証明書が同一でなくてもインストールしてしまうiOSの脆弱性を悪用する攻撃があった。
・非脱獄端末でも攻撃が可能であった。 ●US-CERTからの警告・米政府機関(国土安全保障省)に属するUS-CERTから、警告が発せられた。・US-CERTからのセキュリティ警告は、HeartbleedやShellshockなど影響範囲が広く重篤な脆弱性に対するものが多い。●対策・正規Apple Storeあるいは所属組織*以外からのアプリをインストールしない。・アプリインストール時に警告が出た場合は、「信用しない」こと。
iOSの脆弱性
●オープンソースCMSの普及とシェア ・Webサイトの3分の1はCMSを使用している。・またCMSのシェアでは、「Wordpress」「Drupal」「Joomla!」の3製品で全体の4分の3を占めている。・このため、攻撃者にとって、効率的なターゲットになっている。
CMSの脆弱性
■WebサイトにおけるCMSの割合 ■CMSのシェア
■ WordPress■ Joomla!■ Drupal■ その他■ CMS不使用
■ WordPress■ Joomla!■ Drupal■ その他
●CMSの普及状況参照:http://drupal-navi.jp/cms/trend
●ソフトウェアの脆弱性を突く攻撃とその対策イメージ参照:http://itpro.nikkeibp.co.jp/atcl/column/15/011600011/ 011600002/?ST=security
●Drupalの脆弱性(CVE-2014-3704) ●原因/想定される攻撃・脆弱性はDrupalのデータベース抽象化APIに存在する。・この脆弱性を利用するとリモートから任意SQL コマンドを実行することが可能である。・結果、Webサイトの改ざん、管理者アカウントなどを作成される可能性がある。
●影響範囲Drupal core 7.31以前の7.xバージョン
●脆弱性公開タイムライン・2014年10月15日 PM4:02(UTC)、DrupalはSecurity advisories公開。Drupal 7.32をリリースする。・DrupalがSecurity advisoriesを公開した直後からこの脆弱性を利用した攻撃が始まる。・2014年10月21日、JPCERT/CCからDrupal の脆弱性に関する注意喚起が発出される。・2014年10月29日、パッチリリースから7時間以内に対応してない、すべてのDrupal7のWebサイトが侵害 されたと仮定して対処すべきであるとDrupal Security advisoriesにて公表される。
●Drupalが推奨する対策・攻撃者がすでにバックドアを仕掛けている場合、 バージョン7.32にアップデートしても脆弱性は修正されるがバックドアは消えない。痕跡を残さずデータを盗むことが可能である。
・2014年10月15日のSecurity advisories公開前の状態にロールバックし、アップデートもしくはパッチを適用する。
組織外
攻撃者
組織内
Webサイト
① Webサイトのセキュリティ対策② Webサイトへの攻撃検知I. 修正パッチを適用できない場合の予防線II. セキュリティ上の弱点を把握
Webサイトで使用しているソフトウェア
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
22 23
2. 事案の分析 - ❶ 深刻な脆弱性
●US-CERTの警告画面参照:https://www.us-cert.gov/ncas/alerts/TA14-317A
* 組織内で運用するために自社専用のiOSアプリを作成することができる。
●アプリインストール時にこのような警告が出た場合は、「Don’t Trust」を選択参照:https://www.fireeye.com/blog/threat-research/2014/11/masque- attack-all-your-ios-apps-belong-to-us.html
●WireLurker ●発見の経緯・2014年11月5日にPalo Alto NetworkがApple OS XとiOSを侵害する新しいマルウェアを発見し、WireLurkerと命名したことをブログで明らかにした。
・サードパーティアプリからOS Xが侵害され、これとUSB接続したiOS端末が感染した。・プロビジョニングプロファイルを悪用することで、従来安全と認識されていた非脱獄iOS端末に対しても感染させることができた。
●拡散・Maiyadi App Store(中国内サードパーティMacアプリストア)から汚染されたOS Xアプリが拡散した。
・過去6カ月で467種類の汚染アプリが総計35万回ダウンロード、数十万ユーザへの影響が懸念された。
・Windowsをホストとした亜種も出現した(実はOS X版よりWindows版が先に出現した)。●犯人逮捕・中国公安局が犯人(3名の容疑者)逮捕を発表した。・マルウェアを拡散していたサイトも閉鎖された。●感染確認と除去
Palo Alto Networks社により感染確認および除去方法がGitHubで公開された。(OS X およびiOS、Windowsからの各除去法を提示された。)
●MasqueAttack ●発見の経緯・FireEyeが、2015年11月10日、iOSの脆弱性を突き、悪意あるサードパーティのアプリを無断でインストールするマルウェア「Masque Attack」について報告した。
・同一のbundle identifierを持つアプリをインストールする際、コード署名証明書が同一でなくてもインストールしてしまうiOSの脆弱性を悪用する攻撃があった。
・非脱獄端末でも攻撃が可能であった。 ●US-CERTからの警告・米政府機関(国土安全保障省)に属するUS-CERTから、警告が発せられた。・US-CERTからのセキュリティ警告は、HeartbleedやShellshockなど影響範囲が広く重篤な脆弱性に対するものが多い。●対策・正規Apple Storeあるいは所属組織*以外からのアプリをインストールしない。・アプリインストール時に警告が出た場合は、「信用しない」こと。
iOSの脆弱性
●オープンソースCMSの普及とシェア ・Webサイトの3分の1はCMSを使用している。・またCMSのシェアでは、「Wordpress」「Drupal」「Joomla!」の3製品で全体の4分の3を占めている。・このため、攻撃者にとって、効率的なターゲットになっている。
CMSの脆弱性
■WebサイトにおけるCMSの割合 ■CMSのシェア
■ WordPress■ Joomla!■ Drupal■ その他■ CMS不使用
■ WordPress■ Joomla!■ Drupal■ その他
●CMSの普及状況参照:http://drupal-navi.jp/cms/trend
●ソフトウェアの脆弱性を突く攻撃とその対策イメージ参照:http://itpro.nikkeibp.co.jp/atcl/column/15/011600011/ 011600002/?ST=security
●Drupalの脆弱性(CVE-2014-3704) ●原因/想定される攻撃・脆弱性はDrupalのデータベース抽象化APIに存在する。・この脆弱性を利用するとリモートから任意SQL コマンドを実行することが可能である。・結果、Webサイトの改ざん、管理者アカウントなどを作成される可能性がある。
●影響範囲Drupal core 7.31以前の7.xバージョン
●脆弱性公開タイムライン・2014年10月15日 PM4:02(UTC)、DrupalはSecurity advisories公開。Drupal 7.32をリリースする。・DrupalがSecurity advisoriesを公開した直後からこの脆弱性を利用した攻撃が始まる。・2014年10月21日、JPCERT/CCからDrupal の脆弱性に関する注意喚起が発出される。・2014年10月29日、パッチリリースから7時間以内に対応してない、すべてのDrupal7のWebサイトが侵害 されたと仮定して対処すべきであるとDrupal Security advisoriesにて公表される。
●Drupalが推奨する対策・攻撃者がすでにバックドアを仕掛けている場合、 バージョン7.32にアップデートしても脆弱性は修正されるがバックドアは消えない。痕跡を残さずデータを盗むことが可能である。
・2014年10月15日のSecurity advisories公開前の状態にロールバックし、アップデートもしくはパッチを適用する。
組織外
攻撃者
組織内
Webサイト
① Webサイトのセキュリティ対策② Webサイトへの攻撃検知I. 修正パッチを適用できない場合の予防線II. セキュリティ上の弱点を把握
Webサイトで使用しているソフトウェア
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
24 25
2. 事案の分析 - ❶ 深刻な脆弱性
●GoogleBlacklistによるblockイメージ参照:http://blog.sucuri.net/2014/12/soaksoak- malware-compromises-100000-wordpress- websites.html
●SoakSoakマルウェア ●SoakSoakマルウェアについて・ロシア製のマルウェアで、WordPressの有料プラグインSlider Revolutionの脆弱性を利用する。・SliderRevolution4.1.4以前のバージョンが攻撃対象となる。・感染すると最終的にsoaksoak.ruドメインへリダイレクトされJavascriptのマルウェアをロードする。・このマルウェアの目的は不明だが、攻撃に成功するとデータベースの認証情報を含め、攻撃者は任意のファイルをダウンロードすることができる。
・WordPressのテーマにSliderRevolutionバンドルされている場合、その存在を気付かずに使用しているユーザも多い。
●拡散の経緯・2014年2月25日、SoakSoakマルウェア対応bugfixを含むSlider Revolution(4.2)がリリースされる。・セキュリティベンダsucuriによると、2014年8月9日からSoakSoakマルウェアの攻撃が確認された。 ピーク時(2014年8月19日)には2,500以上ものサイトが攻撃を受けた。
・2014年9月3日WordPressテーマにバンドルされている古いSlider Revolutionプラグインの脆弱性が原因と分かる。・2014年12月14日、大規模なSoakSoakマルウェアキャンペーンが公表される。・約10万以上のWordpress利用Webサイトに影響があったと見られている。・Googleは感染サイト約1万1,000サイトをブロックしたと報道される。・2015年3月に発生したISILによるサイト改ざんキャンペーンでもこの脆弱性が悪用された。
●対策・プラグインを最新バージョンに更新する。・Slider RevolutionはWordPressのテーマにバンドルされている可能性があるため、このプラグインがテーマに含まれているか確認し、テーマ全体をバージョンアップする。
●バックドアCryptoPHP ●CryptoPHPの脅威・2014年11月20日にオランダのFox-IT社は「CryptoPHP」と呼ばれる新しいバックドアのホワイトペーパーを公表した。・CryptoPHPは脆弱性を悪用してインストールされるのではなく、WordPress、Joomla、Drupalの海賊版のテーマとプラグインを介して配布される。
・CryptoPHPはWebサーバ上で不正なコードを実行し、Webサイトに悪意のあるコンテンツを注入する能力を提供するとともに、リモートからの攻撃を可能とする。
●発見の経緯・Fox-IT社の研究者が怪しいトラフィックを生成しているサーバを見つけたことが発端。そのWebサーバはCMSで構成され、ほかのサーバに不自然なHTTP POSTのリクエストを送信していた。
・2013年9月25日に初めて検出される。・2014年11月12日の時点でCryptoPHPの16の亜種を含む、バックドアが仕込まれた数千ものプラグインやテーマが確認された。
●影響Fox-ITによると23,693のIPが感染している可能性が高い(ただしWebサーバで共有されているIPを含む)。影響を受けた上位5カ国は、米国(8,657 IPアドレス)、ドイツ(2,877 IPアドレス)、フランス(1,231 IPアドレス)、オランダ(1,008 IPアドレス)、トルコ(749 IPアドレス)。
●CryptoPHPの影響を受けた国(FOX ITシンクホールによる)参照:http://blog.fox-it.com/2014/11/26/cryptophp-a-week-later-more-than-23-000-sites-affected/
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
24 25
2. 事案の分析 - ❶ 深刻な脆弱性
●GoogleBlacklistによるblockイメージ参照:http://blog.sucuri.net/2014/12/soaksoak- malware-compromises-100000-wordpress- websites.html
●SoakSoakマルウェア ●SoakSoakマルウェアについて・ロシア製のマルウェアで、WordPressの有料プラグインSlider Revolutionの脆弱性を利用する。・SliderRevolution4.1.4以前のバージョンが攻撃対象となる。・感染すると最終的にsoaksoak.ruドメインへリダイレクトされJavascriptのマルウェアをロードする。・このマルウェアの目的は不明だが、攻撃に成功するとデータベースの認証情報を含め、攻撃者は任意のファイルをダウンロードすることができる。
・WordPressのテーマにSliderRevolutionバンドルされている場合、その存在を気付かずに使用しているユーザも多い。
●拡散の経緯・2014年2月25日、SoakSoakマルウェア対応bugfixを含むSlider Revolution(4.2)がリリースされる。・セキュリティベンダsucuriによると、2014年8月9日からSoakSoakマルウェアの攻撃が確認された。 ピーク時(2014年8月19日)には2,500以上ものサイトが攻撃を受けた。
・2014年9月3日WordPressテーマにバンドルされている古いSlider Revolutionプラグインの脆弱性が原因と分かる。・2014年12月14日、大規模なSoakSoakマルウェアキャンペーンが公表される。・約10万以上のWordpress利用Webサイトに影響があったと見られている。・Googleは感染サイト約1万1,000サイトをブロックしたと報道される。・2015年3月に発生したISILによるサイト改ざんキャンペーンでもこの脆弱性が悪用された。
●対策・プラグインを最新バージョンに更新する。・Slider RevolutionはWordPressのテーマにバンドルされている可能性があるため、このプラグインがテーマに含まれているか確認し、テーマ全体をバージョンアップする。
●バックドアCryptoPHP ●CryptoPHPの脅威・2014年11月20日にオランダのFox-IT社は「CryptoPHP」と呼ばれる新しいバックドアのホワイトペーパーを公表した。・CryptoPHPは脆弱性を悪用してインストールされるのではなく、WordPress、Joomla、Drupalの海賊版のテーマとプラグインを介して配布される。
・CryptoPHPはWebサーバ上で不正なコードを実行し、Webサイトに悪意のあるコンテンツを注入する能力を提供するとともに、リモートからの攻撃を可能とする。
●発見の経緯・Fox-IT社の研究者が怪しいトラフィックを生成しているサーバを見つけたことが発端。そのWebサーバはCMSで構成され、ほかのサーバに不自然なHTTP POSTのリクエストを送信していた。
・2013年9月25日に初めて検出される。・2014年11月12日の時点でCryptoPHPの16の亜種を含む、バックドアが仕込まれた数千ものプラグインやテーマが確認された。
●影響Fox-ITによると23,693のIPが感染している可能性が高い(ただしWebサーバで共有されているIPを含む)。影響を受けた上位5カ国は、米国(8,657 IPアドレス)、ドイツ(2,877 IPアドレス)、フランス(1,231 IPアドレス)、オランダ(1,008 IPアドレス)、トルコ(749 IPアドレス)。
●CryptoPHPの影響を受けた国(FOX ITシンクホールによる)参照:http://blog.fox-it.com/2014/11/26/cryptophp-a-week-later-more-than-23-000-sites-affected/
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
26 27
2. 事案の分析 - ❶ 深刻な脆弱性
●MisfortuneCookie ●影響を及ぼす管理GUIの脆弱性(CVE-2014-9222)・この脆弱性はAllegroSoft社の「RomPager」に存在し、第三者にデバイスの管理者権限を取得される脆弱性であった。2002年に発見され、AllegroSoft社が2005年に修正したが、相当数のルータで、いまだに脆弱性が存在する古いバージョンのAllegro RomPagerがインストールされ出荷されていた。
・この脆弱性を悪用すると、外部からルータ製品などのゲートウェイを乗っ取り、そのゲートウェイに接続されたデバイスを攻撃することが可能となる。
・想定される攻撃内容は、プレーンテキスト(SSLではない)の通信内容が読み取られる、DNSの設定が変更される、PCやWebカメラなどルータに接続しているすべてのデバイスがリモートコントロールされる、スパイ行為に利用されるという可能性がある。
・影響範囲が広いため、 Check Point Software Technologies社はMisfortuneCookie用のWebページを用意し、この脆弱性に対してQ&Aを掲載している。2014年12月18日時点では、この脆弱性を利用した攻撃は起こっていないとのこと
●「MisfortuneCookie」の影響 ・Check Point Software Technologies社は、この影響を受ける製品を一般のユーザが発見するのは難しいと述べている。ある特定の国では利用されているIPの約10 ~約50%がこの脆弱性にさらされていることを見つけた。
・影響を受ける製品の一覧はCheck Point Software Technologies社がまとめて公開している。脆弱性が判明したルータにはASUS・Buffalo・Huawei・Linksys・D-Link・Edimax・TP-Link・ZTE・ZyXELといった企業の製品が含まれている。
・使用しているルータがAllegro RomPager 4.34以前のバージョンをインストールしている場合、バージョンのアップデートを行う必要がある。アップデートがすぐに行えない場合は、WAN側インタフェースのHTTP通信やHTTPS通信を無効にする必要がある。
●Insecam.com ・Insecam.comと呼ばれたロシアのサイトは、世界中から73,000台以上のプライベートセキュリティ Webカメラをストリーミング配信していた。
・Insecam.comの運営者は、Webカメラに特別なハッキングを行った訳ではなく、【admin/admin】や【admin/12345】というデフォルト設定のユーザ名/パスワードでログインしたものだと主張していた。
・こうした脆弱なカメラなどのリストは過去にも存在したが、Insecam.comはMotherboardが記事で取り上げたために、世界中に知られることになった。
・Insecam.comの運営者はデフォルト設定で使われているWebカメラの問題に注目してもらうことにサイトの意味があると主張していた。
●Insecam.comで公開されていたWebカメラ ・Insecam.comで公開されていた全73,000台のうち、米国内のカメラが11,000台以上、英国が約2,500台、その他世界各地(日本も含む)にある。
・特定のサイト名を出さずに報道した記事では、記事執筆時で米国4,591台、フランス2,059台、オランダ1,576件が公開されていると報道されている。
・公開されていた情報には各カメラの詳細な情報が掲載されていた。サイト閲覧者がこの情報を用いて、公開されているWebカメラを自由に操作可能であった。
・公開されていたカメラのメーカーには、Foscam、Panasonic、Linksysなど有名メーカーも多数存在した。
・イギリスの情報コミッショナー事務局は2014年11月20日に、Insecamはシャットダウンすべきだと警告を出した。
・警告を受けたInsecam.comの運営者はWebカメラの配信を中止し、求職活動をした。Webカメラの映像を配信する代わりに「リモートでできる仕事を募 集中。スキルはLinux、FreeBSD、C/C++、Python、MySQL」というメッセージを表示した。
デバイスの脆弱性
●MisfortuneCookieの特設Webサイト参照:http://mis.fortunecook.ie/
●脆弱なRomPagerを利用しているルータの一覧参照:http://mis.fortunecook.ie/misfortune-cookie-suspected-vulnerable.pdf
●RomPagerを使用しているルータの設定画面例参照:http://buffalo.jp/support_s/s20141229.html
●日本のカット専門店のものと思われるInsecam.comで配信されて いたカメラ映像参照:http://matome.naver.jp/odai/2141846792581000801? &page=1
●Insecam.comで公開されていたカメラ情報参照:http://jp.techcrunch.com/2014/11/08/20141107 insecam-displays-insecure-webcams-from-around- the-world/
・今後も新規の脆弱性は見つかり、ゼロデイ攻撃は発生していく。・各ベンダは脆弱性に対する速やかなパッチリリースができないといけない。・エンドユーザのパニック防止のため、エンドユーザに向けた正確なセキュリティリスクの情報提供は今後必要となってくる。・オープンソース系の開発コミュニティでは費用面の問題を抱えているケースが存在する。・脱獄しなければ安全だと考えられていたiOS端末を侵害する新しい攻撃方法が明らかになった。・CMSは攻撃のターゲットになっている。
・ソフトウェア本体の脆弱性だけでなく、テーマやプラグインの脆弱性も考慮し、使用しない機能は停止する。・意図しないプラグインがテーマにバンドルされている場合がある。・海賊版や正式なダウンロードサイト以外からのインストールは避ける。
・デバイス類に関しても攻撃のターゲットになってきている。・有名ベンダの製品でも、既存の脆弱性の対応が漏れてしまう場合がある。・Webカメラなどインターネットに接続するモノ、IoTはデフォルト設定で使っているユーザが多い。・少なくともベンダはユーザにパスワードを変更して使用するように提示すべき。
事案のまとめ:深刻な脆弱性
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
26 27
2. 事案の分析 - ❶ 深刻な脆弱性
●MisfortuneCookie ●影響を及ぼす管理GUIの脆弱性(CVE-2014-9222)・この脆弱性はAllegroSoft社の「RomPager」に存在し、第三者にデバイスの管理者権限を取得される脆弱性であった。2002年に発見され、AllegroSoft社が2005年に修正したが、相当数のルータで、いまだに脆弱性が存在する古いバージョンのAllegro RomPagerがインストールされ出荷されていた。
・この脆弱性を悪用すると、外部からルータ製品などのゲートウェイを乗っ取り、そのゲートウェイに接続されたデバイスを攻撃することが可能となる。
・想定される攻撃内容は、プレーンテキスト(SSLではない)の通信内容が読み取られる、DNSの設定が変更される、PCやWebカメラなどルータに接続しているすべてのデバイスがリモートコントロールされる、スパイ行為に利用されるという可能性がある。
・影響範囲が広いため、 Check Point Software Technologies社はMisfortuneCookie用のWebページを用意し、この脆弱性に対してQ&Aを掲載している。2014年12月18日時点では、この脆弱性を利用した攻撃は起こっていないとのこと
●「MisfortuneCookie」の影響 ・Check Point Software Technologies社は、この影響を受ける製品を一般のユーザが発見するのは難しいと述べている。ある特定の国では利用されているIPの約10 ~約50%がこの脆弱性にさらされていることを見つけた。
・影響を受ける製品の一覧はCheck Point Software Technologies社がまとめて公開している。脆弱性が判明したルータにはASUS・Buffalo・Huawei・Linksys・D-Link・Edimax・TP-Link・ZTE・ZyXELといった企業の製品が含まれている。
・使用しているルータがAllegro RomPager 4.34以前のバージョンをインストールしている場合、バージョンのアップデートを行う必要がある。アップデートがすぐに行えない場合は、WAN側インタフェースのHTTP通信やHTTPS通信を無効にする必要がある。
●Insecam.com ・Insecam.comと呼ばれたロシアのサイトは、世界中から73,000台以上のプライベートセキュリティ Webカメラをストリーミング配信していた。
・Insecam.comの運営者は、Webカメラに特別なハッキングを行った訳ではなく、【admin/admin】や【admin/12345】というデフォルト設定のユーザ名/パスワードでログインしたものだと主張していた。
・こうした脆弱なカメラなどのリストは過去にも存在したが、Insecam.comはMotherboardが記事で取り上げたために、世界中に知られることになった。
・Insecam.comの運営者はデフォルト設定で使われているWebカメラの問題に注目してもらうことにサイトの意味があると主張していた。
●Insecam.comで公開されていたWebカメラ ・Insecam.comで公開されていた全73,000台のうち、米国内のカメラが11,000台以上、英国が約2,500台、その他世界各地(日本も含む)にある。
・特定のサイト名を出さずに報道した記事では、記事執筆時で米国4,591台、フランス2,059台、オランダ1,576件が公開されていると報道されている。
・公開されていた情報には各カメラの詳細な情報が掲載されていた。サイト閲覧者がこの情報を用いて、公開されているWebカメラを自由に操作可能であった。
・公開されていたカメラのメーカーには、Foscam、Panasonic、Linksysなど有名メーカーも多数存在した。
・イギリスの情報コミッショナー事務局は2014年11月20日に、Insecamはシャットダウンすべきだと警告を出した。
・警告を受けたInsecam.comの運営者はWebカメラの配信を中止し、求職活動をした。Webカメラの映像を配信する代わりに「リモートでできる仕事を募 集中。スキルはLinux、FreeBSD、C/C++、Python、MySQL」というメッセージを表示した。
デバイスの脆弱性
●MisfortuneCookieの特設Webサイト参照:http://mis.fortunecook.ie/
●脆弱なRomPagerを利用しているルータの一覧参照:http://mis.fortunecook.ie/misfortune-cookie-suspected-vulnerable.pdf
●RomPagerを使用しているルータの設定画面例参照:http://buffalo.jp/support_s/s20141229.html
●日本のカット専門店のものと思われるInsecam.comで配信されて いたカメラ映像参照:http://matome.naver.jp/odai/2141846792581000801? &page=1
●Insecam.comで公開されていたカメラ情報参照:http://jp.techcrunch.com/2014/11/08/20141107 insecam-displays-insecure-webcams-from-around- the-world/
・今後も新規の脆弱性は見つかり、ゼロデイ攻撃は発生していく。・各ベンダは脆弱性に対する速やかなパッチリリースができないといけない。・エンドユーザのパニック防止のため、エンドユーザに向けた正確なセキュリティリスクの情報提供は今後必要となってくる。・オープンソース系の開発コミュニティでは費用面の問題を抱えているケースが存在する。・脱獄しなければ安全だと考えられていたiOS端末を侵害する新しい攻撃方法が明らかになった。・CMSは攻撃のターゲットになっている。
・ソフトウェア本体の脆弱性だけでなく、テーマやプラグインの脆弱性も考慮し、使用しない機能は停止する。・意図しないプラグインがテーマにバンドルされている場合がある。・海賊版や正式なダウンロードサイト以外からのインストールは避ける。
・デバイス類に関しても攻撃のターゲットになってきている。・有名ベンダの製品でも、既存の脆弱性の対応が漏れてしまう場合がある。・Webカメラなどインターネットに接続するモノ、IoTはデフォルト設定で使っているユーザが多い。・少なくともベンダはユーザにパスワードを変更して使用するように提示すべき。
事案のまとめ:深刻な脆弱性
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
28 29
2. 事案の分析
●概要・SPEへのサイバー攻撃が行われ、社内システムが麻痺したとともに、大量の情報が流出した。・未公開の映画コンテンツ、映画俳優の情報、社内の各種情報などが流出し、公開された。・攻撃のきっかけとなったとされる映画「The Interview」が上映された。・政府機関による捜査により、確たる証拠は提示されていないものの政府は北朝鮮の関与を断定、オバマ大統領は北朝鮮を非難した。
・北朝鮮は関与を否定、逆に米国による決めつけを非難している。・データ流出の過程、流出したデータの量は明らかになっていない。
・非常に巧妙で組織立ったサイバー攻撃が行われるようになってきた。・サイバー攻撃に気づかずに情報を窃取され、被害に気づかないケースや、気づくまでに数年かかる場合も見られている。・ダークウェッブの検索エンジンなどが登場し、漏出データを売買するアンダーグランド活動が活発になってきた。
背景
SPEへの破壊的なサイバー攻撃
●GOPによる社内端末乗っ取りと脅迫・2014年11月24日(月)に出社したSPE社員は、端末が乗っ取られているのを発見
・端末には「Hacked By #GOP」とともに、窃取した社内情報を公開する旨を含む脅迫メッセージと、窃取した情報リストの入手先が表示されていた。
・犯人側からの要求内容は明らかにされなかった。
・元従業員を名乗る人物が、現在もSPEで働いている友人から入手したとして、乗っ取り画像をredditに投稿し明るみになった。
・映画宣伝用のTwitterアカウントのいくつかがハッキングされ、GOPから投稿された。
●GOPに乗っ取られた従業員の端末画面 参照:http://imgur.com/qXNgFVz
●従業員向けに貼り出されたメッセージ(LondonのSPEオフィスにて)参照:https://twitter.com/JamesDeanTimes/status/5382530 74876612608
●Gods1052によるMegaTorrentへの投稿参照:http://torrentfreak.com/sony-movies-leak-online-after-hack-attack-141129/
●社内システムへの攻撃
●社内業務への影響・全世界の従業員に対し、別途指示があるまでPCの電源を入れずに、また携帯端末もWi-Fi接続をオフにするようにとの指示が出た。E-mailのチェックも禁止された。
・従業員は紙とペンで仕事をする羽目になった。・唯一使用が許可されたのは、ネットワーク接続していない映像編集用のMac端末のみ
・従業員に対し、システム回復には3週間かかるとの説明があった。
●映画の流出・流出時未公開作品も含め、5本の映画が無料でダウンロードできる状態だった。 ・「Still Alice」 主演 Julianne Moore、Alec Baldwin、2015年1月16日公開予定 ・「Mr Turner」 主演 Timothy Spall、2014年12月19日公開予定 ・「Annie」 主演 Jamie Foxx、Cameron Diaz、2014年12月19日公開予定 ・「Fury」 主演 Brad Pitt、2014年10月17日公開 ・「To Write Love on Her Arms」 2015年3月公開予定・脚本も流出した。 ・007次回作「SPECTRE」主演 Daniel Craig、2015年11月6日公開予定 ・「The Interview」 今回の攻撃の引き金となったとされる作品(後述) ・TVドラマBreaking Badの製作者として有名なVince Gilliganの新作
●俳優情報の公開・俳優がプライバシー保護のために使用している偽名 ・Tom Hanks → Harry Lauder、Johnny Madrid、Natalie Portman → Laura Brownなど・俳優の社会保障番号 ・Sylvester Stallone、Conan O'Brien、Rebel Wilsonなど・映画出演料 ・2013年公開のAmerican Hustleの各俳優の出演料内訳、The Interviewの主演2人の出演料
●映画の流出、俳優情報の公開
❷ 大規模なサイバー攻撃と情報流出
●GOPによる映画宣伝Twitterアカウントへの投稿参照:http://arstechnica.com/security/2014/ 11/sony-pictures-hackers-release- list-of-stolen-corporate-files/
■GOPからのメッセージ我々は既に警告した、これは始まりに過ぎない。要求がのまれるまで攻撃を続ける。極秘情報を含む内部情報を入手している。我々に従わなければ情報を公開する。11月24日午後11時までに決断せよ。
■GOPからのメッセージMichael Lynton(SPE社長)を含むお前ら犯罪者は地獄に落ちるだろう、誰も助けにはならない。
大規模なサイバー攻撃とこれによるデータ漏えいが多数確認された。本節では、以下の攻撃を分析する。
● Sony Pictures Entertainment(以下、SPE)への破壊的なサイバー攻撃● POSマルウェアとカード情報流出:Goodwill、Home Depot、Jimmy John's、Staples、Dairy Queen● 巧妙な攻撃:Darkhotel、FIN4
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
28 29
2. 事案の分析
●概要・SPEへのサイバー攻撃が行われ、社内システムが麻痺したとともに、大量の情報が流出した。・未公開の映画コンテンツ、映画俳優の情報、社内の各種情報などが流出し、公開された。・攻撃のきっかけとなったとされる映画「The Interview」が上映された。・政府機関による捜査により、確たる証拠は提示されていないものの政府は北朝鮮の関与を断定、オバマ大統領は北朝鮮を非難した。
・北朝鮮は関与を否定、逆に米国による決めつけを非難している。・データ流出の過程、流出したデータの量は明らかになっていない。
・非常に巧妙で組織立ったサイバー攻撃が行われるようになってきた。・サイバー攻撃に気づかずに情報を窃取され、被害に気づかないケースや、気づくまでに数年かかる場合も見られている。・ダークウェッブの検索エンジンなどが登場し、漏出データを売買するアンダーグランド活動が活発になってきた。
背景
SPEへの破壊的なサイバー攻撃
●GOPによる社内端末乗っ取りと脅迫・2014年11月24日(月)に出社したSPE社員は、端末が乗っ取られているのを発見
・端末には「Hacked By #GOP」とともに、窃取した社内情報を公開する旨を含む脅迫メッセージと、窃取した情報リストの入手先が表示されていた。
・犯人側からの要求内容は明らかにされなかった。
・元従業員を名乗る人物が、現在もSPEで働いている友人から入手したとして、乗っ取り画像をredditに投稿し明るみになった。
・映画宣伝用のTwitterアカウントのいくつかがハッキングされ、GOPから投稿された。
●GOPに乗っ取られた従業員の端末画面 参照:http://imgur.com/qXNgFVz
●従業員向けに貼り出されたメッセージ(LondonのSPEオフィスにて)参照:https://twitter.com/JamesDeanTimes/status/5382530 74876612608
●Gods1052によるMegaTorrentへの投稿参照:http://torrentfreak.com/sony-movies-leak-online-after-hack-attack-141129/
●社内システムへの攻撃
●社内業務への影響・全世界の従業員に対し、別途指示があるまでPCの電源を入れずに、また携帯端末もWi-Fi接続をオフにするようにとの指示が出た。E-mailのチェックも禁止された。
・従業員は紙とペンで仕事をする羽目になった。・唯一使用が許可されたのは、ネットワーク接続していない映像編集用のMac端末のみ
・従業員に対し、システム回復には3週間かかるとの説明があった。
●映画の流出・流出時未公開作品も含め、5本の映画が無料でダウンロードできる状態だった。 ・「Still Alice」 主演 Julianne Moore、Alec Baldwin、2015年1月16日公開予定 ・「Mr Turner」 主演 Timothy Spall、2014年12月19日公開予定 ・「Annie」 主演 Jamie Foxx、Cameron Diaz、2014年12月19日公開予定 ・「Fury」 主演 Brad Pitt、2014年10月17日公開 ・「To Write Love on Her Arms」 2015年3月公開予定・脚本も流出した。 ・007次回作「SPECTRE」主演 Daniel Craig、2015年11月6日公開予定 ・「The Interview」 今回の攻撃の引き金となったとされる作品(後述) ・TVドラマBreaking Badの製作者として有名なVince Gilliganの新作
●俳優情報の公開・俳優がプライバシー保護のために使用している偽名 ・Tom Hanks → Harry Lauder、Johnny Madrid、Natalie Portman → Laura Brownなど・俳優の社会保障番号 ・Sylvester Stallone、Conan O'Brien、Rebel Wilsonなど・映画出演料 ・2013年公開のAmerican Hustleの各俳優の出演料内訳、The Interviewの主演2人の出演料
●映画の流出、俳優情報の公開
❷ 大規模なサイバー攻撃と情報流出
●GOPによる映画宣伝Twitterアカウントへの投稿参照:http://arstechnica.com/security/2014/ 11/sony-pictures-hackers-release- list-of-stolen-corporate-files/
■GOPからのメッセージ我々は既に警告した、これは始まりに過ぎない。要求がのまれるまで攻撃を続ける。極秘情報を含む内部情報を入手している。我々に従わなければ情報を公開する。11月24日午後11時までに決断せよ。
■GOPからのメッセージMichael Lynton(SPE社長)を含むお前ら犯罪者は地獄に落ちるだろう、誰も助けにはならない。
大規模なサイバー攻撃とこれによるデータ漏えいが多数確認された。本節では、以下の攻撃を分析する。
● Sony Pictures Entertainment(以下、SPE)への破壊的なサイバー攻撃● POSマルウェアとカード情報流出:Goodwill、Home Depot、Jimmy John's、Staples、Dairy Queen● 巧妙な攻撃:Darkhotel、FIN4
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
30 31
●大量の社内情報が流出し、公開された。・トップ重役を含む全世界6,800人の従業員の給料 ・最高額の300万ドルは、CEO Michael Lynton氏と共同会長Amy Pascal氏 ・年収100万ドルを超えるトップ重役は17人・給料に関する交渉記録・米国スタッフ3,500人の社会保障番号・社員の過去の犯罪歴に関する調査・退職・休職理由に関する医師の診断書
●犯人は100TBの情報を窃取したと主張・SPE側の調査では、流出した情報を特定できていない。・100TBの情報を窃取したと主張する犯人の主張を裏付ける根拠は示されていないが、未公開映画や従業員情報など犯人が公開したデータより大量の情報が流出したのは確実
●情報の公開
●The Interview・北朝鮮のリーダー金正恩(Kim Jong Un)暗殺のために、CIAにリクルートされた2人のジャーナリストを描いたコメディ。金正恩の暗殺シーンあり
・この映画の公開に先立ち、北朝鮮がSPEを攻撃したとされている。・北朝鮮政府は2014年6月に、国連事務総長潘基文(Ban Ki-moon)宛てに書簡を送付。その中でこの映画を「テロへのあからさまな支援であり戦争行為である」と非難している。
・Sony平井社長が過激な金正恩暗殺シーンの修正を要求していたことが、漏えいした社内メールから判明した。
●公開中止要求と脅迫・GOPが映画の公開中止を要求。公開した場合は劇場を攻撃することをにおわすメッセージを投稿
・SPEは各映画館チェーンに公開を取りやめる選択肢を提示していたが、主要映画館が上映中止を決定したことを受け、12月17日に公開中止を発表
・オバマ大統領は表現の自由の観点から、公開中止したSPEを非難
●公開・劇場公開予定日より1日早く、2014年12月24日にオンラインで公開・公開後4日間で購入・レンタルが200万回以上、1,500万ドル以上の売上を記録し、同社のオンラインリリースの記録を更新
●映画「The Interview」
●FBIからの警告・SPEサイバー攻撃の調査を開始したFBIが、米国内企業に対し「破壊的マルウェア」について警告(この時点では、SPE攻撃マルウェアとの同一性は明言されていない)
・「破壊的マルウェア」がSPE攻撃に使用されたものだと、後に判明
●破壊的マルウェア・Kasperskyの研究者が、今回のマルウェア「Destover」と、サウジアラビアのAramco社を攻撃したShamoon、および2013年に韓国を攻撃したDarkSeoulとの類似性を指摘
●社内調査・SPEはFireEye社のMandiantチームにフォレンジック調査を依頼・Mandiantの中間報告
・HDDを壊滅的に破壊するマルウェアを使用した攻撃、復旧にはHDDの入換が必要・攻撃の目的は、情報の流出と資産の破壊・攻撃の規模、影響度合い、攻撃者の情報はまだ報告されていない。
●情報流出はタイのホテルから・データの流出が、2014年12月2日12時25分(タイ現地時間)にSt. Regisホテルで始まったことが判明
・St. Regisホテルはタイの首都バンコクにある五つ星のエレガントなホテル・ゲストルームからの送信か、ロビーなどの公共エリアからの送信かは判明していない。
●調査
●Snapchatの事業計画流出・SPE CEO Michael Lynton氏とSnapchat CEO Evan Spiegel氏のメールでのやり取りの中に、Snapchatの事業計画に関する情報が含まれていた。
・Spiegel氏は落胆の意を表明
●ニューヨークの監査法人Deloitte社の情報流出・31,124人の社員の給与、人種、性別、役職などのリスト・過去にDeloitteに勤務していた現SPE社員が、社内端末に過去の会社のファイルを保存していたと見られる。
●年収100万ドル以上のトップ重役のリスト参照:http://www.businessinsider.com/hacked-sony- docs-top-execs-paychecks-2014-12
●The InterviewはBluRayでも発売参照:http://www.theinterview- movie.com/
●Spiege氏の落胆を意を示すメッセージ参照:https://twitter.com/evanspiegel/status/545308400829997056
●Deloitte社の従業員情報参照:http://fusion.net/story/31227/sony-pictures-hack-spreads- to-deloitte-thousands-of-audit-firms-salaries-are-leaked/
2. 事案の分析 - ❷ 大規模なサイバー攻撃と情報流出
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
30 31
●大量の社内情報が流出し、公開された。・トップ重役を含む全世界6,800人の従業員の給料 ・最高額の300万ドルは、CEO Michael Lynton氏と共同会長Amy Pascal氏 ・年収100万ドルを超えるトップ重役は17人・給料に関する交渉記録・米国スタッフ3,500人の社会保障番号・社員の過去の犯罪歴に関する調査・退職・休職理由に関する医師の診断書
●犯人は100TBの情報を窃取したと主張・SPE側の調査では、流出した情報を特定できていない。・100TBの情報を窃取したと主張する犯人の主張を裏付ける根拠は示されていないが、未公開映画や従業員情報など犯人が公開したデータより大量の情報が流出したのは確実
●情報の公開
●The Interview・北朝鮮のリーダー金正恩(Kim Jong Un)暗殺のために、CIAにリクルートされた2人のジャーナリストを描いたコメディ。金正恩の暗殺シーンあり
・この映画の公開に先立ち、北朝鮮がSPEを攻撃したとされている。・北朝鮮政府は2014年6月に、国連事務総長潘基文(Ban Ki-moon)宛てに書簡を送付。その中でこの映画を「テロへのあからさまな支援であり戦争行為である」と非難している。
・Sony平井社長が過激な金正恩暗殺シーンの修正を要求していたことが、漏えいした社内メールから判明した。
●公開中止要求と脅迫・GOPが映画の公開中止を要求。公開した場合は劇場を攻撃することをにおわすメッセージを投稿
・SPEは各映画館チェーンに公開を取りやめる選択肢を提示していたが、主要映画館が上映中止を決定したことを受け、12月17日に公開中止を発表
・オバマ大統領は表現の自由の観点から、公開中止したSPEを非難
●公開・劇場公開予定日より1日早く、2014年12月24日にオンラインで公開・公開後4日間で購入・レンタルが200万回以上、1,500万ドル以上の売上を記録し、同社のオンラインリリースの記録を更新
●映画「The Interview」
●FBIからの警告・SPEサイバー攻撃の調査を開始したFBIが、米国内企業に対し「破壊的マルウェア」について警告(この時点では、SPE攻撃マルウェアとの同一性は明言されていない)
・「破壊的マルウェア」がSPE攻撃に使用されたものだと、後に判明
●破壊的マルウェア・Kasperskyの研究者が、今回のマルウェア「Destover」と、サウジアラビアのAramco社を攻撃したShamoon、および2013年に韓国を攻撃したDarkSeoulとの類似性を指摘
●社内調査・SPEはFireEye社のMandiantチームにフォレンジック調査を依頼・Mandiantの中間報告
・HDDを壊滅的に破壊するマルウェアを使用した攻撃、復旧にはHDDの入換が必要・攻撃の目的は、情報の流出と資産の破壊・攻撃の規模、影響度合い、攻撃者の情報はまだ報告されていない。
●情報流出はタイのホテルから・データの流出が、2014年12月2日12時25分(タイ現地時間)にSt. Regisホテルで始まったことが判明
・St. Regisホテルはタイの首都バンコクにある五つ星のエレガントなホテル・ゲストルームからの送信か、ロビーなどの公共エリアからの送信かは判明していない。
●調査
●Snapchatの事業計画流出・SPE CEO Michael Lynton氏とSnapchat CEO Evan Spiegel氏のメールでのやり取りの中に、Snapchatの事業計画に関する情報が含まれていた。
・Spiegel氏は落胆の意を表明
●ニューヨークの監査法人Deloitte社の情報流出・31,124人の社員の給与、人種、性別、役職などのリスト・過去にDeloitteに勤務していた現SPE社員が、社内端末に過去の会社のファイルを保存していたと見られる。
●年収100万ドル以上のトップ重役のリスト参照:http://www.businessinsider.com/hacked-sony- docs-top-execs-paychecks-2014-12
●The InterviewはBluRayでも発売参照:http://www.theinterview- movie.com/
●Spiege氏の落胆を意を示すメッセージ参照:https://twitter.com/evanspiegel/status/545308400829997056
●Deloitte社の従業員情報参照:http://fusion.net/story/31227/sony-pictures-hack-spreads- to-deloitte-thousands-of-audit-firms-salaries-are-leaked/
2. 事案の分析 - ❷ 大規模なサイバー攻撃と情報流出
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
32 33
●FBIの調査状況・2014年12月19日に、SPE攻撃に北朝鮮政府が関与したという十分な情報を得たと発表
・データ破壊に使用されたマルウェアは、ソースコードの類似性、暗号アルゴリズム、データ破壊法、ネットワーク侵害法などから、北朝鮮が以前開発したものと酷似している。
・マルウェアにハードコーディングされていたIPアドレスが北朝鮮のものである。・攻撃に使用されたツールが、2013年3月に北朝鮮が韓国の銀行などをサイバー攻撃したものに酷似している。
●北朝鮮は関与を否定・北朝鮮は攻撃への関与を否定、逆に合同で調査することを提案・米国は、北朝鮮との合同調査を却下
●クレジットカードから抜き取られる情報参照:http://blog.fortinet.com/post/how-dexter- steals-credit-card-information
2. 事案の分析 - ❷ 大規模なサイバー攻撃と情報流出
●概要・小売店、飲食店のPOSから情報を抜き取る方法でカード情報を盗む、POSマルウェアを使った攻撃が流行している。・多くの有名小売店チェーン、大規模飲食店チェーンから顧客のカード(クレジットカード、デビッドカード)情報が盗まれている。
・POSシステムベンダを攻撃の足がかりにするケースも存在する。・攻撃を受ける期間は長く、数カ月~ 1年以上にわたり、漏えいしたカード情報が悪用されて初めて漏えい事実が発覚するケースが多い。
・改善対策は進められているが追いつけていない。・未だ認識されていない現在進行中のデータ侵害が多数あると想定される。・一般の利用者は保護対策として、カード利用履歴の確認を定期的に行う必要がある。・本節では、2014年度のケースとしてPOS侵害で被害の大きかった、Goodwill、Home Depot、Jimmy John's、Staples、Dairy Queenについて個々に分析する。
●POSマルウェアの歴史・POSマルウェアとは、POS端末のメモリ情報からカード情報を抜き取るタイプのマルウェアである。・最初のPOSマルウェアは2011年の終わりに見つかったRadsrvで、実行中のすべてのプロセスのメモリをスキャンしてクレジットカードのTrack 1とTrack 2のデータを検索するものであった。
・翌年2012年には3種の新しいPOSマルウェア(BlackPOS、Alina、Dexter)が出現した。・以降新種のPOSマルウェアが次々とリリースされる中、2014年にはBlackPOS、Alina、Dexterからの第2世代のマルウェアも現れた。
POSマルウェアとカード情報流出
●進化する POSマルウェアファミリ(代表的なもの)参照:http://blog.trendmicro.co.jp/archives/9902
●政府からの警告・2014年7月31日、 US-CERT*1が新種のPOSマルウェアBackoffについてアラートを発した。・活動開始時期(2013年10月から)、亜種の一覧およびそれらのファイルインジケータ、対策案を案内した。
●業界団体からの警告・2014年8月27日、PCI SSC*2がDHS*3のアラートを受け、改めて小売業者に対してアラートを発した。
・US-CERTのBackoffのアラートとDHSのアラートを紹介した。・各小売店に対して、直ちにセキュリティ専門家にアクセスし、POSマルウェアの感染確認を行うことと、外部へのデータ転送の有無の確認、各種アカウントのパスワード変更を強く推奨した。
・長期的にはカード情報の暗号化機能を備えたSRED*4対応のPOS端末への入れ替を推奨した。・2014年8月27日、PCISSCがスキミング防止ガイドラインを更新した。
・物理的および論理的な両面でスキミングに関するリスクを紹介した。・POSシステムのリスク/ POSシステムへの防御方法/ POSシステムのインシデント対応方法を紹介した。
●Goodwillのケース・攻撃時期:2013年2月10日~ 2014年8月14日・被害規模:全米20州にまたがる330店舗(全店舗の10%)から約86.8万件のカード情報漏出・攻撃のプロセスと事件の発覚、その後の対応
・2014年7月18日(金)の夕方に異常を検知、週明けの7月21日(月)に公表した。・Goodwill社が決済系業務を委託していたC&K Systems社のシステムが不正侵入に遭い、同社システム内のPOSにRawpos系のPOSマルウェアが仕込まれ、顧客のカード情報が抜き取られた。
・2014年9月2日にGoodwill社は、被害を受けた店舗と時期を公表し、事件の概略も公開した。カード決済システムの対応が完了し安全な状態になった旨の報告と、顧客保護プログラムの紹介が行われた。
・本事件後、(2015年3月31日時点で)C&K SystemsのWebサイトはアクセスできない状態となっている。
●Home Depotのケース・攻撃時期:2014年4月~ 2014年9月・被害規模:オンラインを除く米国およびカナダの全店舗(2,266店舗)から5,600万件クレジットカード情報が漏出・攻撃のプロセスと事件の発覚、その後の対応
・2014年9月2日の朝に外部(警察および銀行)からの連絡を受け異常を検知、同日午後に公表した。・協力会社からHome Depot社内ネットワークの協力会社用アカウント情報が窃取され、これによりHome Depot社内ネットワークに不正侵入され、同社システム内のPOSにBlackPOS系のPOSマルウェアが仕込まれ、顧客のカード情報が抜き取られた。
・2014年9月18日にHome Depot社は調査結果を公表し、マルウェアは除去され正常な状態に戻った旨が報告された。攻撃を受けた期間、被害を受けた店舗、窃取された情報も明らかにされ、被害を受けた顧客には顧客保護プログラムも案内された。
・2014年11月14日、5,300万件のメールアドレスが漏出していたことも明らかになった。・対策として、決済データに対してVoltage Security社の暗号ソリューションが採用された。また、EMV Chip-and-PINにも対応する予定(カナダ店舗は対応済、米国店舗は米国内の移行期日(2015年10月)までに完了を予定している)
*1 US-CERT:米国政府のCSIRT*2 PCI SSC:Payment Card Industry Security Standards Council(PCI関連のセキュリティ標準の策定維持管理を行う団体)*3 DHS:Department of Homeland Security(米国国防省)*4 SRED:Secure Reading and Exchange of Data(PCISSCの標準、個人情報の暗号化など定めたPOS端末に関するセキュリティ要件)
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
32 33
●FBIの調査状況・2014年12月19日に、SPE攻撃に北朝鮮政府が関与したという十分な情報を得たと発表
・データ破壊に使用されたマルウェアは、ソースコードの類似性、暗号アルゴリズム、データ破壊法、ネットワーク侵害法などから、北朝鮮が以前開発したものと酷似している。
・マルウェアにハードコーディングされていたIPアドレスが北朝鮮のものである。・攻撃に使用されたツールが、2013年3月に北朝鮮が韓国の銀行などをサイバー攻撃したものに酷似している。
●北朝鮮は関与を否定・北朝鮮は攻撃への関与を否定、逆に合同で調査することを提案・米国は、北朝鮮との合同調査を却下
●クレジットカードから抜き取られる情報参照:http://blog.fortinet.com/post/how-dexter- steals-credit-card-information
2. 事案の分析 - ❷ 大規模なサイバー攻撃と情報流出
●概要・小売店、飲食店のPOSから情報を抜き取る方法でカード情報を盗む、POSマルウェアを使った攻撃が流行している。・多くの有名小売店チェーン、大規模飲食店チェーンから顧客のカード(クレジットカード、デビッドカード)情報が盗まれている。
・POSシステムベンダを攻撃の足がかりにするケースも存在する。・攻撃を受ける期間は長く、数カ月~ 1年以上にわたり、漏えいしたカード情報が悪用されて初めて漏えい事実が発覚するケースが多い。
・改善対策は進められているが追いつけていない。・未だ認識されていない現在進行中のデータ侵害が多数あると想定される。・一般の利用者は保護対策として、カード利用履歴の確認を定期的に行う必要がある。・本節では、2014年度のケースとしてPOS侵害で被害の大きかった、Goodwill、Home Depot、Jimmy John's、Staples、Dairy Queenについて個々に分析する。
●POSマルウェアの歴史・POSマルウェアとは、POS端末のメモリ情報からカード情報を抜き取るタイプのマルウェアである。・最初のPOSマルウェアは2011年の終わりに見つかったRadsrvで、実行中のすべてのプロセスのメモリをスキャンしてクレジットカードのTrack 1とTrack 2のデータを検索するものであった。
・翌年2012年には3種の新しいPOSマルウェア(BlackPOS、Alina、Dexter)が出現した。・以降新種のPOSマルウェアが次々とリリースされる中、2014年にはBlackPOS、Alina、Dexterからの第2世代のマルウェアも現れた。
POSマルウェアとカード情報流出
●進化する POSマルウェアファミリ(代表的なもの)参照:http://blog.trendmicro.co.jp/archives/9902
●政府からの警告・2014年7月31日、 US-CERT*1が新種のPOSマルウェアBackoffについてアラートを発した。・活動開始時期(2013年10月から)、亜種の一覧およびそれらのファイルインジケータ、対策案を案内した。
●業界団体からの警告・2014年8月27日、PCI SSC*2がDHS*3のアラートを受け、改めて小売業者に対してアラートを発した。
・US-CERTのBackoffのアラートとDHSのアラートを紹介した。・各小売店に対して、直ちにセキュリティ専門家にアクセスし、POSマルウェアの感染確認を行うことと、外部へのデータ転送の有無の確認、各種アカウントのパスワード変更を強く推奨した。
・長期的にはカード情報の暗号化機能を備えたSRED*4対応のPOS端末への入れ替を推奨した。・2014年8月27日、PCISSCがスキミング防止ガイドラインを更新した。
・物理的および論理的な両面でスキミングに関するリスクを紹介した。・POSシステムのリスク/ POSシステムへの防御方法/ POSシステムのインシデント対応方法を紹介した。
●Goodwillのケース・攻撃時期:2013年2月10日~ 2014年8月14日・被害規模:全米20州にまたがる330店舗(全店舗の10%)から約86.8万件のカード情報漏出・攻撃のプロセスと事件の発覚、その後の対応
・2014年7月18日(金)の夕方に異常を検知、週明けの7月21日(月)に公表した。・Goodwill社が決済系業務を委託していたC&K Systems社のシステムが不正侵入に遭い、同社システム内のPOSにRawpos系のPOSマルウェアが仕込まれ、顧客のカード情報が抜き取られた。
・2014年9月2日にGoodwill社は、被害を受けた店舗と時期を公表し、事件の概略も公開した。カード決済システムの対応が完了し安全な状態になった旨の報告と、顧客保護プログラムの紹介が行われた。
・本事件後、(2015年3月31日時点で)C&K SystemsのWebサイトはアクセスできない状態となっている。
●Home Depotのケース・攻撃時期:2014年4月~ 2014年9月・被害規模:オンラインを除く米国およびカナダの全店舗(2,266店舗)から5,600万件クレジットカード情報が漏出・攻撃のプロセスと事件の発覚、その後の対応
・2014年9月2日の朝に外部(警察および銀行)からの連絡を受け異常を検知、同日午後に公表した。・協力会社からHome Depot社内ネットワークの協力会社用アカウント情報が窃取され、これによりHome Depot社内ネットワークに不正侵入され、同社システム内のPOSにBlackPOS系のPOSマルウェアが仕込まれ、顧客のカード情報が抜き取られた。
・2014年9月18日にHome Depot社は調査結果を公表し、マルウェアは除去され正常な状態に戻った旨が報告された。攻撃を受けた期間、被害を受けた店舗、窃取された情報も明らかにされ、被害を受けた顧客には顧客保護プログラムも案内された。
・2014年11月14日、5,300万件のメールアドレスが漏出していたことも明らかになった。・対策として、決済データに対してVoltage Security社の暗号ソリューションが採用された。また、EMV Chip-and-PINにも対応する予定(カナダ店舗は対応済、米国店舗は米国内の移行期日(2015年10月)までに完了を予定している)
*1 US-CERT:米国政府のCSIRT*2 PCI SSC:Payment Card Industry Security Standards Council(PCI関連のセキュリティ標準の策定維持管理を行う団体)*3 DHS:Department of Homeland Security(米国国防省)*4 SRED:Secure Reading and Exchange of Data(PCISSCの標準、個人情報の暗号化など定めたPOS端末に関するセキュリティ要件)
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
34 35
2. 事案の分析 - ❷ 大規模なサイバー攻撃と情報流出
●Jimmy John'sのケース・攻撃時期:2014年6月16日~ 2014年9月5日・被害規模:全店舗約1,900のうち115店舗にて使用されたクレジットカード、およびデビットカード情報が漏出、詳細な件数は非公開
・攻撃のプロセスと事件の発覚、その後の対応・2014年7月30日に社内で異常を検知、フォレンジック調査を開始するとともに法執行機関へも連絡した。・2014年7月31日、Krebs氏のブログで公表された。・一部店舗が採用していたSignature Systems社よりメンテナンス用のアカウント情報が窃取され、各店舗へのリモートアクセスを通じてPOSマルウェアが仕込まれ、顧客のカード情報が抜き取られた。
・2014年9月24日にJimmy John'sが調査結果を公開した。攻撃を受けた期間、被害を受けた店舗、窃取された情報も明らかにされ、被害を受けた顧客には顧客保護プログラムも案内された。
・2014年9月25日にSignature Systems社より、ほかに盗まれたメンテナンス用アカウントについて情報が公開された。
・対策として、決済データに対する暗号ソリューションの採用およびネットワーク監視強化を計画している。
●Staplesのケース・攻撃時期:2014年4月1日~ 2014年9月30日・被害規模:全店舗約1,400のうち216店舗にて使用されたクレジットカード、およびデビットカード約116万件の情報が漏出
・攻撃のプロセスと事件の発覚、その後の対応・2014年10月20日、Krebs氏のブログで事件が公表された。この時点で、法執行機関に調査を依頼している旨も明らかにされている。
・攻撃のプロセスは解明されておらず、マルウェア感染による情報漏えいだとされている。しかし、情報漏えいが確認されている店舗でもマルウェアは見つかっていない。
・2014年12月19日、Staples社は調査結果を公開した。攻撃を受けた期間、被害を受けた店舗、窃取された情報の件数も明らかにされ、被害を受けた顧客には顧客保護プログラムも案内された。
●Dairy Queenのケース・攻撃時期:2014年8月1日~ 2014年10月6日・被害規模:運営するDairy QueenとOrange Juliusの国内全4,500店舗のうち395店舗にて使用されたクレジットカード、およびデビットカード情報が漏出、詳細な件数は不明
・攻撃のプロセスと事件の発覚、その後の対応・2014年8月26日、Krebs氏のブログで公表された。・2014年8月28日、当局より連絡を受けたDairy Queenは、フォレンジック調査を開始した。・POSマルウェアのBackoffが米国内のDairy Queen数店舗とOrange Julius 1店舗で発見された。サードベンダのアカウント情報漏えいからシステムに潜入され、マルウェアが仕込まれた。
・2014年10月9日、Dairy Queen社は調査結果を公表し、被害を受けた店舗と窃取された情報の内容が明らかにされ、被害を受けた顧客には顧客保護プログラムも案内された。
●概要・今まで見られなかった巧妙な攻撃が報告された。・明示的な被害が見られないため攻撃を検出しづらい。・本節では、2014年度に報告された巧妙な攻撃のうち、DarkhotelとFIN4を分析する。
巧妙な攻撃
●Darkhotelとは・Kaspersky Lab社から2014年11月10日にリリースされた報告書「THE DARKHOTEL APT A STORY OF UNUSUAL HOSPITALITY」によりその存在が明らかにされた。
・情報収集を目的とした標的型攻撃に使用される。・同社の報告書には発見の経緯については明らかにされていない。
●被害者・KSN(Kaspersky Security Network)内のSinkholeでは、日本が感染数が多い。・グローバルなSinkholeでは、インドの感染数が多く、日本は2位、ただし微量
●防御・公共のネットワークへのアクセスは注意すべき。・公共のネットワークでのソフトウェアの更新は控えるべき。
●Darkhotel感染プロセスおよび機能・何らかの手段(報告書に記載なし)でHotelのWi-Fiネットワークに潜ませ、狙った宿泊者の部屋でWi-Fi接続すると悪意あるログイン画面を表示させるようにしておく。
・宿泊者がログイン後、各種主要ソフトウェア(OSやFlashなど)の更新に見せかけバックドアをインストールさせる。・インストールしたバックドアを用いて宿泊者を選別し、本格的に情報取得するか否かを判断する。・情報収集する場合はさらに高度なツール群をバックドアを通じてインストールする。・インストールされたツール群により、キーロギング、各種アカウントのID/パスワードの窃取、各種ファイルの窃取など、さまざまなスパイ行為を実施する。
●攻撃方法およびマルウェアの特徴・7年前から現在に至るまで活動している。・Keyloggerが「kernel-mode keylogger」でMSのシステム上では、システムデバイスに見えるようになっていた(メディアの個別インタビューで関係者が見たことないほど洗練されていたと語る)。
・マルウェアを合法に見せるために、弱い暗号キーを使っている認証局の証明書を偽造し、正規の証明書を備えているように見せていた。
・自己消滅機能がついていた(システムが韓国語を使用している場合)。・仕込みに手間がかかる、事前に標的対象の宿泊予定を把握しておく必要がある。・ほかにTorrenttのファイルを通じての感染キャンペーンも確認された。
●Darkhotel
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
34 35
2. 事案の分析 - ❷ 大規模なサイバー攻撃と情報流出
●Jimmy John'sのケース・攻撃時期:2014年6月16日~ 2014年9月5日・被害規模:全店舗約1,900のうち115店舗にて使用されたクレジットカード、およびデビットカード情報が漏出、詳細な件数は非公開
・攻撃のプロセスと事件の発覚、その後の対応・2014年7月30日に社内で異常を検知、フォレンジック調査を開始するとともに法執行機関へも連絡した。・2014年7月31日、Krebs氏のブログで公表された。・一部店舗が採用していたSignature Systems社よりメンテナンス用のアカウント情報が窃取され、各店舗へのリモートアクセスを通じてPOSマルウェアが仕込まれ、顧客のカード情報が抜き取られた。
・2014年9月24日にJimmy John'sが調査結果を公開した。攻撃を受けた期間、被害を受けた店舗、窃取された情報も明らかにされ、被害を受けた顧客には顧客保護プログラムも案内された。
・2014年9月25日にSignature Systems社より、ほかに盗まれたメンテナンス用アカウントについて情報が公開された。
・対策として、決済データに対する暗号ソリューションの採用およびネットワーク監視強化を計画している。
●Staplesのケース・攻撃時期:2014年4月1日~ 2014年9月30日・被害規模:全店舗約1,400のうち216店舗にて使用されたクレジットカード、およびデビットカード約116万件の情報が漏出
・攻撃のプロセスと事件の発覚、その後の対応・2014年10月20日、Krebs氏のブログで事件が公表された。この時点で、法執行機関に調査を依頼している旨も明らかにされている。
・攻撃のプロセスは解明されておらず、マルウェア感染による情報漏えいだとされている。しかし、情報漏えいが確認されている店舗でもマルウェアは見つかっていない。
・2014年12月19日、Staples社は調査結果を公開した。攻撃を受けた期間、被害を受けた店舗、窃取された情報の件数も明らかにされ、被害を受けた顧客には顧客保護プログラムも案内された。
●Dairy Queenのケース・攻撃時期:2014年8月1日~ 2014年10月6日・被害規模:運営するDairy QueenとOrange Juliusの国内全4,500店舗のうち395店舗にて使用されたクレジットカード、およびデビットカード情報が漏出、詳細な件数は不明
・攻撃のプロセスと事件の発覚、その後の対応・2014年8月26日、Krebs氏のブログで公表された。・2014年8月28日、当局より連絡を受けたDairy Queenは、フォレンジック調査を開始した。・POSマルウェアのBackoffが米国内のDairy Queen数店舗とOrange Julius 1店舗で発見された。サードベンダのアカウント情報漏えいからシステムに潜入され、マルウェアが仕込まれた。
・2014年10月9日、Dairy Queen社は調査結果を公表し、被害を受けた店舗と窃取された情報の内容が明らかにされ、被害を受けた顧客には顧客保護プログラムも案内された。
●概要・今まで見られなかった巧妙な攻撃が報告された。・明示的な被害が見られないため攻撃を検出しづらい。・本節では、2014年度に報告された巧妙な攻撃のうち、DarkhotelとFIN4を分析する。
巧妙な攻撃
●Darkhotelとは・Kaspersky Lab社から2014年11月10日にリリースされた報告書「THE DARKHOTEL APT A STORY OF UNUSUAL HOSPITALITY」によりその存在が明らかにされた。
・情報収集を目的とした標的型攻撃に使用される。・同社の報告書には発見の経緯については明らかにされていない。
●被害者・KSN(Kaspersky Security Network)内のSinkholeでは、日本が感染数が多い。・グローバルなSinkholeでは、インドの感染数が多く、日本は2位、ただし微量
●防御・公共のネットワークへのアクセスは注意すべき。・公共のネットワークでのソフトウェアの更新は控えるべき。
●Darkhotel感染プロセスおよび機能・何らかの手段(報告書に記載なし)でHotelのWi-Fiネットワークに潜ませ、狙った宿泊者の部屋でWi-Fi接続すると悪意あるログイン画面を表示させるようにしておく。
・宿泊者がログイン後、各種主要ソフトウェア(OSやFlashなど)の更新に見せかけバックドアをインストールさせる。・インストールしたバックドアを用いて宿泊者を選別し、本格的に情報取得するか否かを判断する。・情報収集する場合はさらに高度なツール群をバックドアを通じてインストールする。・インストールされたツール群により、キーロギング、各種アカウントのID/パスワードの窃取、各種ファイルの窃取など、さまざまなスパイ行為を実施する。
●攻撃方法およびマルウェアの特徴・7年前から現在に至るまで活動している。・Keyloggerが「kernel-mode keylogger」でMSのシステム上では、システムデバイスに見えるようになっていた(メディアの個別インタビューで関係者が見たことないほど洗練されていたと語る)。
・マルウェアを合法に見せるために、弱い暗号キーを使っている認証局の証明書を偽造し、正規の証明書を備えているように見せていた。
・自己消滅機能がついていた(システムが韓国語を使用している場合)。・仕込みに手間がかかる、事前に標的対象の宿泊予定を把握しておく必要がある。・ほかにTorrenttのファイルを通じての感染キャンペーンも確認された。
●Darkhotel
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
36 37
●標的の約7割は医薬業界、その他 証券、法務、M&A分野参照:http://www.computerworld.com/article/2853697/fireeye- suspects-fin4-hackers-are-americans-after-insider-info-to- game-stock-market.html
2. 事案の分析 - ❷ 大規模なサイバー攻撃と情報流出
●FIN4とは・上場企業の株価を左右する内部情報を狙って活動するグループの存在をFireEyeが検出し、このグループを「FIN4」と命名
・遅くとも2013年中ごろには活動を開始し、100社以上の企業を標的としていたことが明らかに・直接的な被害が露呈しないため、攻撃の検知が困難
●標的・標的の大半は、内部情報が株式に大きく影響する医療や製薬の関連企業
・新薬開発や国の規制、安全性や法的問題などにより株価が変動するため、内部情報窃取の対称に
・社内重要情報(企業秘密)を扱う経営幹部、法務関係者、顧問弁護士が攻撃の標的に
・証券会社やM&Aを手がける会社も標的に
●攻撃の手順・攻撃対象企業の取引先や関連会社の従業員アカウントを不正に入手・入手したアカウントから攻撃対象企業の標的(役員など)に、VBAマクロが組み込まれたOffice文書を添付したフィッシングメールを送付
・添付文書を開くとマクロが動き、Microsoft社メールソフト(Outlook)の偽ログイン認証画面を表示・偽ログイン画面でユーザIDとパスワードを窃取・窃取したログイン情報で標的のメールアカウントを閲覧、内部情報を窃取・不正に得た内部情報を株取引に利用
●調査・FireEyeは継続してFIN4の行動を追跡しているが、FIN4をTorを使って通信しているため追跡が難しく、正体はまだつかめていない。
・フィッシングメールには投資専門用語なども使われていることから、業界関係者がメンバーに関連していると想定される。・FIN4が得た利益も不明
●FIN4
・Sony Pictures Entertainmentに対して破壊的なサイバー攻撃が行われ、米国政府は北朝鮮の関与を断定しているがその十分な根拠は示されていない。
・POSを狙ったマルウェアで情報を窃取するサイバー攻撃により、大規模なチェーン店などでカード情報が窃取された。・明示的な被害が見られないために攻撃を検出しづらい巧妙な攻撃が報告された。・システムを破壊するような攻撃はすぐに発見されるが、被害の見えにくい情報漏えいなどは、攻撃に気づくまでに時間がかかる場合が多い。
事案のまとめ:大規模なサイバー攻撃と情報流出
●背景・iOSとは異なり、AndroidはOSの供給とハードの供給が別のため、Google社が最新のバージョンをリリースしても、すぐにすべてのAndroidに向けて最新のバージョンがリリースされるわけではない。
・スマートフォンが高機能化するにつれて、取得できる情報量が増加し、重要情報がスマートフォンに格納されるようになり、攻撃者が攻撃目標として狙うようになってきた。また、高機能化することでDDoS攻撃のボットとしても狙われるようになってきている。
・2要素認証では3種類のIDのうち2つで行われる。(1)ユーザが知っている、(2)ユーザが所有している、(3)ユーザ自身の特性。3つのうち(1)はパスワードで満たされるため、次に導入されやすいのは(2)に当てはまる携帯電話で、SMS認証が利用されやすい。
・NSAの諜報活動が暴露されたことによって、プライバシーへの関心が高まり、プライバシーに関連する脆弱性やアプリの危険性がメディアで報じられることが多くなった。
●詳細・FireEyeが見つけた悪意あるAndroidアプリでアイコンのパーミッション設定の悪用でユーザにフィッシングサイトのページを送り込む攻撃(Android icon permissions attack)を行っていた。Googleはこの攻撃に対処するパッチをOEMベンダ各社に対しリリースしたと語った。
・Kaspersky Labsによると、AndroidのTrojanであるStealer.aが2014年1~ 3月で最も感染しているモバイルTrojanである。ロシアで多く感染しているが、ベルギー、フランス、ラトビア、リトアニア、ドイツ、ベラルーシなどの多くの国で感染は見つかっている。
・Android向けのSMS Trojan FakeInstが66カ国のユーザをターゲットにしている。感染した場合、勝手にプレミアムSMSへメッセージを送り、被害者は2ドル課金される。作成者はロシア人と見られ、プレミアムSMSも被害者の地域にマッチさせた番号へ送信する。ただし、2014年4月時点ではGoogle Playから拡散された事例は確認されていないとのこと。
モバイルでのランサムウェアを含むマルウェアの流行
2014年度は、マルウェアによる攻撃がPCからモバイルへシフトする動きが見られた。モバイルOSのセキュリティ機能が強化される一方、OS・ハードの脆弱性やモバイルに関する監視活動も報告されている。本節では、このような新しい脅威のいくつかを分析する。
❸ モバイルの安全性
●モバイルでのランサムウェアを含むマルウェアの流行●Android端末のOS最新化への対応の遅れ●官民でモバイルのプライバシー保護を強化する動き●モバイルデバイスの利用者監視機能(OS開発元、製品ベンダ、政府機関)●サードパーティ製のキーボード・アプリの危険性●ファクトリーリセットしても情報流出の起こる危険性●モバイルデバイスの脆弱性(OS、ハード)●Android4.3以前のWebView Google社によるパッチ開発終了
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
36 37
●標的の約7割は医薬業界、その他 証券、法務、M&A分野参照:http://www.computerworld.com/article/2853697/fireeye- suspects-fin4-hackers-are-americans-after-insider-info-to- game-stock-market.html
2. 事案の分析 - ❷ 大規模なサイバー攻撃と情報流出
●FIN4とは・上場企業の株価を左右する内部情報を狙って活動するグループの存在をFireEyeが検出し、このグループを「FIN4」と命名
・遅くとも2013年中ごろには活動を開始し、100社以上の企業を標的としていたことが明らかに・直接的な被害が露呈しないため、攻撃の検知が困難
●標的・標的の大半は、内部情報が株式に大きく影響する医療や製薬の関連企業
・新薬開発や国の規制、安全性や法的問題などにより株価が変動するため、内部情報窃取の対称に
・社内重要情報(企業秘密)を扱う経営幹部、法務関係者、顧問弁護士が攻撃の標的に
・証券会社やM&Aを手がける会社も標的に
●攻撃の手順・攻撃対象企業の取引先や関連会社の従業員アカウントを不正に入手・入手したアカウントから攻撃対象企業の標的(役員など)に、VBAマクロが組み込まれたOffice文書を添付したフィッシングメールを送付
・添付文書を開くとマクロが動き、Microsoft社メールソフト(Outlook)の偽ログイン認証画面を表示・偽ログイン画面でユーザIDとパスワードを窃取・窃取したログイン情報で標的のメールアカウントを閲覧、内部情報を窃取・不正に得た内部情報を株取引に利用
●調査・FireEyeは継続してFIN4の行動を追跡しているが、FIN4をTorを使って通信しているため追跡が難しく、正体はまだつかめていない。
・フィッシングメールには投資専門用語なども使われていることから、業界関係者がメンバーに関連していると想定される。・FIN4が得た利益も不明
●FIN4
・Sony Pictures Entertainmentに対して破壊的なサイバー攻撃が行われ、米国政府は北朝鮮の関与を断定しているがその十分な根拠は示されていない。
・POSを狙ったマルウェアで情報を窃取するサイバー攻撃により、大規模なチェーン店などでカード情報が窃取された。・明示的な被害が見られないために攻撃を検出しづらい巧妙な攻撃が報告された。・システムを破壊するような攻撃はすぐに発見されるが、被害の見えにくい情報漏えいなどは、攻撃に気づくまでに時間がかかる場合が多い。
事案のまとめ:大規模なサイバー攻撃と情報流出
●背景・iOSとは異なり、AndroidはOSの供給とハードの供給が別のため、Google社が最新のバージョンをリリースしても、すぐにすべてのAndroidに向けて最新のバージョンがリリースされるわけではない。
・スマートフォンが高機能化するにつれて、取得できる情報量が増加し、重要情報がスマートフォンに格納されるようになり、攻撃者が攻撃目標として狙うようになってきた。また、高機能化することでDDoS攻撃のボットとしても狙われるようになってきている。
・2要素認証では3種類のIDのうち2つで行われる。(1)ユーザが知っている、(2)ユーザが所有している、(3)ユーザ自身の特性。3つのうち(1)はパスワードで満たされるため、次に導入されやすいのは(2)に当てはまる携帯電話で、SMS認証が利用されやすい。
・NSAの諜報活動が暴露されたことによって、プライバシーへの関心が高まり、プライバシーに関連する脆弱性やアプリの危険性がメディアで報じられることが多くなった。
●詳細・FireEyeが見つけた悪意あるAndroidアプリでアイコンのパーミッション設定の悪用でユーザにフィッシングサイトのページを送り込む攻撃(Android icon permissions attack)を行っていた。Googleはこの攻撃に対処するパッチをOEMベンダ各社に対しリリースしたと語った。
・Kaspersky Labsによると、AndroidのTrojanであるStealer.aが2014年1~ 3月で最も感染しているモバイルTrojanである。ロシアで多く感染しているが、ベルギー、フランス、ラトビア、リトアニア、ドイツ、ベラルーシなどの多くの国で感染は見つかっている。
・Android向けのSMS Trojan FakeInstが66カ国のユーザをターゲットにしている。感染した場合、勝手にプレミアムSMSへメッセージを送り、被害者は2ドル課金される。作成者はロシア人と見られ、プレミアムSMSも被害者の地域にマッチさせた番号へ送信する。ただし、2014年4月時点ではGoogle Playから拡散された事例は確認されていないとのこと。
モバイルでのランサムウェアを含むマルウェアの流行
2014年度は、マルウェアによる攻撃がPCからモバイルへシフトする動きが見られた。モバイルOSのセキュリティ機能が強化される一方、OS・ハードの脆弱性やモバイルに関する監視活動も報告されている。本節では、このような新しい脅威のいくつかを分析する。
❸ モバイルの安全性
●モバイルでのランサムウェアを含むマルウェアの流行●Android端末のOS最新化への対応の遅れ●官民でモバイルのプライバシー保護を強化する動き●モバイルデバイスの利用者監視機能(OS開発元、製品ベンダ、政府機関)●サードパーティ製のキーボード・アプリの危険性●ファクトリーリセットしても情報流出の起こる危険性●モバイルデバイスの脆弱性(OS、ハード)●Android4.3以前のWebView Google社によるパッチ開発終了
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
38 39
・BitDefender社からの報告では、Android端末に対してCryptoLockerというランサムウェアが流行っており、例えばアダルトコンテンツを見るためにアプリ(マルウェア)をインストールすることで感染する。アプリをインストールすると位置情報を犯人に送信し、その地域の言語で「あなたの端末は暗号化された。解除するために300ドルを支払うこと」を要求されるが、実際は支払わなくても解除できる。ホームボタンでトップに戻り、その後セーフモードで端末を起動させることでアプリが削除できるため、まだ洗練はされていないとのこと。出回っているキットのバージョンはアメリカ、イギリス、フランス、ドイツを含む30カ国語に対応している。
・モバイルデバイスをターゲットにランサムウェアであるRevetonウイルスが世界中で広まっている模様、警察を騙って身代金を要求しており、欧州と米国で利益を出している。
・iPhone上のiCloudのアカウントが乗っ取られたらそのまま端末の制御が攻撃者に奪われてしまい、振込先のメッセージも丁寧に表示してくれるという状況になってしまっている。ランサムウェアと同じ手法で集金される事例が発生した。これについて後日、ロシアのハッカー2人の仕業だと判明した。手法としてはiCloudアカウントを抜き取るフィッシングサイトでアカウント収集を行ったと自白している。
・米国のAndroidユーザを標的にしたランサムウェアSvpengが、Kaspersky Labsによって発見された。Svpengは2013年9月にロシアで発見され、モバイルデバイスからペイメントカード情報を抜き取るために使われていた。今回のマルウェアは、新たな行動パターンのもので、テキストメッセージを送り、マルウェアに感染させ、偽のFBIペナルティー通知を表示させてデバイスをロックし、200ドルを電子マネーで請求する。
・Kaspersky社のエンジニアが、ブログでTrojan-Ransom.AndroidOS.Pletor.aについて語り、2014年5月中旬にブラックマーケットで5,000ドルの価格で新種のモバイル端末のデータを暗号化するTrojanが売りに出され、数日後の5月18日に感染が確認されたと伝えた。このエンジニアによるとこれまで確認できた検体すべてで、鍵がマルウェアの中に含まれているため、支払いは行わずカスペルスキー社に相談してほしいとのこと。
・スマートフォンを利用した2要素認証を狙ったマルウェアが拡散している(2014年7月)。判明している時点では世界6カ国30の金融機関に被害が及んでいる。被害が報告されているのは、日本・オーストリア・スウェーデン・スイスなどの金融機関で被害額は数百万ドルに及ぶと見られる。今回の一連の攻撃は「Operation Emmental(オペレーション エメンタル)」と名付けられている。
・2013年1月ごろからすでに、Androidスマートフォンへ感染し、DDoS攻撃のボットにするプログラムが発見されており、スマートフォンが高機能化するにつれて、攻撃に利用されるデバイスになってきている。
・Symantec社はAndroid版のRAT(リモートアクセスツール)から派生したDendroidというツールが出回っていることを2014年5月にブログで発表した。これは、専門知識が少なくても稼働させることが可能なマルウェアであり、管理画面やファームウェアのインタフェースがとても分かりやすいとして闇市場で人気であるとのこと。さらには300ドルという安価で販売されているにも関わらず、365日24時間のサポートがなされると販売者はうたっている。このRATの機能の中にはHTTP Flood攻撃を行わせる機能も備えており、DDoS攻撃ツールとしてAndroidデバイスを利用しようとする試みが行われていることを示していた。
2. 事案の分析 - ❸ モバイルの安全性
●攻撃メソッドの略図参照:http://www.neowin.net/news/over-75000-jailbroken-ios- devices-fall-prey-to-adthief-malware
・Fortinet社のセキュリティ研究者Axelle Apvrille氏の研究によると、 AdThief(別名Spad)はJailbreakしたiOS端末を狙うマルウェア。2014年8月時点では7万5,000台以上が感染していると報告された。今回発見された悪意のあるプログラムによって、既に2,200万以上もの広告から攻撃者は利益を得ているとのこと。結果としてその広告のクリック収入や成果報酬型の収入は攻撃者の収入となった。現在この悪意のあるプログラムは15もの広告プラットフォームを標的としており、その中にはGoogle傘下のAdMobやGoogle Mobile Adsも含まれ、最も多いのが中国の広告プラットフォームであることが確認されている。また米国、インドの広告プラットフォームも含まれている。
●Androidのシェアの棒グラフ (2014年10月2日~ 10月8日の1週間にGoogole Play Storeにアクセスした端末の統計データ。この時点では4.2より古い端末は47%となっている)参照:http://www.statista.com/statistics/271774/share-of-android-platforms-on-mobile-devices-with-android-os/
・すべてのパッチが当たった最新(2014年8月時点)のAndroid4.4までのAndroid端末でさえ、未だ攻撃される可能性があるとのこと。 addJavascriptInterface APIを使っているアプリには、CVE-2012-6636に起因する脆弱性が潜在し、addJavascriptInterfaceが使われている限り、最新のAndroid端末でも危険である。Google Play Storeの10万のAPKファイルを確認し、そのうち12%は最新のAndroid端末で動かす場合でも潜在的な脆弱性を含んだものだった。
Android端末のOS最新化への対応の遅れ
・2014年4月時点の発表ではHeartbleedの脆弱性の影響を受けるのはAndroid4.1.1で、Googleによると、このバージョンで稼働している端末は10%未満であるとのこと。しかし、端末数で言えば数百万台のAndroid端末が脆弱なまま。
・Androidアプリも脆弱なOpneSSLのバージョンのライブラリで作られている場合は、Heartbleedの影響を受ける。加えて、影響を受けるサーバへ接続しているアプリもある。影響を受けるサーバへアクセスしていたアプリは、2014年4月に7,000程度であることがトレンドマイクロ社の調査の結果、明らかになった。
・IBM社の研究者が重大なセキュリティ脆弱性を発見した。Androidのsecure storage service KeyStoreで見つかった脆弱性であり、スタックベースのバッファオーバーフローを起こすことができる。この脆弱性を利用したアプリによって、デバイスをロックする認証情報とマスターキーを不正に取得することができる。脆弱性は最新のAndroid 4.4では修正されている。しかし、最新版のAndroidを利用できているのは、2014年6月1日時点で13.5%
●スマートフォンの脆弱性・2012年に発見されたAndroidリモートコード実行の脆弱性(CVE-2012-6636)は、Android4.2で解消されているが、脆弱性が解消されていないAndroid4.2より古い端末が約50%ある。新しいAndroidが普及しないのは、ベンダやキャリア側の対応が必要になるため
Android platform version
Share of Android mobile devices
Jelly Bean 4.1.x
KitKat(4.4)
Jelly Bean 4.1.x
Gingerbread(2.3.3-2.3.7)
Ice Cream Sandwich(4.0.3-4.0.4)
Jelly Bean 4.3
Froyo(2.2)
0%
0.7%
8%
9.6%
11.4%
20.7%
24.5%
25.1%
2.5% 5% 7.5% 10% 12.5% 15% 17.5% 20% 22.5% 25% 27.5% 30%
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
38 39
・BitDefender社からの報告では、Android端末に対してCryptoLockerというランサムウェアが流行っており、例えばアダルトコンテンツを見るためにアプリ(マルウェア)をインストールすることで感染する。アプリをインストールすると位置情報を犯人に送信し、その地域の言語で「あなたの端末は暗号化された。解除するために300ドルを支払うこと」を要求されるが、実際は支払わなくても解除できる。ホームボタンでトップに戻り、その後セーフモードで端末を起動させることでアプリが削除できるため、まだ洗練はされていないとのこと。出回っているキットのバージョンはアメリカ、イギリス、フランス、ドイツを含む30カ国語に対応している。
・モバイルデバイスをターゲットにランサムウェアであるRevetonウイルスが世界中で広まっている模様、警察を騙って身代金を要求しており、欧州と米国で利益を出している。
・iPhone上のiCloudのアカウントが乗っ取られたらそのまま端末の制御が攻撃者に奪われてしまい、振込先のメッセージも丁寧に表示してくれるという状況になってしまっている。ランサムウェアと同じ手法で集金される事例が発生した。これについて後日、ロシアのハッカー2人の仕業だと判明した。手法としてはiCloudアカウントを抜き取るフィッシングサイトでアカウント収集を行ったと自白している。
・米国のAndroidユーザを標的にしたランサムウェアSvpengが、Kaspersky Labsによって発見された。Svpengは2013年9月にロシアで発見され、モバイルデバイスからペイメントカード情報を抜き取るために使われていた。今回のマルウェアは、新たな行動パターンのもので、テキストメッセージを送り、マルウェアに感染させ、偽のFBIペナルティー通知を表示させてデバイスをロックし、200ドルを電子マネーで請求する。
・Kaspersky社のエンジニアが、ブログでTrojan-Ransom.AndroidOS.Pletor.aについて語り、2014年5月中旬にブラックマーケットで5,000ドルの価格で新種のモバイル端末のデータを暗号化するTrojanが売りに出され、数日後の5月18日に感染が確認されたと伝えた。このエンジニアによるとこれまで確認できた検体すべてで、鍵がマルウェアの中に含まれているため、支払いは行わずカスペルスキー社に相談してほしいとのこと。
・スマートフォンを利用した2要素認証を狙ったマルウェアが拡散している(2014年7月)。判明している時点では世界6カ国30の金融機関に被害が及んでいる。被害が報告されているのは、日本・オーストリア・スウェーデン・スイスなどの金融機関で被害額は数百万ドルに及ぶと見られる。今回の一連の攻撃は「Operation Emmental(オペレーション エメンタル)」と名付けられている。
・2013年1月ごろからすでに、Androidスマートフォンへ感染し、DDoS攻撃のボットにするプログラムが発見されており、スマートフォンが高機能化するにつれて、攻撃に利用されるデバイスになってきている。
・Symantec社はAndroid版のRAT(リモートアクセスツール)から派生したDendroidというツールが出回っていることを2014年5月にブログで発表した。これは、専門知識が少なくても稼働させることが可能なマルウェアであり、管理画面やファームウェアのインタフェースがとても分かりやすいとして闇市場で人気であるとのこと。さらには300ドルという安価で販売されているにも関わらず、365日24時間のサポートがなされると販売者はうたっている。このRATの機能の中にはHTTP Flood攻撃を行わせる機能も備えており、DDoS攻撃ツールとしてAndroidデバイスを利用しようとする試みが行われていることを示していた。
2. 事案の分析 - ❸ モバイルの安全性
●攻撃メソッドの略図参照:http://www.neowin.net/news/over-75000-jailbroken-ios- devices-fall-prey-to-adthief-malware
・Fortinet社のセキュリティ研究者Axelle Apvrille氏の研究によると、 AdThief(別名Spad)はJailbreakしたiOS端末を狙うマルウェア。2014年8月時点では7万5,000台以上が感染していると報告された。今回発見された悪意のあるプログラムによって、既に2,200万以上もの広告から攻撃者は利益を得ているとのこと。結果としてその広告のクリック収入や成果報酬型の収入は攻撃者の収入となった。現在この悪意のあるプログラムは15もの広告プラットフォームを標的としており、その中にはGoogle傘下のAdMobやGoogle Mobile Adsも含まれ、最も多いのが中国の広告プラットフォームであることが確認されている。また米国、インドの広告プラットフォームも含まれている。
●Androidのシェアの棒グラフ (2014年10月2日~ 10月8日の1週間にGoogole Play Storeにアクセスした端末の統計データ。この時点では4.2より古い端末は47%となっている)参照:http://www.statista.com/statistics/271774/share-of-android-platforms-on-mobile-devices-with-android-os/
・すべてのパッチが当たった最新(2014年8月時点)のAndroid4.4までのAndroid端末でさえ、未だ攻撃される可能性があるとのこと。 addJavascriptInterface APIを使っているアプリには、CVE-2012-6636に起因する脆弱性が潜在し、addJavascriptInterfaceが使われている限り、最新のAndroid端末でも危険である。Google Play Storeの10万のAPKファイルを確認し、そのうち12%は最新のAndroid端末で動かす場合でも潜在的な脆弱性を含んだものだった。
Android端末のOS最新化への対応の遅れ
・2014年4月時点の発表ではHeartbleedの脆弱性の影響を受けるのはAndroid4.1.1で、Googleによると、このバージョンで稼働している端末は10%未満であるとのこと。しかし、端末数で言えば数百万台のAndroid端末が脆弱なまま。
・Androidアプリも脆弱なOpneSSLのバージョンのライブラリで作られている場合は、Heartbleedの影響を受ける。加えて、影響を受けるサーバへ接続しているアプリもある。影響を受けるサーバへアクセスしていたアプリは、2014年4月に7,000程度であることがトレンドマイクロ社の調査の結果、明らかになった。
・IBM社の研究者が重大なセキュリティ脆弱性を発見した。Androidのsecure storage service KeyStoreで見つかった脆弱性であり、スタックベースのバッファオーバーフローを起こすことができる。この脆弱性を利用したアプリによって、デバイスをロックする認証情報とマスターキーを不正に取得することができる。脆弱性は最新のAndroid 4.4では修正されている。しかし、最新版のAndroidを利用できているのは、2014年6月1日時点で13.5%
●スマートフォンの脆弱性・2012年に発見されたAndroidリモートコード実行の脆弱性(CVE-2012-6636)は、Android4.2で解消されているが、脆弱性が解消されていないAndroid4.2より古い端末が約50%ある。新しいAndroidが普及しないのは、ベンダやキャリア側の対応が必要になるため
Android platform version
Share of Android mobile devices
Jelly Bean 4.1.x
KitKat(4.4)
Jelly Bean 4.1.x
Gingerbread(2.3.3-2.3.7)
Ice Cream Sandwich(4.0.3-4.0.4)
Jelly Bean 4.3
Froyo(2.2)
0%
0.7%
8%
9.6%
11.4%
20.7%
24.5%
25.1%
2.5% 5% 7.5% 10% 12.5% 15% 17.5% 20% 22.5% 25% 27.5% 30%
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
40 41
官民でモバイルのプライバシー保護を強化する動き
2. 事案の分析 - ❸ モバイルの安全性
●公的機関のプライバシーセキュリティ強化の動き・スマートフォン「キルスイッチ*1法」がカリフォルニア州で2014年8月25日に成立し、州内で販売されるすべてのスマートフォンで盗難防止セキュリティ機能を自動的に有効にすることを義務付ける米国初の州となった。
・ロンドン警視庁は、デフォルトでスマートフォンをパスワード保護するよう推し進めている。2012年からスマートフォン製造業者へ、より厳しいセキュリティ評価をするよう強いてきた。2014年8月22日時点、ロンドン警視庁は、AppleとSamsungと交渉中。Samsungは喜んでサポートしたいと述べている。
●Androidのキルスイッチ使用時の待ち受け画面参照:http://getnews.jp/archives/641310
●iPhoneのFind My iPhone使用時の待ち受け画面参照:http://www.appbank.net/2013/09/19/ iphone-news/664739.php
*1 キルスイッチ:スマートフォンが盗まれたときに所有者が本体をロックして操作不能にすることができる機能。 2014年第2四半期時点ではAndroid OSには搭載されておらず、Android 5.0 Lolipopにて実装されることになった。
●Baseband Firewallのキャプチャ参照:http://gigazine.net/news/20140904-fake-mobile- tower-interception/
モバイルデバイスの利用者監視機能●iOSに搭載されている監視Toolについての動き・ニューヨークで開催されたHackers On Planet Earthというカンファレンスで、データフォレンジックの専門家であるZdziarski氏が発表した調査結果によると、 Apple社のiOSに標準で搭載されているToolを使うと、バックアップ暗号化機能をバイパスして端末内のアドレス帳、保存されている写真などの全ユーザデータを盗み見たり、ファイルを外部のサーバに転送できる。
・Zdziarski氏は、例え政府からの指示でもCALEA法*2の範疇を超えているのではないかと思うと話している。漏れている情報というのは重要な個人情報であり、利用者に通知がないのはおかしい。
・指摘に対しApple社は「診断用の機能」と反論した。 ・専門家達はiOS端末を遠隔で起動したり、スパイ活動やそれ以上のことができることを発見している。・専門家達の指摘に対して、Apple社は3つの文書化されていない機能について解説し、これらの機能はiOS端末をアンロックし接続したPCを「信頼する」と指定しないと機能しないことから不正利用はできないと反論している。
●中国製スマートフォンのユーザ監視についての動き・F-secureの研究者が2014年8月7日に調査した結果をブログへ投稿した。調査は中国のXiaomi社製のスマートフォンがWi-Fiへの接続を確立したタイミングでデータを北京のサーバへ勝手に送信しているかを確認する調査であり、実際に送信していた。転送される情報は、使っている電話のIMEI番号、IMSI番号、保存されている連絡先とその詳細、テキストメッセージ。ユーザへの確認が行われずに送信されていた。
・これに対してXiaomi社の副社長Hugo Barra氏が、Google+で2014年8月10日に IMEI番号、IMSI番号の収集については、iMessageと同様のSMS通信費用がかからずに電話番号でメッセージを送信できる機能があり、その機能を利用させるためにIMEI番号、IMSI番号の収集していたと弁明した。ほかにもQ&A形式で今回の問題について弁明を掲載した。
・Google+で弁明した投稿で2014年8月10日にデータをユーザの確認をせずに勝手に送信しないように設定されたファームウェアのアップデートを提供することを告知し、アップデートをリリースした。
*2 CALEA法(法執行のための通信援助法):裁判所命令やその他の法的許可を得た捜査官が特定の電話通話を傍受し、電話発信者の身元データに迅速にアクセスできるシステムの設置を電気通信事業者に義務付けている。また、電気通信事業者に対し、傍受されたデータを、施設外への持ち出し、あるいは転送が可能な形で政府機関に引き渡すことを義務付けている。
●政府による監視強化・ESD America社のCEOであるLes Goldsmith氏によると、同社が一般的なスマートフォンに搭載されているAndroidから468個もの脆弱性を取り除いた「CryptoPhone 500」というセキュアフォンを開発、販売している。
・ESD America社のセキュリティチームが通常のAndroid端末のファイアウォールを調査したところ、1時間ごとに80~ 90回のデータ漏えいが発生していることが判明し、その信号をトラッキングした結果、インターセプター(偽の携帯電話基地局)への通信を確認した。
・「CryptoPhone 500」に搭載された特別にセキュリティ強化したOSにはBaseband Firewallが搭載されていて、インターセプターの位置を検出することが可能になる。
・同社やユーザが同端末を使用して作成したマップには、少なくとも17機ものインターセプターの場所が明記されている。スマートフォンがインターセプターに接続されると、無線通信を介して通話の盗聴や中間者攻撃が可能になってしまうとのこと。
・インターセプターは特殊なセルラー・ネットワーク・プロトコルを使用して暗号化を突破できるソフトウェアを搭載したPCのようなもの。AndroidやiOSを搭載したすべてのデバイスには第2のOSと呼ばれるRTOS(リアルタイム・オペレーティング・システム)が組み込まれており、RTOSはスマートフォンのベースバンド・プロセッサという半導体集積回路上で動作する。ベースバンド・プロセッサは、メインOSと携帯電話基地局の中継点のようなもので、インターセプターはベースバンド・プロセッサを介して通話の盗聴やスパイウェア攻撃を行うとのこと。
・Goldsmith氏は「インターセプターを設置した組織や、建設目的は不明。しかし、発見されたインターセプターの位置は、すべてアメリカ軍基地内にある。普通ならアメリカ政府が疑わしいが他国が設置した可能性も排除できない」と発言している。
●インターセプターの場所を記した地図参照:http://www.popsci.com/sites/popsci.com/files/styles/image_full/public/esdmap.jpeg
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
40 41
官民でモバイルのプライバシー保護を強化する動き
2. 事案の分析 - ❸ モバイルの安全性
●公的機関のプライバシーセキュリティ強化の動き・スマートフォン「キルスイッチ*1法」がカリフォルニア州で2014年8月25日に成立し、州内で販売されるすべてのスマートフォンで盗難防止セキュリティ機能を自動的に有効にすることを義務付ける米国初の州となった。
・ロンドン警視庁は、デフォルトでスマートフォンをパスワード保護するよう推し進めている。2012年からスマートフォン製造業者へ、より厳しいセキュリティ評価をするよう強いてきた。2014年8月22日時点、ロンドン警視庁は、AppleとSamsungと交渉中。Samsungは喜んでサポートしたいと述べている。
●Androidのキルスイッチ使用時の待ち受け画面参照:http://getnews.jp/archives/641310
●iPhoneのFind My iPhone使用時の待ち受け画面参照:http://www.appbank.net/2013/09/19/ iphone-news/664739.php
*1 キルスイッチ:スマートフォンが盗まれたときに所有者が本体をロックして操作不能にすることができる機能。 2014年第2四半期時点ではAndroid OSには搭載されておらず、Android 5.0 Lolipopにて実装されることになった。
●Baseband Firewallのキャプチャ参照:http://gigazine.net/news/20140904-fake-mobile- tower-interception/
モバイルデバイスの利用者監視機能●iOSに搭載されている監視Toolについての動き・ニューヨークで開催されたHackers On Planet Earthというカンファレンスで、データフォレンジックの専門家であるZdziarski氏が発表した調査結果によると、 Apple社のiOSに標準で搭載されているToolを使うと、バックアップ暗号化機能をバイパスして端末内のアドレス帳、保存されている写真などの全ユーザデータを盗み見たり、ファイルを外部のサーバに転送できる。
・Zdziarski氏は、例え政府からの指示でもCALEA法*2の範疇を超えているのではないかと思うと話している。漏れている情報というのは重要な個人情報であり、利用者に通知がないのはおかしい。
・指摘に対しApple社は「診断用の機能」と反論した。 ・専門家達はiOS端末を遠隔で起動したり、スパイ活動やそれ以上のことができることを発見している。・専門家達の指摘に対して、Apple社は3つの文書化されていない機能について解説し、これらの機能はiOS端末をアンロックし接続したPCを「信頼する」と指定しないと機能しないことから不正利用はできないと反論している。
●中国製スマートフォンのユーザ監視についての動き・F-secureの研究者が2014年8月7日に調査した結果をブログへ投稿した。調査は中国のXiaomi社製のスマートフォンがWi-Fiへの接続を確立したタイミングでデータを北京のサーバへ勝手に送信しているかを確認する調査であり、実際に送信していた。転送される情報は、使っている電話のIMEI番号、IMSI番号、保存されている連絡先とその詳細、テキストメッセージ。ユーザへの確認が行われずに送信されていた。
・これに対してXiaomi社の副社長Hugo Barra氏が、Google+で2014年8月10日に IMEI番号、IMSI番号の収集については、iMessageと同様のSMS通信費用がかからずに電話番号でメッセージを送信できる機能があり、その機能を利用させるためにIMEI番号、IMSI番号の収集していたと弁明した。ほかにもQ&A形式で今回の問題について弁明を掲載した。
・Google+で弁明した投稿で2014年8月10日にデータをユーザの確認をせずに勝手に送信しないように設定されたファームウェアのアップデートを提供することを告知し、アップデートをリリースした。
*2 CALEA法(法執行のための通信援助法):裁判所命令やその他の法的許可を得た捜査官が特定の電話通話を傍受し、電話発信者の身元データに迅速にアクセスできるシステムの設置を電気通信事業者に義務付けている。また、電気通信事業者に対し、傍受されたデータを、施設外への持ち出し、あるいは転送が可能な形で政府機関に引き渡すことを義務付けている。
●政府による監視強化・ESD America社のCEOであるLes Goldsmith氏によると、同社が一般的なスマートフォンに搭載されているAndroidから468個もの脆弱性を取り除いた「CryptoPhone 500」というセキュアフォンを開発、販売している。
・ESD America社のセキュリティチームが通常のAndroid端末のファイアウォールを調査したところ、1時間ごとに80~ 90回のデータ漏えいが発生していることが判明し、その信号をトラッキングした結果、インターセプター(偽の携帯電話基地局)への通信を確認した。
・「CryptoPhone 500」に搭載された特別にセキュリティ強化したOSにはBaseband Firewallが搭載されていて、インターセプターの位置を検出することが可能になる。
・同社やユーザが同端末を使用して作成したマップには、少なくとも17機ものインターセプターの場所が明記されている。スマートフォンがインターセプターに接続されると、無線通信を介して通話の盗聴や中間者攻撃が可能になってしまうとのこと。
・インターセプターは特殊なセルラー・ネットワーク・プロトコルを使用して暗号化を突破できるソフトウェアを搭載したPCのようなもの。AndroidやiOSを搭載したすべてのデバイスには第2のOSと呼ばれるRTOS(リアルタイム・オペレーティング・システム)が組み込まれており、RTOSはスマートフォンのベースバンド・プロセッサという半導体集積回路上で動作する。ベースバンド・プロセッサは、メインOSと携帯電話基地局の中継点のようなもので、インターセプターはベースバンド・プロセッサを介して通話の盗聴やスパイウェア攻撃を行うとのこと。
・Goldsmith氏は「インターセプターを設置した組織や、建設目的は不明。しかし、発見されたインターセプターの位置は、すべてアメリカ軍基地内にある。普通ならアメリカ政府が疑わしいが他国が設置した可能性も排除できない」と発言している。
●インターセプターの場所を記した地図参照:http://www.popsci.com/sites/popsci.com/files/styles/image_full/public/esdmap.jpeg
2世の中のサイバーセキュリティ事案
42
●SilentCircle社のイメージ画像参照:http://www.itpro.co.uk/644263/silent-circle- launches-encryption-app-for-ios-devices ●SilentCircleのBlackphone
参照:https://silentcircle.com/services #blackphone
●Accuvant社のロゴ参照:http://www.accuvant.com/
●Qualcomm社のチップ参照:http://telematicswire.net/qualcomm- ranks-1-as-gps-ic-vendor/
サードパーティ製のキーボード・アプリの危険性
2. 事案の分析 - ❸ モバイルの安全性
●スマートフォンの脆弱性①・主要なモバイルデバイスのプラットフォームでは、サードパーティ製のキーボード・アプリを利用することができる。 キーボード・アプリでは、ユーザ辞書をクラウド上で共有すると複数のデバイスで同じユーザ辞書が使えるなど、利便性を向上する目的でネットワークアクセスを求めてくるものがある。しかし、キーボード・アプリにネットワーク・アクセスを与えることは、キーストロークやデータ収集、漏えい、データの不正利用の機会を与えるということを理解すべきである。
ファクトリーリセットしても情報流出の起こる危険性
モバイルデバイスの脆弱性
●スマートフォンの脆弱性②・Avast社は、中古Android端末上の削除された個人情報などのデータにアクセス可能であると警告を出した。同社は、オンラインオークションで20台の中古のAndroid端末を購入。単純で簡単に手に入るソフトウェアで4万枚の保存された写真を含む多くのデータファイルにアクセスすることができたとブログで公開している。問題の原因は、ファクトリーリセット機能は実際に携帯のストレージからデータを消し去ることができないため。防御策は暗号化してからファクトリーリセットをするとよいとのこと。
●スマートフォンの脆弱性
■キーボード・アプリが通信を行う際の危険性の例
■スマートフォンのファクトリーリセットからデータ復元の流れ
キーボード・アプリをダウンロード
キーボード・アプリを利用して、メールを作ったり、ブラウジングする。
キーボード・アプリが入力した内容を
勝手に外部サーバへ送信
ファクトリーリセットを行う。表面上はデータが消えたように見えるが、が、が 情報の実体は残ったまま
ファクトリーリセット
情報の実体が残ったまま、端末が第三者の手に渡る。
情報の実体が残っているので、ツールなどを使って情報を復元される。
復元入手
① ② ③
データ データデータ データ
サイバーセキュリティティテ
アニュアルレポート
2世の中のサイバーセキュリティ事案
43
●SilentCircle社のイメージ画像参照:http://www.itpro.co.uk/644263/silent-circle- launches-encryption-app-for-ios-devices ●SilentCircleのBlackphone
参照:https://silentcircle.com/services #blackphone
●Accuvant社のロゴ参照:http://www.accuvant.com/
●Qualcomm社のチップ参照:http://telematicswire.net/qualcomm- ranks-1-as-gps-ic-vendor/
サードパーティ製のキーボード・アプリの危険性●スマートフォンの脆弱性①
ファクトリーリセットしても情報流出の起こる危険性
モバイルデバイスの脆弱性
●スマートフォンの脆弱性②
●スマートフォンの脆弱性・暗号化通信を手がける Silent Circle社が開発したBlackphoneはセキュリティを第一に考えたモバイルOS「PrivatOS」が搭載されており、このOSは特にプライバシー情報の漏えい防止とデバイスコントロール機能を特徴としているため、ビジネスユースにも適していると言われている。このBlackphoneが、2014年8月ラスベガスで行われたDefconでroot化された。 Android界で‘JCase’として知られる著名なハッカー、Justin Case氏が入手してすぐにroot化したという。この事実が発覚してすぐにSilent Circle社はアップデートを行い、すぐにバグを修正している。
・Accuvant社のMathew Solnik氏は、約9メートル離れた場所から、持ち主や通信会社に知られることなくスマートフォンを乗っ取ることができるという発表をラスベガスで開催されたBlackhat2014で発表した。スマートフォンのマイク機能を立ち上げたり、連絡先を閲覧したり、メールを読んだりすることも可能だという。スマートフォンは常にインターネットと接続し、たまにしかアップデートされないため、安全を保つのが難しい。 Solnik氏は、スマートフォンに自分が通信会社だと思い込ませるため、「偽の基地局」として機能するものを使う。1,000ドル未満で入手可能という小型のノートパソコンほどの大きさの偽の基地局は、9メートル以内の場所から、悪意のあるコードをスマートフォンにアップロードできる。この技術は一部の端末でしか機能しないというが、どの端末で機能するかは明らかにしなかった。彼らのハッキング技術は、半導体大手のQualcomm社製ベースバンドチップと連動するソフトウェアに影響を及ぼす。 Qualcomm社の製品は、現在スマートフォンに使われている圧倒的大多数のベースバンドチップを製造する。 Qualcomm社は、 Accuvant社がセキュリティホールを見つけたことを確認し、影響を受けた企業の修正を支援していることを明らかにした。
・Google Playの最近の更新でアプリが使用する権限の表示が簡略化され、詳細を見るボタンをタップしなければ、カテゴライズされた権限グループが見えるのみとなっている。さらには最近のアプリはネット接続が当たり前になっているので、通信に関するパーミッションの確認の表示がない。問題なのは、自動更新によってアプリから新しい権限を求められた場合、今まではどんなパーミッションでも許可を求められていたのに対し、今回の変更によって同じカテゴリの権限であれば自動で許可してしまうとのこと。
■キーボード・アプリが通信を行う際の危険性の例
■スマートフォンのファクトリーリセットからデータ復元の流れ
① ② ③
データ データ
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
44 45
Android4.3以前のWebView Google社によるパッチ開発終了
事案のまとめ:モバイルの安全性
2. 事案の分析 - ❸ モバイルの安全性
・Android端末は極めて狙われやすい。・Android以外にiOSも標的にされており、マルウェアも確認されている。・Androidに限らず、iOSに関しても盗聴の危険性がある。・パソコンで行われていた攻撃手法を利用するケースも出てきた。・フィッシングの標的にもされている。・スマートフォンデバイス自体の高機能化によって、DDoS攻撃のボットとして使用される。・2要素認証を奪取する目的でモバイルデバイスが狙われる場合がある。・スマートフォンのプライバシー保護や安全性が求められている。・スマートフォンのロック画面のパスワード保護を設定するなど利用者意識の改善が求められている。・ユーザに秘密裏に情報を送信したり、メンテナンス用のバックドア機能を設置するというベンダの行為は、発見されると大騒ぎに発展する。製品に対する透明性がより求められる。
・ファクトリー・リセットやキーボード・アプリの危険性など、運用面においてのリスクも表面化してきた。
・Rapid7の研究者が2015年1月12日のブログで発表したところによると、Google社はAndroid 4.3以前のWebViewに関してはGoogle社ではパッチの開発を行わないとのこと。同研究者がAndroid 4.3以前のWebViewについて発見した脆弱性をGoogle社に報告した際の返答から明らかになった。
・2015年1月15日時点での統計によると、Android利用者のうち約60%がAndroid 4.3以前を利用しており、9億3,000万台以上のAndroid端末が影響を受けると見られる。
・WebViewはAndroid 4.3までのバージョンで使われていたWebページ表示のためのコンポーネントでありOSに組み込まれていた。Android 4.4からは同機能はOSの組み込みから切り離され、Chromiumベースの別コンポーネントに変更された。
・Google社のAndroidセキュリティ担当が2015年1月24日に説明を行った。・Android4.3以前のWebViewの脆弱性パッチを提供しないことを認める。・Android4.3以前のWebViewのブラウザエンジンに用いられるWebKitはそれだけで約500万行のコードで書かれており、脆弱性に対するパッチ作成を安全に実行するのは現実的ではない。
・利用者の多くが新しいOSにアップグレードしていくので影響は減少していく。・Android4.3以前の利用者は、WebViewを使うプリインストールされたWebブラウザではなく、WebViewを使わないChromeあるいはFirefoxなどをGoogle Playからダウンロードして使って欲しい。
●Androidアーキテクチャ参照:https://www.jssec.org/report/securecoding.html
・スノーデン氏の告発により、世界的に自身のプライバシー保護や、政府機関の盗聴および政府機関に協力する企業に対する関心が高まっている。
・民間組織においても、公的機関の盗聴の実態を告発する動きが活発化している。・企業でも、政府機関などからの盗聴を防ぐ新しい通信デバイス、サービスの開発、提供が活発化している。・欧州と米国では個人情報保護に関する法律が大きく異なる。米国では包括的に個人情報を保護する法整備の取り組みは見られない*1。
・主に広告収入増を狙った企業間の競争により、個人情報・嗜好の収集が高度化している。・製品やサービスのプライバシー保護強化に対し、諜報機関・法執行機関が警戒を強めている。
●公的機関による携帯電話の追跡の実態の人権団体による公表●グローバル企業が企業活動の透明性レポートを公表●EUの事故対応のための情報収集施策とプライバシー保護との対立●欧州の「忘れられる権利」への対応の義務化●Facebook社が無断で利用者のタイムラインの表示内容を変更した実験についての批判●その他米国企業による個人情報収集問題●政府機関のプライバシー情報への合法的なアクセス拡大を求める動きと人権保護団体との対立●Torの匿名性解除の動き
2014年度は、世界的に自身のプライバシー保護や政府機関の盗聴に対する関心の高まりに対する具体的な活動の進展が見られた。本節では、このような新しいプライバシーの扱いに関する活動のいくつかを分析する。
背景
公的機関による携帯電話の追跡の実態の人権団体による公表
・アメリカ自由人権協会(American Civil Liberties Union、ACLU)は2014年6月、アメリカの15の州でStingrayとして知られる携帯電話の偽の基地局が州と法執行機関によって利用されていることを明らかにした。
・ACLUの調査は、報道および公的に利用可能な文書に基づいて実施された。・ボルチモア、シカゴ、ヒューストン、ツーソン、ロサンゼルス、アンカレッジなどの地域の警察がこれらを利用している。・米政府の12の法執行機関(FBIやNSAなど)は州をまたいでこれらを利用している。・プライバシー擁護派は、法執行機関が特定のターゲットを追跡するためにStingrayを使用する際に、大量の無関係の人々のデータも収集されてしまうことに懸念を示している。
●政府による携帯電話の追跡「Stingray」
●詳細
❹ プライバシーの扱い
*1 2015年1月12日、オバマ大統領は米国民のデータを保護するための法案「Personal Data Notification and Protection Act」を提出した。同法案は企業にデータ 漏えいの発覚後30日以内に本人への通知を求めるものとのこと
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
44 45
Android4.3以前のWebView Google社によるパッチ開発終了
事案のまとめ:モバイルの安全性
2. 事案の分析 - ❸ モバイルの安全性
・Android端末は極めて狙われやすい。・Android以外にiOSも標的にされており、マルウェアも確認されている。・Androidに限らず、iOSに関しても盗聴の危険性がある。・パソコンで行われていた攻撃手法を利用するケースも出てきた。・フィッシングの標的にもされている。・スマートフォンデバイス自体の高機能化によって、DDoS攻撃のボットとして使用される。・2要素認証を奪取する目的でモバイルデバイスが狙われる場合がある。・スマートフォンのプライバシー保護や安全性が求められている。・スマートフォンのロック画面のパスワード保護を設定するなど利用者意識の改善が求められている。・ユーザに秘密裏に情報を送信したり、メンテナンス用のバックドア機能を設置するというベンダの行為は、発見されると大騒ぎに発展する。製品に対する透明性がより求められる。
・ファクトリー・リセットやキーボード・アプリの危険性など、運用面においてのリスクも表面化してきた。
・Rapid7の研究者が2015年1月12日のブログで発表したところによると、Google社はAndroid 4.3以前のWebViewに関してはGoogle社ではパッチの開発を行わないとのこと。同研究者がAndroid 4.3以前のWebViewについて発見した脆弱性をGoogle社に報告した際の返答から明らかになった。
・2015年1月15日時点での統計によると、Android利用者のうち約60%がAndroid 4.3以前を利用しており、9億3,000万台以上のAndroid端末が影響を受けると見られる。
・WebViewはAndroid 4.3までのバージョンで使われていたWebページ表示のためのコンポーネントでありOSに組み込まれていた。Android 4.4からは同機能はOSの組み込みから切り離され、Chromiumベースの別コンポーネントに変更された。
・Google社のAndroidセキュリティ担当が2015年1月24日に説明を行った。・Android4.3以前のWebViewの脆弱性パッチを提供しないことを認める。・Android4.3以前のWebViewのブラウザエンジンに用いられるWebKitはそれだけで約500万行のコードで書かれており、脆弱性に対するパッチ作成を安全に実行するのは現実的ではない。
・利用者の多くが新しいOSにアップグレードしていくので影響は減少していく。・Android4.3以前の利用者は、WebViewを使うプリインストールされたWebブラウザではなく、WebViewを使わないChromeあるいはFirefoxなどをGoogle Playからダウンロードして使って欲しい。
●Androidアーキテクチャ参照:https://www.jssec.org/report/securecoding.html
・スノーデン氏の告発により、世界的に自身のプライバシー保護や、政府機関の盗聴および政府機関に協力する企業に対する関心が高まっている。
・民間組織においても、公的機関の盗聴の実態を告発する動きが活発化している。・企業でも、政府機関などからの盗聴を防ぐ新しい通信デバイス、サービスの開発、提供が活発化している。・欧州と米国では個人情報保護に関する法律が大きく異なる。米国では包括的に個人情報を保護する法整備の取り組みは見られない*1。
・主に広告収入増を狙った企業間の競争により、個人情報・嗜好の収集が高度化している。・製品やサービスのプライバシー保護強化に対し、諜報機関・法執行機関が警戒を強めている。
●公的機関による携帯電話の追跡の実態の人権団体による公表●グローバル企業が企業活動の透明性レポートを公表●EUの事故対応のための情報収集施策とプライバシー保護との対立●欧州の「忘れられる権利」への対応の義務化●Facebook社が無断で利用者のタイムラインの表示内容を変更した実験についての批判●その他米国企業による個人情報収集問題●政府機関のプライバシー情報への合法的なアクセス拡大を求める動きと人権保護団体との対立●Torの匿名性解除の動き
2014年度は、世界的に自身のプライバシー保護や政府機関の盗聴に対する関心の高まりに対する具体的な活動の進展が見られた。本節では、このような新しいプライバシーの扱いに関する活動のいくつかを分析する。
背景
公的機関による携帯電話の追跡の実態の人権団体による公表
・アメリカ自由人権協会(American Civil Liberties Union、ACLU)は2014年6月、アメリカの15の州でStingrayとして知られる携帯電話の偽の基地局が州と法執行機関によって利用されていることを明らかにした。
・ACLUの調査は、報道および公的に利用可能な文書に基づいて実施された。・ボルチモア、シカゴ、ヒューストン、ツーソン、ロサンゼルス、アンカレッジなどの地域の警察がこれらを利用している。・米政府の12の法執行機関(FBIやNSAなど)は州をまたいでこれらを利用している。・プライバシー擁護派は、法執行機関が特定のターゲットを追跡するためにStingrayを使用する際に、大量の無関係の人々のデータも収集されてしまうことに懸念を示している。
●政府による携帯電話の追跡「Stingray」
●詳細
❹ プライバシーの扱い
*1 2015年1月12日、オバマ大統領は米国民のデータを保護するための法案「Personal Data Notification and Protection Act」を提出した。同法案は企業にデータ 漏えいの発覚後30日以内に本人への通知を求めるものとのこと
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
46 47
2. 事案の分析 - ❹ プライバシーの扱い
●Stingrayの存在が確認された州のマップ参照:https://www.aclu.org/maps/stingray-tracking-devices-whos-got-them
グローバル企業が企業活動の透明性レポートを公表
・英国の通信会社Vodafone社は、2014年6月、サービスを提供している29カ国での政府機関による利用者の通話・データ通信(以下、通信)に対する監視活動に関する88ページにわたるレポートを公表した。
・同社は利用者のプライバシーを尊重するが、各国で定める国家機密保護および安全保障のための法には従わなければならない、としている。
・29カ国のうち多くの国では、法執行機関と諜報機関は利用者の通信を盗聴するには令状など正当な根拠が必須である。・6カ国については、政府は通信を常時監視できる接続装置を持っている。・令状なしに直接に政府機関が盗聴できる国に関しては、国による監視方法の公開を禁止する法律により公開できない。・人権保護団体のLibertyのDirectorであるShami Chakrabarti氏は「政府がスイッチ一つで通信を盗聴できるのは前代未聞でぞっとすることだ」と発言した。
●Vodafone社による透明性レポート
EUの事故対応のための情報収集施策とプライバシー保護との対立
・EUでの計画では、英国で2015年10月以降に新しく生産される自動車には、自動車の位置を追跡するeCallと呼ばれる「ブラックボックス」の装備を義務化する。
・これは衝突事故のような緊急事態に自動車の位置を特定するために設計されている。・欧州委員会では、2015年10月以降に欧州で販売される自動車にはこの装置を設置することを既に決定している。・この装置により、自動車の価格に少なくとも100ポンドの追加になると見込まれる。・英国政府は、深刻なプライバシー侵害、警察や保険会社により自動車の位置情報が監視される懸念を示しつつも、EUの決定には対抗できないとしている。
・EUはeCallによって年間2,500人の人命を救うことができると主張している。
●EUによる自動車追跡装置の装備の義務化
欧州の「忘れられる権利」への対応の義務化
プライバシー保護に関する権利の概念の一つ。適切な期間を経た後も個人に関する情報が残っている場合は、これを削除する権利があるという考えに基づく。EUでは、個人情報保護を規定するGeneral Data Protection Regulation(2014年)にて、データ元の個人から請求があった場合、該当する情報を検索結果や記事などのデータ管理者が削除することを義務付けている。 ・Googleは検索結果に対する削除要請があると、対象サイトの管理者に対象URLを通知している。BBCがGoogle検索から削除された犯罪記事などを再度掲載することで、皮肉なことに多くの人々がその出来事を思い出す結果となった。
・米国のプログラマーが個人で「Hidden from Google」というサイトを立ち上げ、Google検索結果から削除されたサイトを掲載した。作成者は「忘れられる権利」の議論の活性化のためであり、サイト自体が有害であれば閉鎖も考える、としている。
・EU内からも、Googleは検索結果を表示しているに過ぎず、非常に昔の出来事で人を判断しているのは人間である、というEUにも問題があるという見解も出ている。
・Googleは「忘れられる権利」に関する混乱を受けて、公開討論会を実施した。・BBCはGoogleの公開討論会で、裁判のニュースなどが検索から削除されることは公益に反するとして「Right to remember(覚えている権利)」を主張した。BBCでは2014年10月17日までに46のリンクがGoogleの検索結果から削除された。
・Wikipediaは「歴史を検閲するな(Don’t censor history)」として、「忘れられる権利」に反対の意思を表明した。・Microsoft社はBingにおいて、「忘れられる権利」に基づく削除申込のツールを設置した。・Skyhigh Networks社の調査によると、EU域内で2015年から有効になるデータ保護法について7,000以上のサービスのうち、法律に対処できているのは1%にしか過ぎないとのこと。この法律には「忘れられる権利」に基づくデータ削除対応も含まれる。
・EFF(電子フロンティア財団)のDanny O’Brian国際理事は欧州司法省(ECJ)のGoogleに対し規制をかける判決に対し、「非常に失望した」「内容が非常にあいまいだ」との懸念を表明した。
●忘れられる権利
●Googleによる検索結果からの削除と、指摘されている問題点
Google個人
データ管理者社会
① 削除申請○ ユーザが自身の 好ましくない 検索結果を見つける
0
⑤ 閲覧される
③ 検索結果削除を通知
④ 削除記事が再び ニュースになる
② 検索結果から削除 (2014年10月10日 時点で 削除申請は 14万件以上)
⑥ 却って注目を 浴びてしまう(問題点)
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
46 47
2. 事案の分析 - ❹ プライバシーの扱い
●Stingrayの存在が確認された州のマップ参照:https://www.aclu.org/maps/stingray-tracking-devices-whos-got-them
グローバル企業が企業活動の透明性レポートを公表
・英国の通信会社Vodafone社は、2014年6月、サービスを提供している29カ国での政府機関による利用者の通話・データ通信(以下、通信)に対する監視活動に関する88ページにわたるレポートを公表した。
・同社は利用者のプライバシーを尊重するが、各国で定める国家機密保護および安全保障のための法には従わなければならない、としている。
・29カ国のうち多くの国では、法執行機関と諜報機関は利用者の通信を盗聴するには令状など正当な根拠が必須である。・6カ国については、政府は通信を常時監視できる接続装置を持っている。・令状なしに直接に政府機関が盗聴できる国に関しては、国による監視方法の公開を禁止する法律により公開できない。・人権保護団体のLibertyのDirectorであるShami Chakrabarti氏は「政府がスイッチ一つで通信を盗聴できるのは前代未聞でぞっとすることだ」と発言した。
●Vodafone社による透明性レポート
EUの事故対応のための情報収集施策とプライバシー保護との対立
・EUでの計画では、英国で2015年10月以降に新しく生産される自動車には、自動車の位置を追跡するeCallと呼ばれる「ブラックボックス」の装備を義務化する。
・これは衝突事故のような緊急事態に自動車の位置を特定するために設計されている。・欧州委員会では、2015年10月以降に欧州で販売される自動車にはこの装置を設置することを既に決定している。・この装置により、自動車の価格に少なくとも100ポンドの追加になると見込まれる。・英国政府は、深刻なプライバシー侵害、警察や保険会社により自動車の位置情報が監視される懸念を示しつつも、EUの決定には対抗できないとしている。
・EUはeCallによって年間2,500人の人命を救うことができると主張している。
●EUによる自動車追跡装置の装備の義務化
欧州の「忘れられる権利」への対応の義務化
プライバシー保護に関する権利の概念の一つ。適切な期間を経た後も個人に関する情報が残っている場合は、これを削除する権利があるという考えに基づく。EUでは、個人情報保護を規定するGeneral Data Protection Regulation(2014年)にて、データ元の個人から請求があった場合、該当する情報を検索結果や記事などのデータ管理者が削除することを義務付けている。 ・Googleは検索結果に対する削除要請があると、対象サイトの管理者に対象URLを通知している。BBCがGoogle検索から削除された犯罪記事などを再度掲載することで、皮肉なことに多くの人々がその出来事を思い出す結果となった。
・米国のプログラマーが個人で「Hidden from Google」というサイトを立ち上げ、Google検索結果から削除されたサイトを掲載した。作成者は「忘れられる権利」の議論の活性化のためであり、サイト自体が有害であれば閉鎖も考える、としている。
・EU内からも、Googleは検索結果を表示しているに過ぎず、非常に昔の出来事で人を判断しているのは人間である、というEUにも問題があるという見解も出ている。
・Googleは「忘れられる権利」に関する混乱を受けて、公開討論会を実施した。・BBCはGoogleの公開討論会で、裁判のニュースなどが検索から削除されることは公益に反するとして「Right to remember(覚えている権利)」を主張した。BBCでは2014年10月17日までに46のリンクがGoogleの検索結果から削除された。
・Wikipediaは「歴史を検閲するな(Don’t censor history)」として、「忘れられる権利」に反対の意思を表明した。・Microsoft社はBingにおいて、「忘れられる権利」に基づく削除申込のツールを設置した。・Skyhigh Networks社の調査によると、EU域内で2015年から有効になるデータ保護法について7,000以上のサービスのうち、法律に対処できているのは1%にしか過ぎないとのこと。この法律には「忘れられる権利」に基づくデータ削除対応も含まれる。
・EFF(電子フロンティア財団)のDanny O’Brian国際理事は欧州司法省(ECJ)のGoogleに対し規制をかける判決に対し、「非常に失望した」「内容が非常にあいまいだ」との懸念を表明した。
●忘れられる権利
●Googleによる検索結果からの削除と、指摘されている問題点
Google個人
データ管理者社会
① 削除申請○ ユーザが自身の 好ましくない 検索結果を見つける
0
⑤ 閲覧される
③ 検索結果削除を通知
④ 削除記事が再び ニュースになる
② 検索結果から削除 (2014年10月10日 時点で 削除申請は 14万件以上)
⑥ 却って注目を 浴びてしまう(問題点)
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
48 49
2. 事案の分析 - ❹ プライバシーの扱い
・Microsoft社は米国外のサーバに保管している情報の開示命令を米国内の裁判所から受けたが、開示を拒否した。・米国では1986年成立の法律により、6カ月以上放置されたメールの閲覧には令状が不要となっている。これは紙の手紙の時代ルールであり、電子メールには適さないとして人権団体およびIT系企業は法律の早期修正を求めている。
・カンファレンスで予定されていたTorの匿名性解除の講演がキャンセルになったり、ロシアが同国籍の者だけを対象としたTorの匿名化解除の大会を開催するなど、Torの匿名性解除の技術について関心が高まってきている。
・2014年11月に、Sambuddho Chakravarty教授が率いる研究チームが論文「On the Effectiveness of Traffic Analysis Against Anonymity Networks Using Flow Records」を含む複数の論文にてTorの匿名性を解除する方法を公表した。・ 実験室環境では100%の匿名性解除に成功、実環境でも81.4%の精度で解除に成功し誤りは6.4%であった。・ 従来検討されてきたTorに多数のnodeを紛れ込ませる方法ではなく、広帯域かつ処理性能の良い少数のnodeを適所に配置すれば匿名性を解除することができる。
・ 具体的には、①TorのEntry nodeとExit nodeの近くおよび中継nodeに探査用のnodeを配置、②匿名性を解除したい利用者に探査用のトラフィックを注入、③各探査用nodeでのトラフィックパターンについてNetflowで探査用のトラフィックとの相関を算出、④トラフィックの相関からアクセス元の端末を特定(匿名性解除)
Facebook社が無断で利用者のタイムラインの表示内容を変更した実験についての批判
・コーネル大学、カリフォルニア大学、Facebook社は2012年に「ソーシャルネットワークを通じた大規模な感情の伝染に関する実験的証拠」の調査を行い、利用者約70万人のタイムラインを無断で操作し世論を誘導できることの実験を行っていた。論文(2014年5月25日 Approved)の公表により明らかとなった。
・当初、Facebook社は、利用者はサービス開始時に同社のポリシーに同意しているため問題ないと反論した。・米国時間2014年7月2日、Facebook社COO Sheryl Sandberg氏が「コミュニケーション不備があったのは明らか」として謝罪した。
●Facebook社の社会実験
その他米国企業による個人情報収集問題
・Facebookが、先の実験とは別に、Facebook外での利用者の行動追跡を開始している。同社は第三者サイトにおけるユーザのブラウジングを追跡し、よりパーソナライズされた広告配信に活用する、としている。
・CDD(the Center for Digital Democracy)は、AdobeやSalesforce.com、AOLなどの米国企業が欧州のプライバシー保護を実施していないとして提訴した。訴状によると、多くの企業は欧州ルールの遵守に同意したにも関わらずデータ収集をオプトアウト*2する機能を提供していない。
●その他米国企業による個人情報収集問題
政府機関のプライバシー情報への合法的なアクセス拡大を求める動きと人権団体との対立
●政府機関などによる情報収集
Torの匿名性解除の動き
*2 オプトアウト:企業などが利用者のデータの収集や活用、広告メール送信などをすることについて、利用者からの申請によりそれらの活動を拒否できること
・プライバシー保護に対するニーズは非常に高い。・政府機関の情報収集・監視活動は民間組織などにより監視される状況になった。・グローバル企業においては、各国の法制度を順守するだけでなく、より企業活動の透明性を高めていくこと(各国政府機関との関係を明らかにするなど)が企業価値を維持する有効な事前対策となる。
・例えば人命に関わるような重要な意義のある施策であっても、プライバシー保護との両立が強く求められる。・「忘れられる権利」について、EU当局、検索サービスなど事業者、コンテンツホルダーであるメディア、人権団体などの各立場から落としどころやあるべき姿を模索する動きが継続して行われている。
・各事業者は利用者のプライバシー保護重視を強調するも、事業者間の競争やアプリ・サービスの連携により、個人情報・嗜好の収集の高度化と高度化に反対する流れは続いている。
・スノーデン事件以降、各国で法執行機関による諜報活動について法律に明文化するといった透明性を高める動きがある一方、合法的な諜報活動はどこまでやってよいかの線引きについて政府側と市民・人権団体との綱引きが続いている。
事案のまとめ:プライバシーの扱い
●詳細
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
48 49
2. 事案の分析 - ❹ プライバシーの扱い
・Microsoft社は米国外のサーバに保管している情報の開示命令を米国内の裁判所から受けたが、開示を拒否した。・米国では1986年成立の法律により、6カ月以上放置されたメールの閲覧には令状が不要となっている。これは紙の手紙の時代ルールであり、電子メールには適さないとして人権団体およびIT系企業は法律の早期修正を求めている。
・カンファレンスで予定されていたTorの匿名性解除の講演がキャンセルになったり、ロシアが同国籍の者だけを対象としたTorの匿名化解除の大会を開催するなど、Torの匿名性解除の技術について関心が高まってきている。
・2014年11月に、Sambuddho Chakravarty教授が率いる研究チームが論文「On the Effectiveness of Traffic Analysis Against Anonymity Networks Using Flow Records」を含む複数の論文にてTorの匿名性を解除する方法を公表した。・ 実験室環境では100%の匿名性解除に成功、実環境でも81.4%の精度で解除に成功し誤りは6.4%であった。・ 従来検討されてきたTorに多数のnodeを紛れ込ませる方法ではなく、広帯域かつ処理性能の良い少数のnodeを適所に配置すれば匿名性を解除することができる。
・ 具体的には、①TorのEntry nodeとExit nodeの近くおよび中継nodeに探査用のnodeを配置、②匿名性を解除したい利用者に探査用のトラフィックを注入、③各探査用nodeでのトラフィックパターンについてNetflowで探査用のトラフィックとの相関を算出、④トラフィックの相関からアクセス元の端末を特定(匿名性解除)
Facebook社が無断で利用者のタイムラインの表示内容を変更した実験についての批判
・コーネル大学、カリフォルニア大学、Facebook社は2012年に「ソーシャルネットワークを通じた大規模な感情の伝染に関する実験的証拠」の調査を行い、利用者約70万人のタイムラインを無断で操作し世論を誘導できることの実験を行っていた。論文(2014年5月25日 Approved)の公表により明らかとなった。
・当初、Facebook社は、利用者はサービス開始時に同社のポリシーに同意しているため問題ないと反論した。・米国時間2014年7月2日、Facebook社COO Sheryl Sandberg氏が「コミュニケーション不備があったのは明らか」として謝罪した。
●Facebook社の社会実験
その他米国企業による個人情報収集問題
・Facebookが、先の実験とは別に、Facebook外での利用者の行動追跡を開始している。同社は第三者サイトにおけるユーザのブラウジングを追跡し、よりパーソナライズされた広告配信に活用する、としている。
・CDD(the Center for Digital Democracy)は、AdobeやSalesforce.com、AOLなどの米国企業が欧州のプライバシー保護を実施していないとして提訴した。訴状によると、多くの企業は欧州ルールの遵守に同意したにも関わらずデータ収集をオプトアウト*2する機能を提供していない。
●その他米国企業による個人情報収集問題
政府機関のプライバシー情報への合法的なアクセス拡大を求める動きと人権団体との対立
●政府機関などによる情報収集
Torの匿名性解除の動き
*2 オプトアウト:企業などが利用者のデータの収集や活用、広告メール送信などをすることについて、利用者からの申請によりそれらの活動を拒否できること
・プライバシー保護に対するニーズは非常に高い。・政府機関の情報収集・監視活動は民間組織などにより監視される状況になった。・グローバル企業においては、各国の法制度を順守するだけでなく、より企業活動の透明性を高めていくこと(各国政府機関との関係を明らかにするなど)が企業価値を維持する有効な事前対策となる。
・例えば人命に関わるような重要な意義のある施策であっても、プライバシー保護との両立が強く求められる。・「忘れられる権利」について、EU当局、検索サービスなど事業者、コンテンツホルダーであるメディア、人権団体などの各立場から落としどころやあるべき姿を模索する動きが継続して行われている。
・各事業者は利用者のプライバシー保護重視を強調するも、事業者間の競争やアプリ・サービスの連携により、個人情報・嗜好の収集の高度化と高度化に反対する流れは続いている。
・スノーデン事件以降、各国で法執行機関による諜報活動について法律に明文化するといった透明性を高める動きがある一方、合法的な諜報活動はどこまでやってよいかの線引きについて政府側と市民・人権団体との綱引きが続いている。
事案のまとめ:プライバシーの扱い
●詳細
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
50 51
2. 事案の分析
・国家安全、テロ防止の名目で、政府機関による大規模な通信傍受が行われている。・国内の反政府活動阻止のため、政府組織がメディア規制を行っている。・税回避のために、実際にサービスを提供している地域とは別の場所に会社を設立している。
各国におけるメディア規制や国民活動監視の動きが活発化している。一方、「忘れられる権利」などプライバシー保護に関する新しい動きも見られるようになってきている。本節では、各国におけるこれらの動向とともに、国ごとに見られる動きについても分析する。なお、プライバシー保護などに関しては、「④プライバシーの扱い」を参照していただきたい。
背景
各国政府の諜報活動
❺ 各国の動き
●収集状況の公開・スノーデン暴露以降、政府が情報収集に使用しているさまざまなツールに関する情報を可能な限り公開するように、オバマ大統領から指示が出ている。→ 国家情報長官オフィスが2013年の透明性レポートを公表
・サービス事業各社からの透明性レポートで、政府による情報開示件数などの情報がある程度公開されるようになった。・国家安全保障書簡は、件数のみを1,000件単位で公開可能・外国情報活動監視法の令状は、件数のみを1,000件単位で公開可能。また情報の公開は6カ月経ってから
●国家安全保障書簡(National Security Letter: NSL)・FBIが令状なしで企業に顧客データの提出を求めるための書簡、受領者は基本的に受領したことを公開することを禁じられている。愛国者法のもとでFBIに与えられている権限
・2013年には19,212の書簡を発行(アカウント数では38,832)●外国情報活動監視法(Foreign Intelligence Surveillance Act: FISA)・外国勢力およびその協力者による外国の情報活動に対する情報収集の手続きを制定。外国情報活動監視裁判所(Foreign Intelligence Surveillance Court: FISC)からの令状が必要だが、具体的なテロ容疑者を特定する必要がないなど、令状の発行にはほとんど制限がない。
・2013年には1,767の令状を発行(監視対象のターゲット数は1,144)●NSAによる通信情報収集・2013年にNSAが収集した通話情報は数億件、その中で実際に調査対象となったのは248件のみ・収集したインターネット通信記録の90%が一般ユーザのもので、諜報活動の対象となっている外国の標的は10%のみ●税関・国境警備局による旅行データ収集・航空会社や旅行会社によって海外旅行の情報(フライト、ホテル、レンタカーなど)が政府に集められている。・データ保持機関は5年となっているが、開示要求によって9年前の情報も提示された例があり、実際の保存期間は不明●ベンダ保持情報の政府アクセスに対する法的判断・犯罪捜査対象のGmailコンテンツへのアクセスに関し、ニューヨーク州では政府が全コンテンツにアクセスするのは合法とし、コロンビア特別区やカンザスなどいくつかの州では権力乱用だと判断
・2007年11月、政府からYahooに対し特定顧客の令状なしの監視活動の要請があったが、Yahooは異議を申し立て、司法省がそれを拒否し1日当たり25万ドルの罰金を要求していたことが明らかになった。2008年5月、Yahooは裁判所の命令に従った。
●膨大な情報を収集するアメリカ政府
●情報の囲い込み・国内外の事業者に対し、ロシア国民の個人情報をロシア国内で保存・管理することを義務化する法案を可決・上下院通過後、2014年7月22日に大統領が署名、2016年9月1日施行●ブロガー登録法・1日に3,000以上のアクセスがあるブロガーは「マスメディア」と位置付け、政府への登録を義務化・2014年8月1日施行●匿名性ネットワークの排除・Torネットワークを突破し利用者を特定できる方法を発見した人に対して賞金を出すコンテストを実施・賞金は390万ルーブル(約11万ドル*1)、参加資格はロシア人のみ●ハッカーのTwitterアカウントをブロック・ロシア政府の要望により、ロシアで活動しているハッカーのアカウントをブロック・ブロックされたのは「@b0ltai」で、政府から盗んだ機密情報などの投稿で使用・Twitterのグローバル設定をロシア以外にすれば同アカウントへのアクセスは可能●米国企業に登録要求・Facebook、Google、Twitterに情報配信オーガナイザへの登録を要求・ロシア国内のサーバに通信情報を保存することを要求、違反すると罰金・登録しない場合はロシア国内から排除●外国企業にソース開示要求・政府が、Apple社とSAP社に両社のソフトウェアのソースコード開示を要求・スパイ機能が含まれていないか確認するというのが、表向きの理由
●ロシアの動き
●政府機関から外国企業サービスの排除・セキュリティ上の懸念を理由として、各省庁に、Symantec(米)およびKaspersky(露)のウイルス対策ソフトの購入を止めるように指示
・iPadやMacBookなどApple社の10製品を政府調達リストから除外●国民のサービス利用を制限・中国内からGoogleへのアクセスで中間者(MITM)攻撃の形跡を確認・プライバシーの保護をうたっている検索エンジンDuckDuckGoをブロック・香港の民主化デモ行動を受け、Instagramをブロック。香港の活動状況を国内で閲覧できないようにするのが目的●メディア規制の動き・国内メディアが取材の過程で入手した機密情報を外国メディアに流すことを禁止・未公表の情報の報道を禁止●警察の諜報活動が明るみに・政府が透明性を推進している中で、温州市の警察がWebサイトに調達契約情報を掲載・この中に、携帯電話をハッキングするためのマルウェアの開発契約が含まれていた。・この情報は即座に削除されたが、検索エンジンのキャッシュに残っており、多数のユーザがこれを目にし、非難が殺到した。
●対テロ法案・政府はテロ防止およびセキュリティ強化のためとして、金融系機関にシステムを納入するメーカーに対し、2015年末までに以下を義務化することを2015年1月に発表・システムのソースコードの開示・政府向けのバックドアの設置・中国産暗号アルゴリズムの採用
・これに対し米国企業が反発し、規制の廃止・延期を政府に要求・主に米国との外交上の調整により、2015年3月30日に本規制の適用は延期と発表された。
●中国の動き
*1 2014年9月末時点の換算レートによる。
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
50 51
2. 事案の分析
・国家安全、テロ防止の名目で、政府機関による大規模な通信傍受が行われている。・国内の反政府活動阻止のため、政府組織がメディア規制を行っている。・税回避のために、実際にサービスを提供している地域とは別の場所に会社を設立している。
各国におけるメディア規制や国民活動監視の動きが活発化している。一方、「忘れられる権利」などプライバシー保護に関する新しい動きも見られるようになってきている。本節では、各国におけるこれらの動向とともに、国ごとに見られる動きについても分析する。なお、プライバシー保護などに関しては、「④プライバシーの扱い」を参照していただきたい。
背景
各国政府の諜報活動
❺ 各国の動き
●収集状況の公開・スノーデン暴露以降、政府が情報収集に使用しているさまざまなツールに関する情報を可能な限り公開するように、オバマ大統領から指示が出ている。→ 国家情報長官オフィスが2013年の透明性レポートを公表
・サービス事業各社からの透明性レポートで、政府による情報開示件数などの情報がある程度公開されるようになった。・国家安全保障書簡は、件数のみを1,000件単位で公開可能・外国情報活動監視法の令状は、件数のみを1,000件単位で公開可能。また情報の公開は6カ月経ってから
●国家安全保障書簡(National Security Letter: NSL)・FBIが令状なしで企業に顧客データの提出を求めるための書簡、受領者は基本的に受領したことを公開することを禁じられている。愛国者法のもとでFBIに与えられている権限
・2013年には19,212の書簡を発行(アカウント数では38,832)●外国情報活動監視法(Foreign Intelligence Surveillance Act: FISA)・外国勢力およびその協力者による外国の情報活動に対する情報収集の手続きを制定。外国情報活動監視裁判所(Foreign Intelligence Surveillance Court: FISC)からの令状が必要だが、具体的なテロ容疑者を特定する必要がないなど、令状の発行にはほとんど制限がない。
・2013年には1,767の令状を発行(監視対象のターゲット数は1,144)●NSAによる通信情報収集・2013年にNSAが収集した通話情報は数億件、その中で実際に調査対象となったのは248件のみ・収集したインターネット通信記録の90%が一般ユーザのもので、諜報活動の対象となっている外国の標的は10%のみ●税関・国境警備局による旅行データ収集・航空会社や旅行会社によって海外旅行の情報(フライト、ホテル、レンタカーなど)が政府に集められている。・データ保持機関は5年となっているが、開示要求によって9年前の情報も提示された例があり、実際の保存期間は不明●ベンダ保持情報の政府アクセスに対する法的判断・犯罪捜査対象のGmailコンテンツへのアクセスに関し、ニューヨーク州では政府が全コンテンツにアクセスするのは合法とし、コロンビア特別区やカンザスなどいくつかの州では権力乱用だと判断
・2007年11月、政府からYahooに対し特定顧客の令状なしの監視活動の要請があったが、Yahooは異議を申し立て、司法省がそれを拒否し1日当たり25万ドルの罰金を要求していたことが明らかになった。2008年5月、Yahooは裁判所の命令に従った。
●膨大な情報を収集するアメリカ政府
●情報の囲い込み・国内外の事業者に対し、ロシア国民の個人情報をロシア国内で保存・管理することを義務化する法案を可決・上下院通過後、2014年7月22日に大統領が署名、2016年9月1日施行●ブロガー登録法・1日に3,000以上のアクセスがあるブロガーは「マスメディア」と位置付け、政府への登録を義務化・2014年8月1日施行●匿名性ネットワークの排除・Torネットワークを突破し利用者を特定できる方法を発見した人に対して賞金を出すコンテストを実施・賞金は390万ルーブル(約11万ドル*1)、参加資格はロシア人のみ●ハッカーのTwitterアカウントをブロック・ロシア政府の要望により、ロシアで活動しているハッカーのアカウントをブロック・ブロックされたのは「@b0ltai」で、政府から盗んだ機密情報などの投稿で使用・Twitterのグローバル設定をロシア以外にすれば同アカウントへのアクセスは可能●米国企業に登録要求・Facebook、Google、Twitterに情報配信オーガナイザへの登録を要求・ロシア国内のサーバに通信情報を保存することを要求、違反すると罰金・登録しない場合はロシア国内から排除●外国企業にソース開示要求・政府が、Apple社とSAP社に両社のソフトウェアのソースコード開示を要求・スパイ機能が含まれていないか確認するというのが、表向きの理由
●ロシアの動き
●政府機関から外国企業サービスの排除・セキュリティ上の懸念を理由として、各省庁に、Symantec(米)およびKaspersky(露)のウイルス対策ソフトの購入を止めるように指示
・iPadやMacBookなどApple社の10製品を政府調達リストから除外●国民のサービス利用を制限・中国内からGoogleへのアクセスで中間者(MITM)攻撃の形跡を確認・プライバシーの保護をうたっている検索エンジンDuckDuckGoをブロック・香港の民主化デモ行動を受け、Instagramをブロック。香港の活動状況を国内で閲覧できないようにするのが目的●メディア規制の動き・国内メディアが取材の過程で入手した機密情報を外国メディアに流すことを禁止・未公表の情報の報道を禁止●警察の諜報活動が明るみに・政府が透明性を推進している中で、温州市の警察がWebサイトに調達契約情報を掲載・この中に、携帯電話をハッキングするためのマルウェアの開発契約が含まれていた。・この情報は即座に削除されたが、検索エンジンのキャッシュに残っており、多数のユーザがこれを目にし、非難が殺到した。
●対テロ法案・政府はテロ防止およびセキュリティ強化のためとして、金融系機関にシステムを納入するメーカーに対し、2015年末までに以下を義務化することを2015年1月に発表・システムのソースコードの開示・政府向けのバックドアの設置・中国産暗号アルゴリズムの採用
・これに対し米国企業が反発し、規制の廃止・延期を政府に要求・主に米国との外交上の調整により、2015年3月30日に本規制の適用は延期と発表された。
●中国の動き
*1 2014年9月末時点の換算レートによる。
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
52 53
2. 事案の分析 - ❺ 各国の動き
●イギリスのデータ保管および調査権限法(Data Retention and Investigatory Powers Bill)・後の調査で活用できるように、通信サービス提供者に通信メタデータの保持を義務化・首相は、犯罪者やテロリストから市民を守るために早急に法制化する必要があると主張・2014年7月10日法案提出、15日下院通過、17日上院通過、17日国王が裁可して法が発効●オーストラリア警察による携帯通話情報収集・連邦および州警察がtower dumpと呼ばれる技術を使用して携帯電話の通話情報を収集・tower dumpにより、基地局に接続する任意の携帯電話の位置情報などを収集可能●オーストラリア情報機関の権限強化・対テロ法案の中で、オーストラリア保安情報機構の権限を強化。任意のコンピュータの情報の入手を合法化・2014年9月25日に上院通過後、10月1日には下院も通過して法案成立●オーストラリアでデータ保管法成立・通信事業者に通信のメタデータの保存を義務付ける法案が提出され、通信事業者からは反対の声があがり色々と議論されたが、2015年3月19日に下院を通過し、3月26日には上院でも可決され法案が成立
●イラン政府による非認可サイトのブロック・文化イスラム指導省が、新しいWebサイトで政府発行のライセンスを取得していないものをブロックすると発表・国内に登録されているサイトの多くは、フィルタリングを避けるために自主的な検閲実施の動き
●その他各国の動き
ネットの中立性
●ファストレーンと中立性・2014年2月、映像のストリーミング配信などを行っているNetflix社によるトラフィック増に対して大幅な制限をかけたISPが出たことに対し、FCCはネット中立性の具体策として高速レーン(fast lane:有償でトラフィックを優先する)を盛り込もうとしたため賛否の議論が起こった。
・2014年11月10日にオバマ大統領が、「自由でオープンなインターネット」の維持に向けてブロードバンドサービスに対するより厳格な規制を導入するよう米連邦通信委員会(FCC)に要請する声明を発表した。・これはブロードバンドインターネットを公共設備のように扱うということ・特定のコンテンツや事業者に対してISPが速度調節をしたりブロックしたりすることを明確に否定。すなわちFCCの提案していたFast Laneとは対立する。
●ベンダの反発・AT&Tは2015年に180億ドルの設備投資を計画していたが、2014年11月12日にネット中立性による規制内容が明らかになるまで投資を保留する可能性があると発表した。・この時点でVerizonは、投資家に対して、FCCはインターネットサービス事業者がどのようにトラフィックを扱うかのルール制定において「正しい」判断をするであろう、との楽観的な見方を示した。
・2014年12月10日付けでインターネットのバックボーン構築事業者60社は連盟で、インターネットへの規制はネットの発展を遅延させるとして、FCCおよび議員に対して抗議した。
・全米製造業者協会は2014年12月10日に議会と FCCに、インターネットサービスプロバイダに対する規制強化に反対する旨の書簡を送付した。
●アメリカ国内での動き
●EUでは中立性は延期・Latviaが議長国で進められた欧州理事会でまとめられたネット中立性の折衷案で、中立性の原則は守りつつ、トラフィック管理に関して厳しい制限つきであるがISP・キャリアにある一定の権限が認められた。
・欧州ベースのキャリア(Vodafone (VOD.L), Alcatel-Lucent (ALUA.PA), Orange (ORAN.PA), Liberty Global (LBTYA.O))らがEUに自由にトラフィック管理する権限を求めた。主張は顧客のニーズに合わせる必要性、インフラへ強化へのモチベーションを理由に挙げている。
・2014年4月にEU本会議で可決されていた通信規制改革法案に盛り込まれていたネット中立性の導入は延期され、再考されることとなった。
●EUの動き
税回避の問題
事案のまとめ:各国の動き
・Google、Twitter、Facebookなど米国Tech Giantsのサービスは、世界中で利用者を増やしている。・これら企業は例外なく節税対策を行っており、その節税対策は投資家達の企業評価の判断項目にもなっている。・しかし原則として、収益を上げた地域に税を納めるべきという認識が広まってきており、企業の節税は祖税迂回ととらえられてきている。
●概要
・一般的にIT系企業にとって、サービスで取り扱う商品が情報であることや商取引がオンラインで行われることなどにより、節税対策は製造業や従来の店舗型の小売業に比べ容易といわれている。
・Google、Apple、FacebookなどのいわゆるTech Giantsと呼ばれる米企業の多くは節税対策を行っており、これらは投資家たちにとっての企業評価のポイントにもなっている。
・節税対策はEU各国(アイルランド、オランダ、ルクセンブルクなど)やスイスの税優遇措置とTaxHaven国家に作った法人とを組み合わせて行われる。
・これら節税対策によって、20%~ 30%の法人税率が数%になるケースもある。・有名な節税手法としてはダブルアイリッシュ、ダッチサンドイッチなどがある。・過去、米国政府は米国民の税逃れにスイスの法制度および同国の金融業が加担してるとして同国金融業に情報開示を求め、合意された。
・欧州委員会ではアイルランドの税制やルクセンブルグの税制が問題になっている。・企業が収益を上げた地域に税を納めるべきという認識が広まってきており、企業の節税は祖税迂回ととらえられてきている。
●企業が行う祖税迂回について
・2014年10月8日に欧州委員会は、米アマゾン・ドット・コムがルクセンブルクで利用する税制(税優遇措置)の本格的な調査に踏み切った。
・アイルランドは2014年10月14日、米国のハイテク企業(Apple、Google、Facebookなど)が行っている租税回避を阻止する計画を発表した。アイルランドの財務大臣によると、新規企業は来年から、既存企業は段階的に、2020年までに「ダブル・アイリッシュ」と呼ばれる税の抜け穴を廃止すると述べた。
・2014年12月4日に英財務大臣George Osborneは、多国籍企業による租税回避を阻止するため、多国籍企業が英国であげた利益に対して25%の税を課す新税制度の導入を発表した。新税の導入は2015年4月からで、徴収総額は今後5年間で10億ポンド(約1,880億円)を見込んでいるとのこと。
・欧州委員会競争総局(ECC: European Commissioner for Competition)は、ルクセンブルグ、オランダ、アイルランドと、Apple、Starbucks、Amazon、Fiatの間の税優遇措置に対する調査を実施中で、局長Margrethe Vestager氏は2014年12月11日に記者会見で2015年の第2四半期までに調査を終了させたいと語った。
・欧州以外でも、オーストラリア政府は、多国籍企業の所得隠しや脱税への対策を強化した。
・テロ対策やセキュリティ強化のためとして、各国における国民活動監視やメディア規制の動きが活発化してきた。・政府活動の透明性の動きとともに、政府による情報収集の合法化が進んでいる。・アメリカではネットの中立性が成立したが、業界はこれに反発し提訴の動きが出てきている。・主にアメリカの大手IT企業が行っている租税迂回に目が付けられ、これを阻止する動きが出てきている。
●EUおよび加盟各国の租税回避を行っている企業に対する動向
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
52 53
2. 事案の分析 - ❺ 各国の動き
●イギリスのデータ保管および調査権限法(Data Retention and Investigatory Powers Bill)・後の調査で活用できるように、通信サービス提供者に通信メタデータの保持を義務化・首相は、犯罪者やテロリストから市民を守るために早急に法制化する必要があると主張・2014年7月10日法案提出、15日下院通過、17日上院通過、17日国王が裁可して法が発効●オーストラリア警察による携帯通話情報収集・連邦および州警察がtower dumpと呼ばれる技術を使用して携帯電話の通話情報を収集・tower dumpにより、基地局に接続する任意の携帯電話の位置情報などを収集可能●オーストラリア情報機関の権限強化・対テロ法案の中で、オーストラリア保安情報機構の権限を強化。任意のコンピュータの情報の入手を合法化・2014年9月25日に上院通過後、10月1日には下院も通過して法案成立●オーストラリアでデータ保管法成立・通信事業者に通信のメタデータの保存を義務付ける法案が提出され、通信事業者からは反対の声があがり色々と議論されたが、2015年3月19日に下院を通過し、3月26日には上院でも可決され法案が成立
●イラン政府による非認可サイトのブロック・文化イスラム指導省が、新しいWebサイトで政府発行のライセンスを取得していないものをブロックすると発表・国内に登録されているサイトの多くは、フィルタリングを避けるために自主的な検閲実施の動き
●その他各国の動き
ネットの中立性
●ファストレーンと中立性・2014年2月、映像のストリーミング配信などを行っているNetflix社によるトラフィック増に対して大幅な制限をかけたISPが出たことに対し、FCCはネット中立性の具体策として高速レーン(fast lane:有償でトラフィックを優先する)を盛り込もうとしたため賛否の議論が起こった。
・2014年11月10日にオバマ大統領が、「自由でオープンなインターネット」の維持に向けてブロードバンドサービスに対するより厳格な規制を導入するよう米連邦通信委員会(FCC)に要請する声明を発表した。・これはブロードバンドインターネットを公共設備のように扱うということ・特定のコンテンツや事業者に対してISPが速度調節をしたりブロックしたりすることを明確に否定。すなわちFCCの提案していたFast Laneとは対立する。
●ベンダの反発・AT&Tは2015年に180億ドルの設備投資を計画していたが、2014年11月12日にネット中立性による規制内容が明らかになるまで投資を保留する可能性があると発表した。・この時点でVerizonは、投資家に対して、FCCはインターネットサービス事業者がどのようにトラフィックを扱うかのルール制定において「正しい」判断をするであろう、との楽観的な見方を示した。
・2014年12月10日付けでインターネットのバックボーン構築事業者60社は連盟で、インターネットへの規制はネットの発展を遅延させるとして、FCCおよび議員に対して抗議した。
・全米製造業者協会は2014年12月10日に議会と FCCに、インターネットサービスプロバイダに対する規制強化に反対する旨の書簡を送付した。
●アメリカ国内での動き
●EUでは中立性は延期・Latviaが議長国で進められた欧州理事会でまとめられたネット中立性の折衷案で、中立性の原則は守りつつ、トラフィック管理に関して厳しい制限つきであるがISP・キャリアにある一定の権限が認められた。
・欧州ベースのキャリア(Vodafone (VOD.L), Alcatel-Lucent (ALUA.PA), Orange (ORAN.PA), Liberty Global (LBTYA.O))らがEUに自由にトラフィック管理する権限を求めた。主張は顧客のニーズに合わせる必要性、インフラへ強化へのモチベーションを理由に挙げている。
・2014年4月にEU本会議で可決されていた通信規制改革法案に盛り込まれていたネット中立性の導入は延期され、再考されることとなった。
●EUの動き
税回避の問題
事案のまとめ:各国の動き
・Google、Twitter、Facebookなど米国Tech Giantsのサービスは、世界中で利用者を増やしている。・これら企業は例外なく節税対策を行っており、その節税対策は投資家達の企業評価の判断項目にもなっている。・しかし原則として、収益を上げた地域に税を納めるべきという認識が広まってきており、企業の節税は祖税迂回ととらえられてきている。
●概要
・一般的にIT系企業にとって、サービスで取り扱う商品が情報であることや商取引がオンラインで行われることなどにより、節税対策は製造業や従来の店舗型の小売業に比べ容易といわれている。
・Google、Apple、FacebookなどのいわゆるTech Giantsと呼ばれる米企業の多くは節税対策を行っており、これらは投資家たちにとっての企業評価のポイントにもなっている。
・節税対策はEU各国(アイルランド、オランダ、ルクセンブルクなど)やスイスの税優遇措置とTaxHaven国家に作った法人とを組み合わせて行われる。
・これら節税対策によって、20%~ 30%の法人税率が数%になるケースもある。・有名な節税手法としてはダブルアイリッシュ、ダッチサンドイッチなどがある。・過去、米国政府は米国民の税逃れにスイスの法制度および同国の金融業が加担してるとして同国金融業に情報開示を求め、合意された。
・欧州委員会ではアイルランドの税制やルクセンブルグの税制が問題になっている。・企業が収益を上げた地域に税を納めるべきという認識が広まってきており、企業の節税は祖税迂回ととらえられてきている。
●企業が行う祖税迂回について
・2014年10月8日に欧州委員会は、米アマゾン・ドット・コムがルクセンブルクで利用する税制(税優遇措置)の本格的な調査に踏み切った。
・アイルランドは2014年10月14日、米国のハイテク企業(Apple、Google、Facebookなど)が行っている租税回避を阻止する計画を発表した。アイルランドの財務大臣によると、新規企業は来年から、既存企業は段階的に、2020年までに「ダブル・アイリッシュ」と呼ばれる税の抜け穴を廃止すると述べた。
・2014年12月4日に英財務大臣George Osborneは、多国籍企業による租税回避を阻止するため、多国籍企業が英国であげた利益に対して25%の税を課す新税制度の導入を発表した。新税の導入は2015年4月からで、徴収総額は今後5年間で10億ポンド(約1,880億円)を見込んでいるとのこと。
・欧州委員会競争総局(ECC: European Commissioner for Competition)は、ルクセンブルグ、オランダ、アイルランドと、Apple、Starbucks、Amazon、Fiatの間の税優遇措置に対する調査を実施中で、局長Margrethe Vestager氏は2014年12月11日に記者会見で2015年の第2四半期までに調査を終了させたいと語った。
・欧州以外でも、オーストラリア政府は、多国籍企業の所得隠しや脱税への対策を強化した。
・テロ対策やセキュリティ強化のためとして、各国における国民活動監視やメディア規制の動きが活発化してきた。・政府活動の透明性の動きとともに、政府による情報収集の合法化が進んでいる。・アメリカではネットの中立性が成立したが、業界はこれに反発し提訴の動きが出てきている。・主にアメリカの大手IT企業が行っている租税迂回に目が付けられ、これを阻止する動きが出てきている。
●EUおよび加盟各国の租税回避を行っている企業に対する動向
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
54 55
2. 事案の分析
●USBコントローラの調査・Security Research Labsの研究者は、継続してBadUSBの調査を実施、流通しているUSBコントローラについての調査を公表(調査結果は適宜更新中)
●USBdriveby・Samy KamkarがBadUSBを実装したUDBdrivebyを開発・Teensy*1を使って実装、キーボードとマウスをエミュレート・以下のシナリオでホストPCを攻撃
・キーボード/マウスとしてホストPCにUSB接続・ローカル・ファイアウォールを無効化・DNS設定を変更して攻撃者に支配下にあるサイトに誘導・バックドアを設置し、攻撃者のリモートサーバへの接続を設定
●ソース公開・USBdrivebyのTeensy用コードはGithub上で公開・犠牲者の外部アクセスを乗っ取る偽DNSのソース (perlコード)も公開
●BadUSBの概念参照:http://itpro.nikkeibp.co.jp/atcl/column/14/346926/110600093/
●USBdriveby:キーチェーン付で首に下げていつでも使えるよう にしておく参照:http://samy.pl/usbdriveby/
*1 Teensy:USBベースのミニボード・コントローラ開発システム、フリーの開発環境あり。20ドル程度
●USBdriveby
USB
BadUSB
USBデバイス
書き換え
攻撃
USBデバイスのファームウェアを悪意のあるプログラムに書き換える
ストレージ領域
普通のUSBデバイスだと思って挿すと、PCを勝手に操作されたり、情報を盗まれたりする。
USBコントローラ
ファームウェア(プログラム)
小型のコンピュータと同じ。ファームウェアを書き換えれば何でもできる。
❻ 新しい脅威
●USBデバイスからの攻撃:BadUSB、USBdriveby、USB充電器、USB Killer●ThunderStrike:Thunderboltポート経由でMacBookを侵害●Poison Pi:小型PCで標的のWi-Fiネットワークに侵入●高速カメラで盗聴:高速カメラを使って防音室内の会話を盗聴●指紋の複製:高解像度カメラで指を撮影し指紋を複製●AirGap:AirHopper、Scangate、BitWhisper●3D プリンタの脅威:3Dプリンタ出力で物理的な攻撃
2014年度は、ソフトウェア的あるいはネットワーク的に対策を施していても防御不可能な脅威が報告された。本節では、このような新しい脅威のいくつかを分析する。
USBデバイスからの攻撃
●BadUSB
●USBの脆弱性・USBデバイス認識機構における設計上の脆弱性のため、USBデバイスのファームウェアを書き換えることで本来のものとは別のデバイスとして認識させることが可能
・世間に流通しているUSBコントローラの大半はファームウェア書き換え防止策がとられていないため、市販のUSBメモリなどのファームウェアを書き換えて接続したホストPCを攻撃することが可能
・現状のウイルス対策ソフトなどではファームウェアレベルの改ざんを検知できないため、ホストPC側での防御は不可
●BadUSB・ドイツSecurity Research LabsのKarsten Nohl、Sascha Krisler、Jakob LellがUSBの脆弱性を報告、Blackhat USA 2014における発表でそのコンセプトを実演
・USBの脆弱性を悪用した攻撃を「BadUSB」と名づけ、攻撃の可能性を提示・キーボードをエミュレートしてコマンドを発行・ネットワークカードを偽装してホストPCのDNS設定を変更し、トラフィックを悪意のサイトにリダイレクト・ホストPCを侵害し、ホストPCに接続したほかのUSBデバイスのファームウェアを上書き
・本質的な対応が不可能なことから、この時点ではBadUSBのソースコードは公開せず
●BadUSBのソースコード公開・Adam CaudillとBrandon WilsonがDebycon 2014にてBadUSBをデモ実演、BadUSB実装の詳細を報告するとともに、ソースコードをGithubで公開
・悪意の攻撃がされる前にことの重要性を認識し、ファームウェアを上書きできないようにするなど、メーカー側の対応を促すのが公開の目的
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
54 55
2. 事案の分析
●USBコントローラの調査・Security Research Labsの研究者は、継続してBadUSBの調査を実施、流通しているUSBコントローラについての調査を公表(調査結果は適宜更新中)
●USBdriveby・Samy KamkarがBadUSBを実装したUDBdrivebyを開発・Teensy*1を使って実装、キーボードとマウスをエミュレート・以下のシナリオでホストPCを攻撃
・キーボード/マウスとしてホストPCにUSB接続・ローカル・ファイアウォールを無効化・DNS設定を変更して攻撃者に支配下にあるサイトに誘導・バックドアを設置し、攻撃者のリモートサーバへの接続を設定
●ソース公開・USBdrivebyのTeensy用コードはGithub上で公開・犠牲者の外部アクセスを乗っ取る偽DNSのソース (perlコード)も公開
●BadUSBの概念参照:http://itpro.nikkeibp.co.jp/atcl/column/14/346926/110600093/
●USBdriveby:キーチェーン付で首に下げていつでも使えるよう にしておく参照:http://samy.pl/usbdriveby/
*1 Teensy:USBベースのミニボード・コントローラ開発システム、フリーの開発環境あり。20ドル程度
●USBdriveby
USB
BadUSB
USBデバイス
書き換え
攻撃
USBデバイスのファームウェアを悪意のあるプログラムに書き換える
ストレージ領域
普通のUSBデバイスだと思って挿すと、PCを勝手に操作されたり、情報を盗まれたりする。
USBコントローラ
ファームウェア(プログラム)
小型のコンピュータと同じ。ファームウェアを書き換えれば何でもできる。
❻ 新しい脅威
●USBデバイスからの攻撃:BadUSB、USBdriveby、USB充電器、USB Killer●ThunderStrike:Thunderboltポート経由でMacBookを侵害●Poison Pi:小型PCで標的のWi-Fiネットワークに侵入●高速カメラで盗聴:高速カメラを使って防音室内の会話を盗聴●指紋の複製:高解像度カメラで指を撮影し指紋を複製●AirGap:AirHopper、Scangate、BitWhisper●3D プリンタの脅威:3Dプリンタ出力で物理的な攻撃
2014年度は、ソフトウェア的あるいはネットワーク的に対策を施していても防御不可能な脅威が報告された。本節では、このような新しい脅威のいくつかを分析する。
USBデバイスからの攻撃
●BadUSB
●USBの脆弱性・USBデバイス認識機構における設計上の脆弱性のため、USBデバイスのファームウェアを書き換えることで本来のものとは別のデバイスとして認識させることが可能
・世間に流通しているUSBコントローラの大半はファームウェア書き換え防止策がとられていないため、市販のUSBメモリなどのファームウェアを書き換えて接続したホストPCを攻撃することが可能
・現状のウイルス対策ソフトなどではファームウェアレベルの改ざんを検知できないため、ホストPC側での防御は不可
●BadUSB・ドイツSecurity Research LabsのKarsten Nohl、Sascha Krisler、Jakob LellがUSBの脆弱性を報告、Blackhat USA 2014における発表でそのコンセプトを実演
・USBの脆弱性を悪用した攻撃を「BadUSB」と名づけ、攻撃の可能性を提示・キーボードをエミュレートしてコマンドを発行・ネットワークカードを偽装してホストPCのDNS設定を変更し、トラフィックを悪意のサイトにリダイレクト・ホストPCを侵害し、ホストPCに接続したほかのUSBデバイスのファームウェアを上書き
・本質的な対応が不可能なことから、この時点ではBadUSBのソースコードは公開せず
●BadUSBのソースコード公開・Adam CaudillとBrandon WilsonがDebycon 2014にてBadUSBをデモ実演、BadUSB実装の詳細を報告するとともに、ソースコードをGithubで公開
・悪意の攻撃がされる前にことの重要性を認識し、ファームウェアを上書きできないようにするなど、メーカー側の対応を促すのが公開の目的
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
56 57
2. 事案の分析 - ❻ 新しい脅威
●電子タバコからマルウェアに感染・最新のパッチを適用しウイルス保護対策も施されたPCがマルウェア感染した。・Webのログも監査されたが、ネットワーク経由で感染した証跡は見つからなかった。・PC所有者に確認したところ、禁煙して電子タバコを利用するようになり、電子タバコをPCのUSBから充電していたことが判明
・電子タバコの充電器(中国製)にマルウェアが仕込まれており、そこから感染したことが判明・電子タバコは、eBayで5ドルで購入したとのこと。
●教訓・単なる充電とはいえ、信用できないメーカーの機器をPCに接続しないこと・充電だけであれば、壁コンセントを使用すること・製造ラインで仕込まれたマルウェアがこの数年でいくつか見つかっている。利用者側での保護対策が重要
●USB充電器
●ホストマシンを破壊するUSBデバイス・帯電用のコンデンサを備えた、USBメモリに似させたデバイス・これをホストのUSBポートに接続すると、ホストマシンからの供給電源を内部のコンデンサに蓄え、一定の電荷が溜まると信号線に電荷を印加
・過剰電荷を印加されたホストマシンのUSBインタフェースが物理的に破壊される。
●USB Killer
ホストPC
充電
電子タバコ
充電器マルウェア侵害
USB
外装 内装(1) 内装(2)
●USB Killer: Dark Purple氏のお手製(基板は特注品)参照:http://kukuruku.co/hub/diy/usb-killer?ModPagespeed=noscript
①電源供給
③過剰電荷(破壊)
②帯電
ThunderStrike
Poison Pi
高速カメラで盗聴
●会議室盗聴技術・レーザー光を使用し対象の振動を音として検出するレーザーマイクロフォンを使った盗聴は、従来から行われている。・防音ガラスを使った会議室などは外部から振動を抽出できないために、レーザーマイクロフォンによる盗聴は不可能だが、防音ガラスでも有効な手段が発表された。
●外部から会議室内を撮影して盗聴・(防音)ガラスを通じて外部から室内の撮影が可能な場合、高解像度の高速カメラ(1秒間に数千コマ以上撮影可能)で室内の振動しやすい物質(菓子袋など)を撮影することで、室内の振動を抽出することが可能
・室内の会話に応じて菓子袋が振動し、室外から撮影した映像を分析することで、室内の会話の再現が可能ということが報告された。
・高速カメラでなく60fpsの一般的なカメラでも、不明瞭で判別は困難だが音声の再現がある程度可能だということも示された。
●概要・ポストに投函可能なサイズの物理デバイスを送りつけることで、標的のWi-Fiネットワークに侵入・Kismet*2を利用してWi-Fiを検出し、BSSID*3を取得・消費電力削減のため位置情報取得にはGPSを使わず、iSniff GPS*4を使用・セキュリティ研究者Larry PesceのDerbycon 2014における発表による。
●攻撃のシナリオ・ターゲットとなる会社の元社員や旅行中の重役宛に発送・送付先が不明(不在)のため、メール室や該当者の机上で長期間保管・位置情報に基づき標的の場所への到達を検知したら、攻撃を開始
●デバイスの特徴・Raspberry Pi、AWUS051NHワイヤレスカード、バッテリーから構成・バッテリー駆動時間は最大300時間・低価格で実装可能、小型化実現
*2 Kismet:オープンソースのネットワークソフト*3 BSSID (Basic Service Set Identifier) :無線アクセスポイントの識別子、MACアドレスと同一*4 iSniff GPS :
・Apple社は、GPS搭載のiPhoneやiPadがWi-Fi接続したときの情報を収集してDB化・Wi-Fi接続時にこのDBにアクセスすることで、GPSなしでもBSSIDから正確な位置を把握可能・iSniff GPSはこれを実証するPythonで書かれたPoCコードで、Github上で公開
●Poison Pi試作品参照:http://securityaffairs.co/wordpress/28898/ hacking/war-shipping-hacking-tool.html
●ThunderStrike攻撃シーン参照:https://trmm.net/Thunderstrike_31c3
●Mac PCのブートプロセスを突いてファームウェアを書き換える攻撃
・ブートROMにバックドアなどの悪意のコードを仕込むことで、さまざまな攻撃が可能
・ブートROMの書き換えは非常に困難だが、Mac PCのブートプロセスの脆弱性を突いて、ブート時に外部接続されたThunderboltデバイスからROMの書き換えが可能
・この脆弱性は、OS X 10.10.2(2015年1月28日リリース)で解消された。
サイバーセキュリティ
アニュアルレポート
2世の中のサイバーセキュリティ事案
56 57
2. 事案の分析 - ❻ 新しい脅威
●電子タバコからマルウェアに感染・最新のパッチを適用しウイルス保護対策も施されたPCがマルウェア感染した。・Webのログも監査されたが、ネットワーク経由で感染した証跡は見つからなかった。・PC所有者に確認したところ、禁煙して電子タバコを利用するようになり、電子タバコをPCのUSBから充電していたことが判明
・電子タバコの充電器(中国製)にマルウェアが仕込まれており、そこから感染したことが判明・電子タバコは、eBayで5ドルで購入したとのこと。
●教訓・単なる充電とはいえ、信用できないメーカーの機器をPCに接続しないこと・充電だけであれば、壁コンセントを使用すること・製造ラインで仕込まれたマルウェアがこの数年でいくつか見つかっている。利用者側での保護対策が重要
●USB充電器
●ホストマシンを破壊するUSBデバイス・帯電用のコンデンサを備えた、USBメモリに似させたデバイス・これをホストのUSBポートに接続すると、ホストマシンからの供給電源を内部のコンデンサに蓄え、一定の電荷が溜まると信号線に電荷を印加
・過剰電荷を印加されたホストマシンのUSBインタフェースが物理的に破壊される。
●USB Killer
ホストPC
充電
電子タバコ
充電器マルウェア侵害
USB
外装 内装(1) 内装(2)
●USB Killer: Dark Purple氏のお手製(基板は特注品)参照:http://kukuruku.co/hub/diy/usb-killer?ModPagespeed=noscript
①電源供給
③過剰電荷(破壊)
②帯電
ThunderStrike
Poison Pi
高速カメラで盗聴
●会議室盗聴技術・レーザー光を使用し対象の振動を音として検出するレーザーマイクロフォンを使った盗聴は、従来から行われている。・防音ガラスを使った会議室などは外部から振動を抽出できないために、レーザーマイクロフォンによる盗聴は不可能だが、防音ガラスでも有効な手段が発表された。
●外部から会議室内を撮影して盗聴・(防音)ガラスを通じて外部から室内の撮影が可能な場合、高解像度の高速カメラ(1秒間に数千コマ以上撮影可能)で室内の振動しやすい物質(菓子袋など)を撮影することで、室内の振動を抽出することが可能
・室内の会話に応じて菓子袋が振動し、室外から撮影した映像を分析することで、室内の会話の再現が可能ということが報告された。
・高速カメラでなく60fpsの一般的なカメラでも、不明瞭で判別は困難だが音声の再現がある程度可能だということも示された。
●概要・ポストに投函可能なサイズの物理デバイスを送りつけることで、標的のWi-Fiネットワークに侵入・Kismet*2を利用してWi-Fiを検出し、BSSID*3を取得・消費電力削減のため位置情報取得にはGPSを使わず、iSniff GPS*4を使用・セキュリティ研究者Larry PesceのDerbycon 2014における発表による。
●攻撃のシナリオ・ターゲットとなる会社の元社員や旅行中の重役宛に発送・送付先が不明(不在)のため、メール室や該当者の机上で長期間保管・位置情報に基づき標的の場所への到達を検知したら、攻撃を開始
●デバイスの特徴・Raspberry Pi、AWUS051NHワイヤレスカード、バッテリーから構成・バッテリー駆動時間は最大300時間・低価格で実装可能、小型化実現
*2 Kismet:オープンソースのネットワークソフト*3 BSSID (Basic Service Set Identifier) :無線アクセスポイントの識別子、MACアドレスと同一*4 iSniff GPS :
・Apple社は、GPS搭載のiPhoneやiPadがWi-Fi接続したときの情報を収集してDB化・Wi-Fi接続時にこのDBにアクセスすることで、GPSなしでもBSSIDから正確な位置を把握可能・iSniff GPSはこれを実証するPythonで書かれたPoCコードで、Github上で公開
●Poison Pi試作品参照:http://securityaffairs.co/wordpress/28898/ hacking/war-shipping-hacking-tool.html
●ThunderStrike攻撃シーン参照:https://trmm.net/Thunderstrike_31c3
●Mac PCのブートプロセスを突いてファームウェアを書き換える攻撃
・ブートROMにバックドアなどの悪意のコードを仕込むことで、さまざまな攻撃が可能
・ブートROMの書き換えは非常に困難だが、Mac PCのブートプロセスの脆弱性を突いて、ブート時に外部接続されたThunderboltデバイスからROMの書き換えが可能
・この脆弱性は、OS X 10.10.2(2015年1月28日リリース)で解消された。
2世の中のサイバーセキュリティ事案
58
2. 事案の分析 - ❻ 新しい脅威
指紋の複製
●指紋の撮影と複製・高解像度カメラにて数メートル離れた位置から、目標の人物の指をいくつかの方向から撮影・複数の指先撮影写真を合成して、指紋を複製・指紋の合成には市販ソフトを使用
●指紋認証突破・複製した指紋で、指紋認証を通過することができた。
AirGap
●AirGapとは・物理的・ネットワーク的に接続されていない孤立した系(スタンドアロン機など)への侵害を、ほかの系とは空間的に隔てられているということでAirGapを呼ぶことがある。
・研究レベルでAirGap侵害の方法がいくつか報告された。・事前にマルウェアをインストールするなど標的のPCに対する仕込みが必要だが、一度仕込んでしまえば外部との通信が可能となる。
●AirHopper・モニタ(アナログ)出力を利用してFM電波を飛ばすことが可能だが、キー入力を音声信号化してそれをFM変調し、放送するソフトが発表された。
・標的機にインストールすると、入力キーに応じたFM電波を放出し、それをFMラジオ付きのスマートフォンで受信して信号をデコードし、入力キーを表示することが可能
①キー入力①キー入力
③VGAケーブルをアンテナ 代わりにFM電波送信
④スマホでFM受信、 信号を復調して文字を表示
②AirHopperがキー入力に応じた FM信号を生成
●Scangate
●BitWhisper
サイバーセキュリティティテ
アニュアルレポート
2世の中のサイバーセキュリティ事案
59
指紋の複製
●指紋の撮影と複製
●指紋認証突破
AirGap
●AirGapとは
●AirHopper
●Scangate・スキャナ経由でホストコンピュータのマルウェアにコマンドを送信したり、ホストコンピュータの情報を窃取することが可能
・蓋を開けた状態でスキャン中に蓋裏の白面に光源を照射すると、黒背景に白線列の画像が得られるので、それを「0」「1」化することで外部からコンピュータに信号を送信できる。・マルウェアがスキャナの光源を制御し、開かれた蓋に反射した光を受光させることで外部に情報を送信できる。
●BitWhisper・熱センサーを搭載した受信側PCの近傍に設置された送信側PCが、CPU負荷上昇などにより本体の温度を上昇させ、発熱作用により受信側PCにデジタル(「0」「1」)信号を送信する。
・隔絶された系に外部からコマンドを送信し実行させることが可能
③ 熱化されたコマンドを解釈して実行① CPU負荷により本体温度を制御、 「0」「1」信号を熱化して送信
① マルウェアから スキャン開始コマンド
③スキャンイメージ (白黒画像)
④ スキャンイメージを デコードしてコマンド解釈
マルウェアが仕込まれたコンピュータ(ネットワーク接続なし)
② レーザポインタの 点滅でコマンド送信
発信側PC 受信側PC
② 熱(の変化)を感知
サイバーセキュリティ
年次報告書
3 脆弱性の動向
第3章では、Verisign社のiDefense情報を基に、2014年の脆弱性情報の動向について説明し、統計情報、
および傾向分析結果について報告する。
2世の中のサイバーセキュリティ事案
60 61
2. 事案の分析 - ❻ 新しい脅威
3Dプリンタの脅威
事案のまとめ:新しい脅威
●物理鍵複製・机上に放置された鍵束を高解像度カメラで撮影、それを元に3Dプリンタで鍵を作成・作成した鍵で開錠に成功
・国際会議などで新しい種類の脅威が報告されるようになった。
・高解像度カメラ、高速カメラ、3Dプリンタなどの普及に伴い、市販品を活用してこれまでにない物理的な攻撃を行えるようになってきた。
・外部デバイス接続によるホストコンピュータへの攻撃が可能であり、名の知れないメーカー製やオークションで仕入れたデバイスなどを使用する際は、そのリスクを認識する必要がある。
●金庫を開ける自動ダイヤラー・3Dプリンタで作成したダイヤルアダプタと、それを回転させるステップモータ、およびステップモータを制御するArduinoで構成
・ダイヤルアダプタを金庫ダイヤルに取り付け、Arduinoからの制御で、すべてのダイヤル組み合わせを実行し金庫を開錠
●武器製造・オーストラリアで2014年2月に、3Dプリンタで作成されたナックルダスターと拳銃パーツが押収された。日本でも10月に、3Dプリンタで拳銃を製造したとして実刑判決が出ている。
・法的な問題もあり、3Dプリンタによる武器製造での逮捕は未だあまり行われていない。
●著作権問題・2015年スーパーボウルのハーフタイムショーで有名になったLeft Sharkの人形を、3Dプリンタで製作してWeb上で販売していた人が著作権侵害で警告を受けた。
・ポケモンに酷似した3Dプリンタ製作品を販売していたサイトが、任天堂から著作権侵害で警告を受け、売上の返還を要求された。
発表項目
BadUSB
USBdriveby
USB Killer
ThunderStrike
Poison Pi
高速カメラで盗聴
指紋の複製
AirHopper
Scangate
BitWhisper
3Dプリンタ 鍵複製
金庫自動ダイヤラー
Blackhat USA 2014、Debycon 2014
作者のホームページ
作者のホームページ
31C3
Debycon 2014
SIGGRAPH 2014
31C3
MALCON 2014
Blackhat Europe 2014
大学のホームページ
31C3
Ruxcon 2014
サイバーセキュリティ
年次報告書
3 脆弱性の動向
第3章では、Verisign社のiDefense情報を基に、2014年の脆弱性情報の動向について説明し、統計情報、
および傾向分析結果について報告する。
2世の中のサイバーセキュリティ事案
60 61
3Dプリンタの脅威
事案のまとめ:新しい脅威
●物理鍵複製
●金庫を開ける自動ダイヤラー
●武器製造
●著作権問題
発表項目
62 63
NTT-CERTが扱った公開脆弱性情報の月別件数 情報ソースはVerisign社提供のiDefense情報(2014年1月~12月)
1. 脆弱性情報の動向
NTT-CERTでは、脆弱性情報の収集分析活動において、複数の情報源を組み合わせて業務を実施している。以下に、情報源と主な利用方法を示す。
NTT- CERTが扱った公開脆弱性情報の月別件数をグラフ表示する。 情報ソースはVerisign社提供のiDefense情報である。
概要、特徴 利用目的提供元組織情報提供組織
公開前脆弱性情報
早期警戒パートナーシップ(詳細は5.2参照)
iDefense Intelligence Report(次節以降参照)
National Vulnerability Database
JPCERT/CC
Verisign
NIST
公開前の脆弱性について、関係する開発者が脆弱性パッチを作成後に情報公開を行うための取り組み。厳重な守秘管理協定のもとで関係者のみに提供
NTTグループ内のプロダクト開発関係者への情報提供・調停を実施
JPCERT/CCのパートナーシップメンバーに提供される脆弱性情報などの提供サービス
NTTグループのセキュリティ関係者へメールなどにて情報共有
世界最大級の脆弱性情報DB。CVEを網羅する。CVEごとに関連情報へのリンクがありベンダが提供するアドバイザリへの最新リンクが網羅された状態が維持されている。
NTT-CERT内における技術調査、NTT-CERTへの問い合わせ対応などに利用
Verisign社が提供する脆弱性や脅威の情報提供サービス。日本語翻訳は日立システムズが担当。NTT持株技術企画部門のNTTグループ内セキュリティ情報共有の取り組みとしてNTTグループ向けに情報を提供。一般公開された情報が中心だが、iDefense独自情報などを含むほか、影響を受けるプロダクト情報など、事業との情報共有に有効な情報が多い。
NTT-CERT内における技術調査、NTT-CERTへの問い合わせ対応、NTT-CERTの特定プロダクトに関連する脆弱性情報提供などに利用
●傾向分析iDefenseのソースで報告された、2014年の脆弱性情報の件数は、年間合計:11,341件、月平均:約945件となった(ただし、更新の情報も別計上で、かつ更新情報件数が半数強を占める)。
過去のデータとの比較では、2012年まで5年ほど、毎年度、月平均で100件ほどの増加傾向があったが、2013年および2014年は高止まりしている。
2014年は突出して多い月がなく、6月、12月以外は、ほぼ横ばいである。
1200
1000
800
600
400
200
0
※Verisign社が分類したリスクレベル■High ■Medium ■Low
2014/01 2014/02 2014/03 2014/04 2014/05 2014/06 2014/07 2014/08 2014/09 2014/10 2014/11 2014/12
ブラウザ系(レンダリングエンジン含む)の脆弱性件数 iDefense情報(2014年1月~12月)
●傾向分析2013年統計との比較で、Internet Explorerが大幅に増加(150件→257件)し、1位となった。また、Google ChromeとFirefox、SeaMonkey、Thunderbirdは微減となった。 1位となったInternet Explorerの脆弱性は、4月と6月に多い。また、ほかのブラウザと比較してHighレベルの脆弱性が多いのが特徴である(230件/ 257件がHigh)。
典型的な端末ソフト(ブラウザ系を除く)の脆弱性件数 iDefense情報(2014年1月~12月)
●傾向分析件数で、1位:Adobe Flash Player、2位:Ffmpeg、3位:Adobe Reader、Acrobatであり、順位の入れ替わりはあるが、上位の傾向は2013年と変わらない。2013年からの推移は以下の通り。
※同一案件で更新情報が重なっているものは、1件に集約して計上
※同一案件で更新情報が重なっているものは、1件に集約して計上
300
250
200
150
100
50
0
120
100
80
60
40
20
0
Google Chrome
Adobe FlashPlayer
AdobeReader,Acrobat
Ffmepg OpenOffice
MicrosoftOffice
FreeTypeOracleVirtualBox
imagemagick
LibreOffice
VLC MediaPlayer
Microsoft InternetExplorer
Mozilla Firefox,SeaMonkey,Thunderbird
Mozilla FirefoxWebkit Opera
3脆弱性の動向
1位:Adobe Flash Player 99件→107件2位:Ffmpeg 31件→ 50件3位:Adobe Reader、 Acrobat 59件→ 47件
4位:Microsoft Office 27件→22件5位:Oracle VirtualBox 3件→18件
サイバーセキュリティ
アニュアルレポート
62 63
NTT-CERTが扱った公開脆弱性情報の月別件数 情報ソースはVerisign社提供のiDefense情報(2014年1月~12月)
1. 脆弱性情報の動向
NTT-CERTでは、脆弱性情報の収集分析活動において、複数の情報源を組み合わせて業務を実施している。以下に、情報源と主な利用方法を示す。
NTT- CERTが扱った公開脆弱性情報の月別件数をグラフ表示する。 情報ソースはVerisign社提供のiDefense情報である。
概要、特徴 利用目的提供元組織情報提供組織
公開前脆弱性情報
早期警戒パートナーシップ(詳細は5.2参照)
iDefense Intelligence Report(次節以降参照)
National Vulnerability Database
JPCERT/CC
Verisign
NIST
公開前の脆弱性について、関係する開発者が脆弱性パッチを作成後に情報公開を行うための取り組み。厳重な守秘管理協定のもとで関係者のみに提供
NTTグループ内のプロダクト開発関係者への情報提供・調停を実施
JPCERT/CCのパートナーシップメンバーに提供される脆弱性情報などの提供サービス
NTTグループのセキュリティ関係者へメールなどにて情報共有
世界最大級の脆弱性情報DB。CVEを網羅する。CVEごとに関連情報へのリンクがありベンダが提供するアドバイザリへの最新リンクが網羅された状態が維持されている。
NTT-CERT内における技術調査、NTT-CERTへの問い合わせ対応などに利用
Verisign社が提供する脆弱性や脅威の情報提供サービス。日本語翻訳は日立システムズが担当。NTT持株技術企画部門のNTTグループ内セキュリティ情報共有の取り組みとしてNTTグループ向けに情報を提供。一般公開された情報が中心だが、iDefense独自情報などを含むほか、影響を受けるプロダクト情報など、事業との情報共有に有効な情報が多い。
NTT-CERT内における技術調査、NTT-CERTへの問い合わせ対応、NTT-CERTの特定プロダクトに関連する脆弱性情報提供などに利用
●傾向分析iDefenseのソースで報告された、2014年の脆弱性情報の件数は、年間合計:11,341件、月平均:約945件となった(ただし、更新の情報も別計上で、かつ更新情報件数が半数強を占める)。
過去のデータとの比較では、2012年まで5年ほど、毎年度、月平均で100件ほどの増加傾向があったが、2013年および2014年は高止まりしている。
2014年は突出して多い月がなく、6月、12月以外は、ほぼ横ばいである。
1200
1000
800
600
400
200
0
※Verisign社が分類したリスクレベル■High ■Medium ■Low
2014/01 2014/02 2014/03 2014/04 2014/05 2014/06 2014/07 2014/08 2014/09 2014/10 2014/11 2014/12
ブラウザ系(レンダリングエンジン含む)の脆弱性件数 iDefense情報(2014年1月~12月)
●傾向分析2013年統計との比較で、Internet Explorerが大幅に増加(150件→257件)し、1位となった。また、Google ChromeとFirefox、SeaMonkey、Thunderbirdは微減となった。 1位となったInternet Explorerの脆弱性は、4月と6月に多い。また、ほかのブラウザと比較してHighレベルの脆弱性が多いのが特徴である(230件/ 257件がHigh)。
典型的な端末ソフト(ブラウザ系を除く)の脆弱性件数 iDefense情報(2014年1月~12月)
●傾向分析件数で、1位:Adobe Flash Player、2位:Ffmpeg、3位:Adobe Reader、Acrobatであり、順位の入れ替わりはあるが、上位の傾向は2013年と変わらない。2013年からの推移は以下の通り。
※同一案件で更新情報が重なっているものは、1件に集約して計上
※同一案件で更新情報が重なっているものは、1件に集約して計上
300
250
200
150
100
50
0
120
100
80
60
40
20
0
Google Chrome
Adobe FlashPlayer
AdobeReader,Acrobat
Ffmepg OpenOffice
MicrosoftOffice
FreeTypeOracleVirtualBox
imagemagick
LibreOffice
VLC MediaPlayer
Microsoft InternetExplorer
Mozilla Firefox,SeaMonkey,Thunderbird
Mozilla FirefoxWebkit Opera
3脆弱性の動向
1位:Adobe Flash Player 99件→107件2位:Ffmpeg 31件→ 50件3位:Adobe Reader、 Acrobat 59件→ 47件
4位:Microsoft Office 27件→22件5位:Oracle VirtualBox 3件→18件
サイバーセキュリティ
アニュアルレポート
サイバーセキュリティ
アニュアルレポート
64 65
3脆弱性の動向
1. 脆弱性情報の動向
その他(言語、MW、DB、など)の脆弱性情報件数 iDefense情報(2014年1月~12月)
OSの脆弱性件数 iDefense情報(2014年1月~12月)
●傾向分析Microsoft Windowsの脆弱性が一昨年より大幅に減少している。2012年:252件 → 2013年:122件 → 2014年:51件 1位は昨年と同様、Linux Kernelである。Cisco IOSは昨年と変わらないが、Apple OS XとApple iOSが増加し、それぞれ2位3位となっている。
※同一案件で更新情報が重なっているものは、1件に集約して計上
●傾向分析端末系ソフトやOS以外の、ミドルウェア、言語、データベースなどをひとまとめにプロットした。 Java(含、JDK/JRE)が197件で最多。2012年、2013年の統計でも最多だった。脆弱性の件数は249件→197件と、2012年より減少した。PHPは2013年から大きく増加し(17件→61件)、全体の4位となった。一方、Wiresharkは大きく減少し(94件→53件)、2013年3位から2014年7位となった。
※同一案件で更新情報が重なっているものは、1件に集約して計上
120
140
100
80
60
40
20
0Linux Kernel Microsoft
WindowsCisco IOSApple
OS XAppleiOS
OracleSolaris
CiscoNX-OS
JuniperNetworksJunOS
IBM AIXFreeBSD
160
0XenCisco
UnifiedCommunications
PHPOraclemySQL
IBMWebsphere
OracleJava
OracleDatabase
Wireshark RubyApacheTomcat
250
200
150
50
100
タイプ別脆弱性件数(JVNより)
●傾向分析おおむね2014年の傾向として、暗号の問題(CWE-310)が119件→1519件と激増した。これは米国CERT/CCが複数のAndroidアプリに対してSSLサーバ証明書を適切に検証しているか調査し、その結果、多数の脆弱性が発見され、公表されたためである。Androidアプリ単位での件数となっているため、非常に多い。 その他については、XSS(CWE-79)が617件→879件と増加した。
スマートフォン(AndroidとiOS)の脆弱性件数(iDefense情報より)
●傾向分析スマートフォンOSの脆弱性の年間件数の推移である。Android、Apple iOS以外にもいくつか存在するが、Android、Apple iOSが支配的なので分かりやすく、その2つに絞った。
Apple iOSの件数が、2013年に減少したかに思われたが、2014年は一転して増加になり、スマートフォンOSとしても2013年より増加した。
なお、脆弱性情報件数の推移と、マルウェアの流通件数やインシデント件数の推移とはまた別であり、注意が必要である。
※同一案件で更新情報が重なっているものは、1件に集約して計上
CWEのタイプ別の集計(iDefense情報はCWEとの関連付けがないため、JVNを用いた)
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014
300
350
250
200
150
100
50
0
400
450
■Android ■Apple iOS
■2013 ■2014
1200
1400
1000
800
600
400
200
0
1600
環境設定
:CWE
-16
不適切な
入力確認
:CWE
-20
パストラ
バーサル
:CWE
-22
CWE-O
ther
CWE-nocwe
CWE-noinfo
CWE-D
esignError
暗号の問
題:CW
E-310
CSRF:C
WE-35
2
競合状態
:CWE
-362
リソース
管理の問
題:CW
E-399
情報漏え
い:CW
E-200
証明書・
パスワー
ド管理:
CWE-2
55
許可・権
限・アク
セス制御
:CWE
-264
不適切な
認証:C
WE-28
7
書式・文
字列の問
題:CW
E-134
数値処理
の問題:
CWE-1
89
XSS:CW
E-79
OSコマ
ンドイン
ジェクシ
ョン:C
WE-78
リンク解
釈の問題
:CWE
-59
SQLイ
ンジェク
ション:
CWE-8
9
コードイ
ンジェク
ション:
CWE-9
4
バッファ
エラー:
CWE-1
19
サイバーセキュリティ
アニュアルレポート
64 65
3脆弱性の動向
1. 脆弱性情報の動向
その他(言語、MW、DB、など)の脆弱性情報件数 iDefense情報(2014年1月~12月)
OSの脆弱性件数 iDefense情報(2014年1月~12月)
●傾向分析Microsoft Windowsの脆弱性が一昨年より大幅に減少している。2012年:252件 → 2013年:122件 → 2014年:51件 1位は昨年と同様、Linux Kernelである。Cisco IOSは昨年と変わらないが、Apple OS XとApple iOSが増加し、それぞれ2位3位となっている。
※同一案件で更新情報が重なっているものは、1件に集約して計上
●傾向分析端末系ソフトやOS以外の、ミドルウェア、言語、データベースなどをひとまとめにプロットした。 Java(含、JDK/JRE)が197件で最多。2012年、2013年の統計でも最多だった。脆弱性の件数は249件→197件と、2012年より減少した。PHPは2013年から大きく増加し(17件→61件)、全体の4位となった。一方、Wiresharkは大きく減少し(94件→53件)、2013年3位から2014年7位となった。
※同一案件で更新情報が重なっているものは、1件に集約して計上
120
140
100
80
60
40
20
0Linux Kernel Microsoft
WindowsCisco IOSApple
OS XAppleiOS
OracleSolaris
CiscoNX-OS
JuniperNetworksJunOS
IBM AIXFreeBSD
160
0XenCisco
UnifiedCommunications
PHPOraclemySQL
IBMWebsphere
OracleJava
OracleDatabase
Wireshark RubyApacheTomcat
250
200
150
50
100
タイプ別脆弱性件数(JVNより)
●傾向分析おおむね2014年の傾向として、暗号の問題(CWE-310)が119件→1519件と激増した。これは米国CERT/CCが複数のAndroidアプリに対してSSLサーバ証明書を適切に検証しているか調査し、その結果、多数の脆弱性が発見され、公表されたためである。Androidアプリ単位での件数となっているため、非常に多い。 その他については、XSS(CWE-79)が617件→879件と増加した。
スマートフォン(AndroidとiOS)の脆弱性件数(iDefense情報より)
●傾向分析スマートフォンOSの脆弱性の年間件数の推移である。Android、Apple iOS以外にもいくつか存在するが、Android、Apple iOSが支配的なので分かりやすく、その2つに絞った。
Apple iOSの件数が、2013年に減少したかに思われたが、2014年は一転して増加になり、スマートフォンOSとしても2013年より増加した。
なお、脆弱性情報件数の推移と、マルウェアの流通件数やインシデント件数の推移とはまた別であり、注意が必要である。
※同一案件で更新情報が重なっているものは、1件に集約して計上
CWEのタイプ別の集計(iDefense情報はCWEとの関連付けがないため、JVNを用いた)
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014
300
350
250
200
150
100
50
0
400
450
■Android ■Apple iOS
■2013 ■2014
1200
1400
1000
800
600
400
200
0
1600
環境設定
:CWE
-16
不適切な
入力確認
:CWE
-20
パストラ
バーサル
:CWE
-22
CWE-O
ther
CWE-nocwe
CWE-noinfo
CWE-D
esignError
暗号の問
題:CW
E-310
CSRF:C
WE-35
2
競合状態
:CWE
-362
リソース
管理の問
題:CW
E-399
情報漏え
い:CW
E-200
証明書・
パスワー
ド管理:
CWE-2
55
許可・権
限・アク
セス制御
:CWE
-264
不適切な
認証:C
WE-28
7
書式・文
字列の問
題:CW
E-134
数値処理
の問題:
CWE-1
89
XSS:CW
E-79
OSコマ
ンドイン
ジェクシ
ョン:C
WE-78
リンク解
釈の問題
:CWE
-59
SQLイ
ンジェク
ション:
CWE-8
9
コードイ
ンジェク
ション:
CWE-9
4
バッファ
エラー:
CWE-1
19
サイバーセキュリティ
年次報告書
2008 2009 2010 2011 2012 2013 2014
60
70
50
40
30
20
10
0
■KingView ■RealFlex ■7T IGSS ■Rockwell ■GENESIS ■Schnider SCADA ■IntegraXor ■Advantech WebAccess ■SIMATIC WinCC ■他SCADA
3脆弱性の動向
66
1. 脆弱性情報の動向
産業用制御システムの脆弱性件数
●傾向分析産業機械の制御ソフトの脆弱性の年間件数の推移である。iDefenseのソースで報告されるものを抽出した。
2011年~2013年で減少していたが、2014年は今までほとんど脆弱性がなかったSchnider SCADA、IntegraXor、Advantech WebAccess、SIMATIC WinCCの脆弱性が報告され、増加した。
※同一案件で更新情報が重なっているものは、1件に集約して計上
67
4 NTTグループにおけるセキュリティ対応状況(NTT-CERTの取り組み状況)
第4章では、2014年度、NTT-CERTにおいて取り扱ったセキュリティ事案対応状況について、全体的な概要と
その中の代表的な事案を中心に報告する。
サイバーセキュリティ
年次報告書
■KingView ■RealFlex ■7T IGSS ■Rockwell ■GENESIS ■Schnider SCADA ■IntegraXor ■Advantech WebAccess ■SIMATIC WinCC ■他SCADA
3脆弱性の動向
66
産業用制御システムの脆弱性件数
●傾向分析
67
4 NTTグループにおけるセキュリティ対応状況(NTT-CERTの取り組み状況)
第4章では、2014年度、NTT-CERTにおいて取り扱ったセキュリティ事案対応状況について、全体的な概要と
その中の代表的な事案を中心に報告する。
サイバーセキュリティ
アニュアルレポート
6968
423
191118
217
25107
76
1379
76
1464
124
15112
202
2173
142
161215
142
1173
1012695
15101165
9101196
1312106
10
4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月
4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月■ セキュリティアラート■ 一般公開前脆弱性ハンドリング■ インシデントハンドリング■ 技術問い合わせ■ 調査・情報収集
60
70
50
40
100
90
80
30
20
10
0
13
12
10
6
10
9
10
11
9
6
15
10
11
6
5
10
12
6
9
5
14
2
11
7
3
14
2
16
12
15
20
2
21
7
3
12
4
15
11
2
7
6
14
6
4
7
13
6
7
9
21
25
10
7
7
42
3
19
11
18
●各月の特徴・4~ 5月 :OpenSSL(Heartbleed)、Apache Struts2などの脆弱性対応・9月 :満州事変(9/18 ~)に関わるサイバー攻撃の警戒・9~ 10月:Bash(Shellshock)、SSLv3(POODLE)などの脆弱性対応・12~ 1月:Androidに関わる複数の公開前脆弱性対応
4NTTグループにおけるセキュリティ対応状況(NTTーCERTの取り組み状況)
❶ 9.18満州事変に伴うサイバー攻撃について
・近年、毎年のように9月18日は中国からのサイト改ざんやDoSといったサイバー攻撃が発生しており、2014年も確認された。ただ、2010年から2012年は多数の攻撃が確認されていたが、2013年から減少し、2014年も少なかった。
・NTT-CERTでは、改ざん報告サイトや攻撃者のサイトから、130件程度の改ざんを確認した(投稿者名:1937nick、越南邻国宰相、黑旗奶嘴)。
・被害に合ったサイトは、ほとんどがホスティング(VPS)サービスを利用していた。 ・NTTグループが被害にあったWebサイトは見当たらなかった。 ・既知の脆弱性や空いたままのポートを狙っての攻撃の模様。日ごろからのパッチの適用、不必要にポートを空けないといったことが重要
2014年度の攻撃について
2. 対応事例
■改ざんサイト報告掲示板(hack-cn) ■攻撃者のWebサイト(1937CN)
■改ざんサイトの画面1
■改ざんサイトの画面3
■改ざんサイトの画面2
1. 問い合わせ・対応状況
サイバーセキュリティ
アニュアルレポート
6968
423
191118
217
25107
76
1379
76
1464
124
15112
202
2173
142
161215
142
1173
1012695
15101165
9101196
1312106
10
4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月
4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月■ セキュリティアラート■ 一般公開前脆弱性ハンドリング■ インシデントハンドリング■ 技術問い合わせ■ 調査・情報収集
※NTTグループ限り 無断転載禁止/Copyright © NTT Corp. All Rights Reserved.
60
70
50
40
100
90
80
30
20
10
0
13
12
10
6
10
9
10
11
9
6
15
10
11
6
5
10
12
6
9
5
14
2
11
7
3
14
2
16
12
15
20
2
21
7
3
12
4
15
11
2
7
6
14
6
4
7
13
6
7
9
21
25
10
7
7
42
3
19
11
18
●各月の特徴・4~ 5月 :OpenSSL(Heartbleed)、Apache Struts2などの脆弱性対応・9月 :満州事変(9/18 ~)に関わるサイバー攻撃の警戒・9~ 10月:Bash(Shellshock)、SSLv3(POODLE)などの脆弱性対応・12~ 1月:Androidに関わる複数の公開前脆弱性対応
4NTTグループにおけるセキュリティ対応状況(NTTーCERTの取り組み状況)
❶ 9.18満州事変に伴うサイバー攻撃について
・近年、毎年のように9月18日は中国からのサイト改ざんやDoSといったサイバー攻撃が発生しており、2014年も確認された。ただ、2010年から2012年は多数の攻撃が確認されていたが、2013年から減少し、2014年も少なかった。
・NTT-CERTでは、改ざん報告サイトや攻撃者のサイトから、130件程度の改ざんを確認した(投稿者名:1937nick、越南邻国宰相、黑旗奶嘴)。
・被害に合ったサイトは、ほとんどがホスティング(VPS)サービスを利用していた。 ・NTTグループが被害にあったWebサイトは見当たらなかった。 ・既知の脆弱性や空いたままのポートを狙っての攻撃の模様。日ごろからのパッチの適用、不必要にポートを空けないといったことが重要
2014年度の攻撃について
2. 対応事例
■改ざんサイト報告掲示板(hack-cn) ■攻撃者のWebサイト(1937CN)
■改ざんサイトの画面1
■改ざんサイトの画面3
■改ざんサイトの画面2
1. 問い合わせ・対応状況
サイバーセキュリティ
アニュアルレポート
❷ 翻訳サイトの翻訳結果がWeb検索で表示されてしまう(ilovetranslation)
4NTTグループにおけるセキュリティ対応状況(NTTーCERTの取り組み状況)
70 71
このサイトでは67の言語への翻訳が可能
「ilovetranslation」という翻訳サイトにおいてテキストを翻訳すると、翻訳結果がページとして作成され、Google検索などで表示されることが判明
Googleなどで「ilovetranslation + キーワード」で検索をすると、テキスト翻訳の結果が表示される。具体的な会社名や個人名などが複数表示されてしまう。
翻訳の結果がWebページとして残ってしまうため、翻訳サイトには会社名や個人名を入力せず、最小限の使用にとどめる。
2014年7月23日にリリースされた、「Thunderbird 31.0」に、メール送信時に勝手にアドレス帳からアドレスが追加されて送信されてしまうという、誤送信を誘発する重大なリスクを伴う事象がNTTグループ内で確認され、調査を実施した。
再現が取れ、Thunderbird 31.0の「アドレスリスト」のバグが原因と判明した。 宛先を「○○○ <~~~@ntt-cert.org>」の形式で表記した場合に、”○○○”という同名のアドレスリストが存在すると、本来の宛先であるはずの「 ~~~@ntt-cert.org」ではなく、当該アドレスリストを対象に送信してしまうことが分かった。
2. 対応事例
❸ Thunderbirdのバグによる誤送信事案
メールを作成
送信
勝手にアドレスが追加されて送信されてしまった。
送信
To:○○○ <~~~@ntt-cert.org>
To: taro <taro@ntt-cert.org>To:jiro <jiro@ntt-cert.org>To:saburo <saburo@ntt-cert.org>
~~~@ntt-cert.org へ送ろうとメールを作成する。
○○○のアドレスリストに登録されたメールアドレスに送信されてしまう。
サイバーセキュリティ
アニュアルレポート
❷ 翻訳サイトの翻訳結果がWeb検索で表示されてしまう(ilovetranslation)
4NTTグループにおけるセキュリティ対応状況(NTTーCERTの取り組み状況)
70 71
このサイトでは67の言語への翻訳が可能
「ilovetranslation」という翻訳サイトにおいてテキストを翻訳すると、翻訳結果がページとして作成され、Google検索などで表示されることが判明
Googleなどで「ilovetranslation + キーワード」で検索をすると、テキスト翻訳の結果が表示される。具体的な会社名や個人名などが複数表示されてしまう。
翻訳の結果がWebページとして残ってしまうため、翻訳サイトには会社名や個人名を入力せず、最小限の使用にとどめる。
2014年7月23日にリリースされた、「Thunderbird 31.0」に、メール送信時に勝手にアドレス帳からアドレスが追加されて送信されてしまうという、誤送信を誘発する重大なリスクを伴う事象がNTTグループ内で確認され、調査を実施した。
再現が取れ、Thunderbird 31.0の「アドレスリスト」のバグが原因と判明した。 宛先を「○○○ <~~~@ntt-cert.org>」の形式で表記した場合に、”○○○”という同名のアドレスリストが存在すると、本来の宛先であるはずの「 ~~~@ntt-cert.org」ではなく、当該アドレスリストを対象に送信してしまうことが分かった。
2. 対応事例
❸ Thunderbirdのバグによる誤送信事案
メールを作成
送信
勝手にアドレスが追加されて送信されてしまった。
送信
To:○○○ <~~~@ntt-cert.org>
To: taro <taro@ntt-cert.org>To:jiro <jiro@ntt-cert.org>To:saburo <saburo@ntt-cert.org>
~~~@ntt-cert.org へ送ろうとメールを作成する。
○○○のアドレスリストに登録されたメールアドレスに送信されてしまう。
サイバーセキュリティ
アニュアルレポート
Mozilla製品関連フォーラムには、類似事象が報告されていた。
本事象は、Mozillaの開発者よりバグとして報告され、2014年9月2日にリリースされたThunderbird 31.1 にて解消された。
4NTTグループにおけるセキュリティ対応状況(NTTーCERTの取り組み状況)
72 73
2. 対応事例 - ❸ Thunderbirdのバグによる誤送信事案
参照:http://forums.mozillazine.jp/viewtopic.php?t=14894&p=52878
参照:https://bugzilla.mozilla.org/show_bug.cgi?id=1008718
■まとめ(注意のポイント)
●攻撃の流れ
2014年度は、悪意のある第三者によるWebサイトへの不正ログイン・不正利用やWebサイト改ざん、Webサービスからのユーザ情報漏えいが多く発生した。 NTT-CERTでもWebサイトに対する攻撃事案をいくつか対応しており、その中から一つの事案を紹介する。 本事案は外部へ公開しているWebサーバが不正侵入され、DDoS攻撃を行う複数のELFマルウェアが格納された。このマルウェアにより、特定の数十サイトへDoS攻撃を行っていた。
【対応事例】Webサーバへの不正侵入事案
❹ Webサーバへの不正侵入事例
① Tomcat管理画面へブルートフォース攻撃発生② Tomcat管理画面のユーザとパスワードが攻撃者に搾取される。③ Tomcat管理画面からWebshell※ファイルを格納される。④ Webshell経由でさまざまなELFマルウェアが格納される。⑤ ELFマルウェアが実行され、外部のC&Cサーバと接続する(命令待ち)。⑥ C&Cサーバから命令を受信して、ELFマルウェアが特定のサイトを攻撃
※Webshell:Webブラウザ経由でコンピュータをファイルアップロードや削除などの操作ができるツール
①Tomcat管理画面へブルートフォース攻撃発生
C&Cサーバ
公開Webサーバ
外部からのハイポート許可
②ログインIDとパスワード搾取③Webshellファイルをアップロード
⑤C&Cサーバと通信
⑥C&Cサーバから命令を受信して、 ELFマルウェアが特定のサイトを DoS攻撃
④Webshell経由でELFマルウェアをアップロード
サイバーセキュリティ
アニュアルレポート
Mozilla製品関連フォーラムには、類似事象が報告されていた。
本事象は、Mozillaの開発者よりバグとして報告され、2014年9月2日にリリースされたThunderbird 31.1 にて解消された。
4NTTグループにおけるセキュリティ対応状況(NTTーCERTの取り組み状況)
72 73
2. 対応事例 - ❸ Thunderbirdのバグによる誤送信事案
参照:http://forums.mozillazine.jp/viewtopic.php?t=14894&p=52878
参照:https://bugzilla.mozilla.org/show_bug.cgi?id=1008718
■まとめ(注意のポイント)
●攻撃の流れ
2014年度は、悪意のある第三者によるWebサイトへの不正ログイン・不正利用やWebサイト改ざん、Webサービスからのユーザ情報漏えいが多く発生した。 NTT-CERTでもWebサイトに対する攻撃事案をいくつか対応しており、その中から一つの事案を紹介する。 本事案は外部へ公開しているWebサーバが不正侵入され、DDoS攻撃を行う複数のELFマルウェアが格納された。このマルウェアにより、特定の数十サイトへDoS攻撃を行っていた。
【対応事例】Webサーバへの不正侵入事案
❹ Webサーバへの不正侵入事例
① Tomcat管理画面へブルートフォース攻撃発生② Tomcat管理画面のユーザとパスワードが攻撃者に搾取される。③ Tomcat管理画面からWebshell※ファイルを格納される。④ Webshell経由でさまざまなELFマルウェアが格納される。⑤ ELFマルウェアが実行され、外部のC&Cサーバと接続する(命令待ち)。⑥ C&Cサーバから命令を受信して、ELFマルウェアが特定のサイトを攻撃
※Webshell:Webブラウザ経由でコンピュータをファイルアップロードや削除などの操作ができるツール
①Tomcat管理画面へブルートフォース攻撃発生
C&Cサーバ
公開Webサーバ
外部からのハイポート許可
②ログインIDとパスワード搾取③Webshellファイルをアップロード
⑤C&Cサーバと通信
⑥C&Cサーバから命令を受信して、 ELFマルウェアが特定のサイトを DoS攻撃
④Webshell経由でELFマルウェアをアップロード
サイバーセキュリティ
アニュアルレポート
4NTTグループにおけるセキュリティ対応状況(NTTーCERTの取り組み状況)
74 75
●攻撃者によりアップロードされたファイル①
●攻撃者によりアップロードされたファイル②
以下のファイルは、実際にアップロードされたWebshell「FreeBSD.war」を起動した画面ディレクトリの参照、作成編集などをWebブラウザを通して実行することができる。右下の図はシステム情報一覧を表示した画面
Webshell「FreeBSD.war」をアップロードされた時の「access.log」と「catalina.log」の抜粋
以下のファイルは、Webshell「FreeBSD.war」経由でアップロードされたELFマルウェア(DDoS Bot)ファイルの一覧
2. 対応事例 - ❹ Webサーバへの不正侵入事例
形 式ファイル名 サイズ 備 考 Kaspersky Symantec Fsecure
①
②
③
④
⑤
⑥
⑦
⑧
⑨
Alale
k
xudp.exe
jbk
sshf
xudp
conf.n
fake.cfg
sshd
-
-
-
Backdoor.Linux.Agent.F
-
-
-
-
-
-
-
-
Trojan.Chikdos.B!gen1
Trojan.Chikdos.B!gen2
-
-
-
Trojan.Chikdos.B!gen2
Backdoor.Linux.Mayday.g
-
Backdoor.Linux.Mayday.g
Backdoor.Linux.Mayday.f
Backdoor.Linux.Ganiw.a
Backdoor.Linux.Mayday.g
-
-
Backdoor.Linux.Ganiw.a
833 KB
577 KB
808 KB
1.44 MB
1.09 MB
808 KB
69 byte
51byte
1.09 MB
ELF
ELF
ELF
ELF
ELF
ELF
data
txt
ELF
⑤と⑨に関連する設定ファイル①、④、⑥に関連する設定ファイル
■SHODAN検索結果(例)
■まとめ(注意のポイント)
●インターネットに接続されたIoT(Internet of Things)機器の各種情報(IPアドレス、ホスト名、ドメイン保有者情報、位置情報、ポート番号、OS、バナー情報)を収集するサイト。利用者は検索キーワードを組み合わせることで各種情報を閲覧することができる。
・ サイバー犯罪者による悪用が指摘されている。 ・ デフォルトパスワードを用いているIoT機器の調査 ・ 脆弱性のあるソフトウェアを用いている機器の調査などで利用 (これらがバナー情報に含まれているケースがある) ・ 逆に、守る側(企業)は自組織内のIoT管理機器を不用意にインターネット上に公開していないかを調査する手段 として活用できる。
SHODANとは
❺ 検索エンジン「SHODAN」の調査報告
検索キーワードを入力して検索ボタンを押下すると
検索結果が表示される
サイバーセキュリティ
アニュアルレポート
4NTTグループにおけるセキュリティ対応状況(NTTーCERTの取り組み状況)
74 75
●攻撃者によりアップロードされたファイル①
●攻撃者によりアップロードされたファイル②
以下のファイルは、実際にアップロードされたWebshell「FreeBSD.war」を起動した画面ディレクトリの参照、作成編集などをWebブラウザを通して実行することができる。右下の図はシステム情報一覧を表示した画面
Webshell「FreeBSD.war」をアップロードされた時の「access.log」と「catalina.log」の抜粋
以下のファイルは、Webshell「FreeBSD.war」経由でアップロードされたELFマルウェア(DDoS Bot)ファイルの一覧
2. 対応事例 - ❹ Webサーバへの不正侵入事例
形 式ファイル名 サイズ 備 考 Kaspersky Symantec Fsecure
①
②
③
④
⑤
⑥
⑦
⑧
⑨
Alale
k
xudp.exe
jbk
sshf
xudp
conf.n
fake.cfg
sshd
-
-
-
Backdoor.Linux.Agent.F
-
-
-
-
-
-
-
-
Trojan.Chikdos.B!gen1
Trojan.Chikdos.B!gen2
-
-
-
Trojan.Chikdos.B!gen2
Backdoor.Linux.Mayday.g
-
Backdoor.Linux.Mayday.g
Backdoor.Linux.Mayday.f
Backdoor.Linux.Ganiw.a
Backdoor.Linux.Mayday.g
-
-
Backdoor.Linux.Ganiw.a
833 KB
577 KB
808 KB
1.44 MB
1.09 MB
808 KB
69 byte
51byte
1.09 MB
ELF
ELF
ELF
ELF
ELF
ELF
data
txt
ELF
⑤と⑨に関連する設定ファイル①、④、⑥に関連する設定ファイル
■SHODAN検索結果(例)
■まとめ(注意のポイント)
●インターネットに接続されたIoT(Internet of Things)機器の各種情報(IPアドレス、ホスト名、ドメイン保有者情報、位置情報、ポート番号、OS、バナー情報)を収集するサイト。利用者は検索キーワードを組み合わせることで各種情報を閲覧することができる。
・ サイバー犯罪者による悪用が指摘されている。 ・ デフォルトパスワードを用いているIoT機器の調査 ・ 脆弱性のあるソフトウェアを用いている機器の調査などで利用 (これらがバナー情報に含まれているケースがある) ・ 逆に、守る側(企業)は自組織内のIoT管理機器を不用意にインターネット上に公開していないかを調査する手段 として活用できる。
SHODANとは
❺ 検索エンジン「SHODAN」の調査報告
検索キーワードを入力して検索ボタンを押下すると
検索結果が表示される
サイバーセキュリティ
アニュアルレポート
4NTTグループにおけるセキュリティ対応状況(NTTーCERTの取り組み状況)
76
■検索結果にて表示される機器(以下の例では複合機)にhttpアクセスできてしまうことも
2. 対応事例 - ❺ 検索エンジン「SHODAN」の調査報告
悪意のあるユーザがSHODANを利用することで、脆弱な設定がされているIoT機器を見つけ出すことが可能
【管理者側のリスク】・インターネット接続したIoT機器内に保存したデータが意図せずにインターネットに公開され、結果として機密情報が漏えいする可能性がある。
(例) ・ 複合機内に保管した文書(スキャナファイル) ・TV会議システムにおける通話記録(電話番号)、または映像の盗聴 → オフィス機器の多くは、管理設定画面を提供するためWebサーバ機能を搭載している。・悪意のあるユーザがWebアクセスすることで、機器の設定情報が漏えいする、もしくは設定が変更される可能性がある。・DNSやNTPなどのサービスが稼動しているオフィス機器の場合、攻撃の踏み台に悪用され、サービス不能攻撃に加担してしまう恐れがある。
【管理者側の対策】・複合機などのオフィス機器を不用意にインターネットに接続しない。・インターネットに接続する際は以下の対応を行う。 ・ログイン認証の設定(デフォルトパスワードの変更) → 推測することが困難なパスワードを設定することが重要 ・アクセス制限の実施 → アクセス元を制限可能であれば制限を掛けることが重要 ・ファームウェアのアップデート → 定期的にメンテナンスすることが重要→ 製品利用マニュアルに必ず目を通し、セキュリティ設定を行うこと(上記以外のセキュリティ設定があれば実施す ることを推奨する)
複合機内に保管した文書(スキャナファイル)が閲覧できてしまうFAX宛先表が閲覧できてしまう
77
5 2014年度のサイバーセキュリティ関連トピック
第5章では、2014年度のサイバーセキュリティを取り巻く重要なICT環境変化にかかわるトピックとして、
「個人情報、プライバシー問題」 「AndroidアプリケーションにおけるJavaScript連携の脆弱性調査」
「クラウドセキュリティに関わる標準化」を取り上げて解説する。
サイバーセキュリティ
アニュアルレポート
4NTTグループにおけるセキュリティ対応状況(NTTーCERTの取り組み状況)
76
■検索結果にて表示される機器(以下の例では複合機)にhttpアクセスできてしまうことも
複合機内に保管した文書(スキャナファイル)が閲覧できてしまうFAX宛先表が閲覧できてしまう
77
5 2014年度のサイバーセキュリティ関連トピック
第5章では、2014年度のサイバーセキュリティを取り巻く重要なICT環境変化にかかわるトピックとして、
「個人情報、プライバシー問題」 「AndroidアプリケーションにおけるJavaScript連携の脆弱性調査」
「クラウドセキュリティに関わる標準化」を取り上げて解説する。
サイバーセキュリティ
アニュアルレポート
52014年度のサイバーセキュリティ関連トピック
78 79
●個人情報保護法の法目的の新旧比較
●個人情報保護法の改正のポイント
個人情報の定義の明確化・個人情報の定義の明確化(身体的特徴などが該当)・要配慮個人情報(いわゆる機微情報)に関する規定の整備
適切な規律の下で個人情報などの有用性を確保
・匿名加工情報に関する加工法や取り扱いなどの規定の整備・個人情報保護指針の作成や届出、公表などの規定の整備
個人情報の保護を強化・トレーサビリティの確保(第三者提供に係る確認および記録の作成義務)・不正な利益を図る目的による個人情報データベースなど提供罪の新設
個人情報保護委員会の新設およびその権限 ・個人情報保護委員会を新設し、現行の主務大臣の権限を一元化
個人情報の取り扱いのグローバル化
・国境を越えた適用と外国執行当局への情報提供に関する規定の整備・外国にある第三者への個人データの提供に関する規定の整備
その他改正事項・本人同意を得ない第三者提供(オプトアウト規定)の届出、公表など厳格化・利用目的の変更を可能とする規定の整備・取り扱う個人情報が5,000人以下の小規模取扱事業者への対応
【新 改正案】 (目的) 第一条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による 基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
【旧 現行法】 (目的) 第一条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による 基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、
個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
参照:http://www.cas.go.jp/jp/houan/150310/siryou3.pdf
参照:http://www.cas.go.jp/jp/houan/150310/siryou1.pdf
1. 個人情報、プライバシー問題
個人情報保護法の改正
●個人情報保護法の改正に向けた動き
●個人情報保護法の改正の理由
・今国会(第189回国会)に以下の法案が提出された。 『個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案』
・法案提出の理由 個人情報の保護及び有用性の確保に資するため、特定の個人を識別することのできる符号を個人情報として位置付けるとともに、当該符号の削除等により個人情報の復元ができないように加工した匿名加工情報の取扱いについての規律を定め、個人情報等の取扱いに関し監督を行う個人情報保護委員会を設置するほか、預金等に係る債権の額の把握に関する事務を個人番号利用事務に追加する等の必要がある。これが、この法律案を提出する理由である。
2003 年 5月 個人情報保護法 制定
2015年 3月 個人情報保護法改正案の国会提出
パーソナルデータの利用・流通に関する研究会(総務省)2012 年 11月~2013年 6月
パーソナルデータに関する検討会(IT 総合戦略本部)
技術検討ワーキンググループ
パーソナルデータの利活用に関する制度見直し方針(IT 総合戦略本部決定)
2013年 9月~12月、2014年 3月~ 5月
「パーソナルデータ関連制度担当室」を設置(IT 総合戦略本部)
2014年 6 月 個人情報保護改正の内容を大綱として取りまとめ
2014年 12月 パーソナルデータの利活用に関する制度改正に係る法律案の骨子(案)
2014 年 3月
2013年 12月
個人情報保護法制定から約 12年(施行から約 10年) 当時想定されていなかった個人情報の利活用、ルールの曖昧さ、制度の国際的な調和
パーソナルデータという概念の創出
匿名化されたパーソナルデータの扱いを
技術面から検討
サイバーセキュリティ
アニュアルレポート
52014年度のサイバーセキュリティ関連トピック
78 79
●個人情報保護法の法目的の新旧比較
●個人情報保護法の改正のポイント
個人情報の定義の明確化・個人情報の定義の明確化(身体的特徴などが該当)・要配慮個人情報(いわゆる機微情報)に関する規定の整備
適切な規律の下で個人情報などの有用性を確保
・匿名加工情報に関する加工法や取り扱いなどの規定の整備・個人情報保護指針の作成や届出、公表などの規定の整備
個人情報の保護を強化・トレーサビリティの確保(第三者提供に係る確認および記録の作成義務)・不正な利益を図る目的による個人情報データベースなど提供罪の新設
個人情報保護委員会の新設およびその権限 ・個人情報保護委員会を新設し、現行の主務大臣の権限を一元化
個人情報の取り扱いのグローバル化
・国境を越えた適用と外国執行当局への情報提供に関する規定の整備・外国にある第三者への個人データの提供に関する規定の整備
その他改正事項・本人同意を得ない第三者提供(オプトアウト規定)の届出、公表など厳格化・利用目的の変更を可能とする規定の整備・取り扱う個人情報が5,000人以下の小規模取扱事業者への対応
【新 改正案】 (目的) 第一条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による 基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
【旧 現行法】 (目的) 第一条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による 基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、
個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
参照:http://www.cas.go.jp/jp/houan/150310/siryou3.pdf
参照:http://www.cas.go.jp/jp/houan/150310/siryou1.pdf
1. 個人情報、プライバシー問題
個人情報保護法の改正
●個人情報保護法の改正に向けた動き
●個人情報保護法の改正の理由
・今国会(第189回国会)に以下の法案が提出された。 『個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案』
・法案提出の理由 個人情報の保護及び有用性の確保に資するため、特定の個人を識別することのできる符号を個人情報として位置付けるとともに、当該符号の削除等により個人情報の復元ができないように加工した匿名加工情報の取扱いについての規律を定め、個人情報等の取扱いに関し監督を行う個人情報保護委員会を設置するほか、預金等に係る債権の額の把握に関する事務を個人番号利用事務に追加する等の必要がある。これが、この法律案を提出する理由である。
2003 年 5月 個人情報保護法 制定
2015年 3月 個人情報保護法改正案の国会提出
パーソナルデータの利用・流通に関する研究会(総務省)2012 年 11月~2013年 6月
パーソナルデータに関する検討会(IT 総合戦略本部)
技術検討ワーキンググループ
パーソナルデータの利活用に関する制度見直し方針(IT 総合戦略本部決定)
2013年 9月~12月、2014年 3月~ 5月
「パーソナルデータ関連制度担当室」を設置(IT 総合戦略本部)
2014年 6 月 個人情報保護改正の内容を大綱として取りまとめ
2014年 12月 パーソナルデータの利活用に関する制度改正に係る法律案の骨子(案)
2014 年 3月
2013年 12月
個人情報保護法制定から約 12年(施行から約 10年) 当時想定されていなかった個人情報の利活用、ルールの曖昧さ、制度の国際的な調和
パーソナルデータという概念の創出
匿名化されたパーソナルデータの扱いを
技術面から検討
サイバーセキュリティ
アニュアルレポート
52014年度のサイバーセキュリティ関連トピック
80 81
『改正法(案)』 法改正でもほぼ変わらない個人情報
1. 個人情報、プライバシー問題
●「明確化」された個人情報の位置付け
「個人識別符号」が、それだけで特定の個人が識別できるものとして位置付けられた。
・ビジネスにおいて、顔認識データ、顧客IDなどが、それ単体で管理されることは稀であり、氏名などと容易に照合でき るデータベースにおいて管理されている。・すなわち、実務上、顔認識データ、顧客IDなどは容易照合性のある個人情報として扱わざるを得ない。・法改正によって、顔認識データ、顧客IDなどが新たに個人情報として位置付けられたとしても、実務に与える影響は少ない。
●『改正法(案)』に見る個人情報の定義
●個人情報の「明確化」の影響
(定義)第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気 的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。 第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事 項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合 することができ、それにより特定の個人を識別することができることとなるものを含む。) 二 個人識別符号が含まれるもの2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令 で定めるものをいう。 一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当 該特定の個人を識別することができるもの 二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカード その他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若 しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されるこ とにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
それに含まれる情報だけで特定の個人が識別できる。
●『パーソナルデータの利活用に関する制度改正に係る法律案の骨子(案)』P3より抜粋参照:http://www.kantei.go.jp/jp/singi/it2/pd/dai13/siryou1.pdf
(定義)第二条9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定 の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元する ことができないようにしたものをいう。 一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元す ることのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を 復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
『改正法(案)』 本人同意なき個人情報の第三者提供
●個人データを『匿名加工情報』にすれば、本人同意なく第三者に提供できる
●匿名加工情報の定義
変換
削除
削除
削除
第三者(受領者)第三者提供の同意なし 個人情報/匿名加工情報取扱事業者 (提供者) 第三者提供
(販売など)匿名加工情報
匿名加工情報
加工個人データ
個人
《注》個人情報保護委員会規則で定める基準で加工方法が明らかになる。現時点ではこの例で良いかどうかは分からない。
第37条 匿名加工情報を第三者に提供する 場合には、第三者提供をする旨を公表 第37条 提供先に匿名加工情報であることを明示
ID
氏名
電話番号
生年月日
性別
乗降駅名/利用日時
鉄道利用額
物販情報等
IDを変換した識別番号
-
-
生年月日
性別
乗降駅名/利用日時
鉄道利用額
-
加工前 加工後
変換
削除
削除
削除
《注》個人情報保護委員会規則で定める基準で加工方法が明らかになる。現時点ではこの例で良いかどうかは分からない。
ID
氏名
電話番号
生年月日
性別
乗降駅名/利用日時
鉄道利用額
物販情報等
IDを変換した識別番号
-
-
生年月日
性別
乗降駅名/利用日時
鉄道利用額
-
加工前 加工後
照合
ID
氏名
電話番号
生年月日
性別
乗降駅名/利用日時
鉄道利用額
物販情報等
IDを変換した識別番号
-
-
生年月日
性別
乗降駅名/利用日時
鉄道利用額
-
加工前 加工後
照合可能
利
用
第36条1項 個人情報に復元することが できないように加工を行う。
第38条 削除をした記述など、および加工 の方法に関する情報を取得し、 または当該匿名加工情報をほかの 情報と照合してはならない。
個人識別符号の置き換えに当たるか?
個人情報に含まれる記述などの一部の削除に当たるか?
サイバーセキュリティ
アニュアルレポート
52014年度のサイバーセキュリティ関連トピック
80 81
『改正法(案)』 法改正でもほぼ変わらない個人情報
1. 個人情報、プライバシー問題
●「明確化」された個人情報の位置付け
「個人識別符号」が、それだけで特定の個人が識別できるものとして位置付けられた。
・ビジネスにおいて、顔認識データ、顧客IDなどが、それ単体で管理されることは稀であり、氏名などと容易に照合でき るデータベースにおいて管理されている。・すなわち、実務上、顔認識データ、顧客IDなどは容易照合性のある個人情報として扱わざるを得ない。・法改正によって、顔認識データ、顧客IDなどが新たに個人情報として位置付けられたとしても、実務に与える影響は少ない。
●『改正法(案)』に見る個人情報の定義
●個人情報の「明確化」の影響
(定義)第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気 的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。 第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事 項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合 することができ、それにより特定の個人を識別することができることとなるものを含む。) 二 個人識別符号が含まれるもの2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令 で定めるものをいう。 一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当 該特定の個人を識別することができるもの 二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカード その他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若 しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されるこ とにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
それに含まれる情報だけで特定の個人が識別できる。
●『パーソナルデータの利活用に関する制度改正に係る法律案の骨子(案)』P3より抜粋参照:http://www.kantei.go.jp/jp/singi/it2/pd/dai13/siryou1.pdf
(定義)第二条9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定 の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元する ことができないようにしたものをいう。 一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元す ることのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を 復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
『改正法(案)』 本人同意なき個人情報の第三者提供
●個人データを『匿名加工情報』にすれば、本人同意なく第三者に提供できる
●匿名加工情報の定義
変換
削除
削除
削除
第三者(受領者)第三者提供の同意なし 個人情報/匿名加工情報取扱事業者 (提供者) 第三者提供
(販売など)匿名加工情報
匿名加工情報
加工個人データ
個人
《注》個人情報保護委員会規則で定める基準で加工方法が明らかになる。現時点ではこの例で良いかどうかは分からない。
第37条 匿名加工情報を第三者に提供する 場合には、第三者提供をする旨を公表 第37条 提供先に匿名加工情報であることを明示
ID
氏名
電話番号
生年月日
性別
乗降駅名/利用日時
鉄道利用額
物販情報等
IDを変換した識別番号
-
-
生年月日
性別
乗降駅名/利用日時
鉄道利用額
-
加工前 加工後
変換
削除
削除
削除
《注》個人情報保護委員会規則で定める基準で加工方法が明らかになる。現時点ではこの例で良いかどうかは分からない。
ID
氏名
電話番号
生年月日
性別
乗降駅名/利用日時
鉄道利用額
物販情報等
IDを変換した識別番号
-
-
生年月日
性別
乗降駅名/利用日時
鉄道利用額
-
加工前 加工後
照合
ID
氏名
電話番号
生年月日
性別
乗降駅名/利用日時
鉄道利用額
物販情報等
IDを変換した識別番号
-
-
生年月日
性別
乗降駅名/利用日時
鉄道利用額
-
加工前 加工後
照合可能
利
用
第36条1項 個人情報に復元することが できないように加工を行う。
第38条 削除をした記述など、および加工 の方法に関する情報を取得し、 または当該匿名加工情報をほかの 情報と照合してはならない。
個人識別符号の置き換えに当たるか?
個人情報に含まれる記述などの一部の削除に当たるか?
サイバーセキュリティ
アニュアルレポート
52014年度のサイバーセキュリティ関連トピック
82 83
1. 個人情報、プライバシー問題
(匿名加工情報の作成等)第三十六条 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。) を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにする ために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。2 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人 識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情 報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。3 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該 匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。4 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員 会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及 びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を 明示しなければならない。5 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情 報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。6 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措 置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保す るために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
●匿名加工情報の作成
(匿名加工情報の提供)第三十七条 匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節に おいて同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に 提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第 三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。 (識別行為の禁止)第三十八条 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられ た個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第三十 六条第一項の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合しては ならない。 (安全管理措置等)第三十九条 匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱 いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措 置の内容を公表するよう努めなければならない。
●匿名加工情報の提供、識別行為の禁止など
ベネッセ名簿流出事件
・個人データと『匿名加工情報』の使い分けが進む。
・匿名加工情報に加工するソリューション、委託業務の市場の誕生 ・取得時に第三者提供を想定していなかった蓄積済みのビッグデータの取引が進む。 (例)個人が特定できなくても、顧客セグメントの特性が理解できれば良い場合など
●『匿名加工情報』がもたらす影響
・教育事業会社であるベネッセの所有する個人情報が、漏えい・漏えいした情報が名簿業者である文献社から、第三者(ジャストシステム)に販売・当該第三者(ジャストシステム)が、DM発送などに利用した。・DBの運用・保守などを委託していた委託先の契約社員が、情報を持ち出し、売却したことが判明
●ベネッセ事件の概要
個人データ 匿名加工情報
長所:個人が特定できる(個人にリーチできる)
短所:第三者提供の本人同意の取得コストが高い (特に、第三者提供の同意なく取得した膨大な 個人データの場合)
長所:第三者提供の本人同意の取得コストが不要 (特に、第三者提供の同意なく取得した膨大な 個人データの場合)
短所:個人が特定できない(個人にリーチできない) 加工コスト
委託先 二次受領者名簿業者(受領者)文献社
ベネッセ
ジャストシステム
個人情報取扱事業者
【事件後の社内調査】 文献社に入手経路を確認していたが、 最終的にはデータの出所が明らかになっていない状況で契約し購入していた。
個人データ
個人データ
名簿業者
個人データ
③提供 (名簿販売)
個人データ
個人
②提供 (名簿販売)
個人データ 流出
①取得
・ 不正に流出した情報とは 知らなかった・適法・公正に入手したもので あることを条件とする契約を 文献社と締結
二次受領者二次受領者・ 別の名簿業者から購入した・ 不正に流出した情報とは 知らなかったと主張
受領者受領者
②預託
サイバーセキュリティ
アニュアルレポート
52014年度のサイバーセキュリティ関連トピック
82 83
1. 個人情報、プライバシー問題
(匿名加工情報の作成等)第三十六条 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。) を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにする ために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。2 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人 識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情 報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。3 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該 匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。4 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員 会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及 びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を 明示しなければならない。5 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情 報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。6 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措 置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保す るために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
●匿名加工情報の作成
(匿名加工情報の提供)第三十七条 匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節に おいて同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に 提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第 三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。 (識別行為の禁止)第三十八条 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられ た個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第三十 六条第一項の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合しては ならない。 (安全管理措置等)第三十九条 匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱 いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措 置の内容を公表するよう努めなければならない。
●匿名加工情報の提供、識別行為の禁止など
ベネッセ名簿流出事件
・個人データと『匿名加工情報』の使い分けが進む。
・匿名加工情報に加工するソリューション、委託業務の市場の誕生 ・取得時に第三者提供を想定していなかった蓄積済みのビッグデータの取引が進む。 (例)個人が特定できなくても、顧客セグメントの特性が理解できれば良い場合など
●『匿名加工情報』がもたらす影響
・教育事業会社であるベネッセの所有する個人情報が、漏えい・漏えいした情報が名簿業者である文献社から、第三者(ジャストシステム)に販売・当該第三者(ジャストシステム)が、DM発送などに利用した。・DBの運用・保守などを委託していた委託先の契約社員が、情報を持ち出し、売却したことが判明
●ベネッセ事件の概要
個人データ 匿名加工情報
長所:個人が特定できる(個人にリーチできる)
短所:第三者提供の本人同意の取得コストが高い (特に、第三者提供の同意なく取得した膨大な 個人データの場合)
長所:第三者提供の本人同意の取得コストが不要 (特に、第三者提供の同意なく取得した膨大な 個人データの場合)
短所:個人が特定できない(個人にリーチできない) 加工コスト
委託先 二次受領者名簿業者(受領者)文献社
ベネッセ
ジャストシステム
個人情報取扱事業者
【事件後の社内調査】 文献社に入手経路を確認していたが、 最終的にはデータの出所が明らかになっていない状況で契約し購入していた。
個人データ
個人データ
名簿業者
個人データ
③提供 (名簿販売)
個人データ
個人
②提供 (名簿販売)
個人データ 流出
①取得
・ 不正に流出した情報とは 知らなかった・適法・公正に入手したもので あることを条件とする契約を 文献社と締結
二次受領者二次受領者・ 別の名簿業者から購入した・ 不正に流出した情報とは 知らなかったと主張
受領者受領者
②預託
サイバーセキュリティ
アニュアルレポート
52014年度のサイバーセキュリティ関連トピック
84 85
1. 個人情報、プライバシー問題
・個人情報取扱事業者は、不正な手段などで個人情報を取得してはならない。●個人情報の適正取得の義務
●第三者提供を受ける者も適正取得の義務あり
個人情報第17条 適正な取得
「不正な手段」例経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成26年12月12日改正)2-2-2(1)適正な取得例1) 親の同意がなく、十分な判断能力を有していない子どもから、取得状況から考えて関係のない親の収入事情 などの家族の個人情報を取得する場合例3) 他の事業者に指示して例1)などの不正の手段で個人情報を取得させ、その事業者から個人情報を取得する場合
「不正な手段」例経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成26年12月12日改正)2-2-2(1)適正な取得例2) 法第23条に規定する第三者提供制限違反をするよう強要して個人情報を取得した場合例4) 法第23条に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができる にもかかわらず、個人情報を取得する場合例5) 例2)などの不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、 当該個人情報を取得する場合
経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」Q&A
Q50:サービスを利用した本人から友人を紹介してもらい、その友人の個人情報を取得する、「友人紹介キャンペーン」による取得は個人情報の取得の手段として適正ですか。
A50:事業者が偽ったり、騙したりするなどして、個人情報を不正に取得するのでなければ、法に違反しているということにはなりません。
個人情報取扱事業者
個人データ
個人
取得
不正な手段
二次受領者第三者(受領者)
不正な手段
個人情報取扱事業者(提供者)
例4) 違反されようとしていることを知る/容易に知ることができる
例2) 違反するよう強要する
例5) 第三者提供違反などの不正な手段で 取得されたことを知る/容易に知り得る(例) 数百万件のクレジットカード情報など、 第三者からの入手が、通常困難な場合など
ジャストシステムが、例5に該当する可能性が指摘されている。
個人データ
個人データ 提供提供取得 個人
データ
個人
・「名簿業者からの購入」は「適正な取得」か? →不正取得されたものであると知らなかったとしても、「容易に知ることができる/知ることができて当然である」 場合、「不正な取得」となる可能性がある。
・名簿業者やデータベース事業者は、法第23条第2項のオプトアウトをしている。
●名簿業者からの購入
●本人同意なく、名簿販売はなぜできる
経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」 Q&A
Q51①:名簿業者から個人の名簿を購入することは 禁止されていますか。
A51①:購入すること自体が禁止されているわけでは ありません。
Q51②:名簿が不正取得されたものであることを知ら ずに買った場合は、責任を問われることはあり ますか。
A51②:知らなかった場合でも、知ることができて当然 である場合などには責任を問われる可能性が あります。このような場合には、購入には慎重 であるべきです。
Q52:「第三者提供制限違反がされようとしていること を知り、又は容易に知ることができる」とは、 どのような場合ですか。
A52:例えば、部外秘などと明記された従業員名簿、 クレジットカード情報が含まれる顧客名簿など、 社会通念上、第三者提供制限に違反することなく、 第三者提供をすることが困難な場合が考えられます。
経済産業省 個人情報保護法ガイドライン2-2-4.(2)オプトアウト(法第23条第2項関連)(前略)個人情報取扱事業者は、第三者提供におけるオプトアウトを行っている場合には、前項の規定にかかわらず、本人の同意なく、個人データを第三者に提供することができる。(中略) また、オプトアウトの方法によって個人データを第三者に提供する場合、例えば、名簿などの入手元を明らかにしないことを条件に販売するなどのように、提供元の個人情報取扱事業者は、提供先に対して、その個人データの入手元を開示することを妨げるようなことは避けることが望ましい。【オプトアウトの事例】 事例1)住宅地図業者(表札や郵便受けを調べて住宅地図を作成し、販売(不特定多数への第三者提供)) 事例2)データベース事業者(ダイレクトメール用の名簿などを作成し、販売)
なぜ名簿業者は、本人同意なく、名簿を販売できるのか?
サイバーセキュリティ
アニュアルレポート
52014年度のサイバーセキュリティ関連トピック
84 85
1. 個人情報、プライバシー問題
・個人情報取扱事業者は、不正な手段などで個人情報を取得してはならない。●個人情報の適正取得の義務
●第三者提供を受ける者も適正取得の義務あり
個人情報第17条 適正な取得
「不正な手段」例経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成26年12月12日改正)2-2-2(1)適正な取得例1) 親の同意がなく、十分な判断能力を有していない子どもから、取得状況から考えて関係のない親の収入事情 などの家族の個人情報を取得する場合例3) 他の事業者に指示して例1)などの不正の手段で個人情報を取得させ、その事業者から個人情報を取得する場合
「不正な手段」例経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成26年12月12日改正)2-2-2(1)適正な取得例2) 法第23条に規定する第三者提供制限違反をするよう強要して個人情報を取得した場合例4) 法第23条に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができる にもかかわらず、個人情報を取得する場合例5) 例2)などの不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、 当該個人情報を取得する場合
経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」Q&A
Q50:サービスを利用した本人から友人を紹介してもらい、その友人の個人情報を取得する、「友人紹介キャンペーン」による取得は個人情報の取得の手段として適正ですか。
A50:事業者が偽ったり、騙したりするなどして、個人情報を不正に取得するのでなければ、法に違反しているということにはなりません。
個人情報取扱事業者
個人データ
個人
取得
不正な手段
二次受領者第三者(受領者)
不正な手段
個人情報取扱事業者(提供者)
例4) 違反されようとしていることを知る/容易に知ることができる
例2) 違反するよう強要する
例5) 第三者提供違反などの不正な手段で 取得されたことを知る/容易に知り得る(例) 数百万件のクレジットカード情報など、 第三者からの入手が、通常困難な場合など
ジャストシステムが、例5に該当する可能性が指摘されている。
個人データ
個人データ 提供提供取得 個人
データ
個人
・「名簿業者からの購入」は「適正な取得」か? →不正取得されたものであると知らなかったとしても、「容易に知ることができる/知ることができて当然である」 場合、「不正な取得」となる可能性がある。
・名簿業者やデータベース事業者は、法第23条第2項のオプトアウトをしている。
●名簿業者からの購入
●本人同意なく、名簿販売はなぜできる
経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」 Q&A
Q51①:名簿業者から個人の名簿を購入することは 禁止されていますか。
A51①:購入すること自体が禁止されているわけでは ありません。
Q51②:名簿が不正取得されたものであることを知ら ずに買った場合は、責任を問われることはあり ますか。
A51②:知らなかった場合でも、知ることができて当然 である場合などには責任を問われる可能性が あります。このような場合には、購入には慎重 であるべきです。
Q52:「第三者提供制限違反がされようとしていること を知り、又は容易に知ることができる」とは、 どのような場合ですか。
A52:例えば、部外秘などと明記された従業員名簿、 クレジットカード情報が含まれる顧客名簿など、 社会通念上、第三者提供制限に違反することなく、 第三者提供をすることが困難な場合が考えられます。
経済産業省 個人情報保護法ガイドライン2-2-4.(2)オプトアウト(法第23条第2項関連)(前略)個人情報取扱事業者は、第三者提供におけるオプトアウトを行っている場合には、前項の規定にかかわらず、本人の同意なく、個人データを第三者に提供することができる。(中略) また、オプトアウトの方法によって個人データを第三者に提供する場合、例えば、名簿などの入手元を明らかにしないことを条件に販売するなどのように、提供元の個人情報取扱事業者は、提供先に対して、その個人データの入手元を開示することを妨げるようなことは避けることが望ましい。【オプトアウトの事例】 事例1)住宅地図業者(表札や郵便受けを調べて住宅地図を作成し、販売(不特定多数への第三者提供)) 事例2)データベース事業者(ダイレクトメール用の名簿などを作成し、販売)
なぜ名簿業者は、本人同意なく、名簿を販売できるのか?
サイバーセキュリティ
アニュアルレポート
52014年度のサイバーセキュリティ関連トピック
86 87
『改正法(案)』 名簿屋対策3点セット
1. 個人情報、プライバシー問題
・ベネッセ名簿流出事件を受けて、『改正法(案)』にいわゆる『名簿屋対策3点セット』が盛り込まれた。 ① 第三者提供に係る確認および記録の作成の義務付け ② 不正な利益を図る目的による個人情報データベース提供罪の新設 ③ 本人同意を得ない第三者提供への関与(オプトアウト規定の見直し)
●『名簿屋対策3点セット』
・個人データの提供者と受領者に新たな義務●『名簿屋対策3点セット』 その1 概要
・第三者提供に係る確認及び記録の作成の義務付け (第三者提供に係る記録の作成等)第二十五条 個人情報取扱事業者は、個人データを第三者(第二条第五項各号に掲げる者を除く。以下この条及び次条において同 じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名 又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの 提供が第二十三条第一項各号又は第五項各号のいずれか(前条の規定による個人データの提供にあっては、第二十三条第一項 各号のいずれか)に該当する場合は、この限りでない。2 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければな らない。 (第三者提供を受ける際の確認等)第二十六条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるとこ ろにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項 各号のいずれかに該当する場合は、この限りでない。 一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあ るものにあっては、その代表者又は管理人)の氏名 二 当該第三者による当該個人データの取得の経緯2 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該 確認に係る事項を偽ってはならない。3 個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人 データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなけ ればならない。4 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければな らない。
●『名簿屋対策3点セット』 その1 法文
第26条 取得した経緯などを確認する
第三者(受領者)個人情報取扱事業者(提供者)
個人データ
個人データ
個人第三者提供(販売など)
第25条 提供の年月日、 提供先の氏名などの 記録を作成し、 一定の期間保存
第26条 提供の年月日、 当該確認に係る事項 などの記録を作成し、 一定の期間保存
第三者(受領者)個人情報取扱事業者(提供者)
個人データ
個人データ
個人第三者提供(販売など)
第83条 個人情報データベースなどを 不正な利益を図る目的で提供し、 または盗用する行為を処罰
・個人情報データベース提供罪により、直罰制に●『名簿屋対策3点セット』 その2 概要
・不正な利益を図る目的による個人情報データベース提供罪の新設第八十三条 個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第八十七条第一項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。
●『名簿屋対策3点セット』 その2 法文
・従来のオプトアウトの必要事項に加えて、個人情報保護委員会への届出義務●『名簿屋対策3点セット』 その3 概要
第三者(受領者)個人情報取扱事業者(提供者)
個人データ
個人データ
個人
③提供①取得
第23条 個人情報保護委員会に 届け出なければならない
(第三者提供を止めたい場合、 提供停止を要求する)
第三者提供の同意なし
【必要事項】 (ア)利用目的を第三者提供と する (イ)提供する個人データ項目 (ウ)提供方法(エ)提供停止と受付
通知/周知
個人情報保護委員会
サイバーセキュリティ
アニュアルレポート
52014年度のサイバーセキュリティ関連トピック
86 87
『改正法(案)』 名簿屋対策3点セット
1. 個人情報、プライバシー問題
・ベネッセ名簿流出事件を受けて、『改正法(案)』にいわゆる『名簿屋対策3点セット』が盛り込まれた。 ① 第三者提供に係る確認および記録の作成の義務付け ② 不正な利益を図る目的による個人情報データベース提供罪の新設 ③ 本人同意を得ない第三者提供への関与(オプトアウト規定の見直し)
●『名簿屋対策3点セット』
・個人データの提供者と受領者に新たな義務●『名簿屋対策3点セット』 その1 概要
・第三者提供に係る確認及び記録の作成の義務付け (第三者提供に係る記録の作成等)第二十五条 個人情報取扱事業者は、個人データを第三者(第二条第五項各号に掲げる者を除く。以下この条及び次条において同 じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名 又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの 提供が第二十三条第一項各号又は第五項各号のいずれか(前条の規定による個人データの提供にあっては、第二十三条第一項 各号のいずれか)に該当する場合は、この限りでない。2 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければな らない。 (第三者提供を受ける際の確認等)第二十六条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるとこ ろにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項 各号のいずれかに該当する場合は、この限りでない。 一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあ るものにあっては、その代表者又は管理人)の氏名 二 当該第三者による当該個人データの取得の経緯2 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該 確認に係る事項を偽ってはならない。3 個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人 データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなけ ればならない。4 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければな らない。
●『名簿屋対策3点セット』 その1 法文
第26条 取得した経緯などを確認する
第三者(受領者)個人情報取扱事業者(提供者)
個人データ
個人データ
個人第三者提供(販売など)
第25条 提供の年月日、 提供先の氏名などの 記録を作成し、 一定の期間保存
第26条 提供の年月日、 当該確認に係る事項 などの記録を作成し、 一定の期間保存
第三者(受領者)個人情報取扱事業者(提供者)
個人データ
個人データ
個人第三者提供(販売など)
第83条 個人情報データベースなどを 不正な利益を図る目的で提供し、 または盗用する行為を処罰
・個人情報データベース提供罪により、直罰制に●『名簿屋対策3点セット』 その2 概要
・不正な利益を図る目的による個人情報データベース提供罪の新設第八十三条 個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第八十七条第一項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。
●『名簿屋対策3点セット』 その2 法文
・従来のオプトアウトの必要事項に加えて、個人情報保護委員会への届出義務●『名簿屋対策3点セット』 その3 概要
第三者(受領者)個人情報取扱事業者(提供者)
個人データ
個人データ
個人
③提供①取得
第23条 個人情報保護委員会に 届け出なければならない
(第三者提供を止めたい場合、 提供停止を要求する)
第三者提供の同意なし
【必要事項】 (ア)利用目的を第三者提供と する (イ)提供する個人データ項目 (ウ)提供方法(エ)提供停止と受付
通知/周知
個人情報保護委員会
サイバーセキュリティ
アニュアルレポート
52014年度のサイバーセキュリティ関連トピック
88 89
1. 個人情報、プライバシー問題
・本人同意を得ない第三者提供への関与(オプトアウト規定の見直し)●『名簿屋対策3点セット』 その3 法文
・個人情報データベースの流通市場が健全化する。・個人情報データベースの提供の記録、受領の記録に関わる管理コストの負担が発生・個人情報データベースの受領者は、提供者が当該個人情報データベースを取得した経緯を確認(気軽に受領できなくなる)・個人が直接、刑事罰の対象に(不正の抑止力が働く)・オプトアウト時の個人情報保護委員会への届出コストの発生
●名簿屋対策3点セットの影響
(第三者提供の制限)第二十三条2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げ る事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る 状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供す ることができる。 一 第三者への提供を利用目的とすること。 二 第三者に提供される個人データの項目 三 第三者への提供の方法 四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。 五 本人の求めを受け付ける方法3 個人情報取扱事業者は、前項第二号、第三号又は第五号に掲げる事を変更する場合は、変更する内容について、個人情報 保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人 情報保護委員会に届け出なければならない。4 個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該 届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
2. AndroidアプリケーションにおけるJavaScript連携の 脆弱性調査
これまで、Androidにおける大きな脅威となる脆弱性の一つとして、WebViewの脆弱性が指摘されている*1。 WebViewの脆弱性箇所は、主に以下の3種類が存在する。 ① WebViewキャッシュ ② file://スキーマ ③ JavaScript連携 特に③の問題はアプリケーションに設定されたパーミッションをすべて利用可能であるため、大きな脅威となり得る。そこで、Google Play*2からアプリを取得し、③の脆弱性がどの程度存在するかを調査した。
背景
① アプリケーションのActivityが、WebViewに Java Objectを登録する。② アプリケーションがJavaScriptを読み込むと、 Java Objectにアクセスする。③ Java ObjectがActivityにアクセスする。④ Activityを使ってJavaScriptに記載された処理 を行う。
AndroidアプリとWebサーバ間のデータや処理を円滑に行うための機能であるが、端末情報の取得や、ほかアプリへの送信、その他任意のプログラムやライブラリを実行される恐れがある。このため、Android4.2以降では、JavaScriptが呼び出せるメソッドを指定して予期しないオブジェクトを読み込ませないようにする「アノテーション機能」が追加されており、使用が推奨されている。
JavaScript連携の仕組み
【選定方法】 以下の①~④の順で実施した。 ① 特定のAndroidアプリケーションマーケットでアプリケーションのタイトル文字列を取得 ② 取得したタイトル文字列の使用頻度が高い単語リストを作成(約2,400件) ③ 各単語をランダムに用いてGoogle Playで検索し,アプリケーションリストを取得 ④ 得られたアプリリストからランダムに、 1,000件に達するまでアプリケーションをダウンロード 【取得期間】 リスト取得:2015年1月22日 アプリ取得:2015年2月1日~ 2015年2月28日
データセット
【調査手法】 静的解析を行い、以下の項目について調査した。 (A)アプリケーションにJavaScript連携機能が含まれているか。 (B)JavaScriptが呼び出すクラスにアノテーションが付与されているか。 (C)JavaScript連携機能が含まれるアプリのパーミッション 【調査日時】 2015年2月28日~ 2015年3月3日
調査手法
*1:Androidアプリセキュリティ~WebViewの注意点(1)~ 参照:https://appkitbox.com/knowledge/android/20130819-84*2:Google Play 参照:https://play.google.com/store
Android
Androidアプリ
WebViewJava ObjectJava Object
①④ ③
②
AtivityAtivity
WEBサーバ
JavaScriptJavaScript
サイバーセキュリティ
アニュアルレポート
52014年度のサイバーセキュリティ関連トピック
88 89
1. 個人情報、プライバシー問題
・本人同意を得ない第三者提供への関与(オプトアウト規定の見直し)●『名簿屋対策3点セット』 その3 法文
・個人情報データベースの流通市場が健全化する。・個人情報データベースの提供の記録、受領の記録に関わる管理コストの負担が発生・個人情報データベースの受領者は、提供者が当該個人情報データベースを取得した経緯を確認(気軽に受領できなくなる)・個人が直接、刑事罰の対象に(不正の抑止力が働く)・オプトアウト時の個人情報保護委員会への届出コストの発生
●名簿屋対策3点セットの影響
(第三者提供の制限)第二十三条2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げ る事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る 状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供す ることができる。 一 第三者への提供を利用目的とすること。 二 第三者に提供される個人データの項目 三 第三者への提供の方法 四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。 五 本人の求めを受け付ける方法3 個人情報取扱事業者は、前項第二号、第三号又は第五号に掲げる事を変更する場合は、変更する内容について、個人情報 保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人 情報保護委員会に届け出なければならない。4 個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該 届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
2. AndroidアプリケーションにおけるJavaScript連携の 脆弱性調査
これまで、Androidにおける大きな脅威となる脆弱性の一つとして、WebViewの脆弱性が指摘されている*1。 WebViewの脆弱性箇所は、主に以下の3種類が存在する。 ① WebViewキャッシュ ② file://スキーマ ③ JavaScript連携 特に③の問題はアプリケーションに設定されたパーミッションをすべて利用可能であるため、大きな脅威となり得る。そこで、Google Play*2からアプリを取得し、③の脆弱性がどの程度存在するかを調査した。
背景
① アプリケーションのActivityが、WebViewに Java Objectを登録する。② アプリケーションがJavaScriptを読み込むと、 Java Objectにアクセスする。③ Java ObjectがActivityにアクセスする。④ Activityを使ってJavaScriptに記載された処理 を行う。
AndroidアプリとWebサーバ間のデータや処理を円滑に行うための機能であるが、端末情報の取得や、ほかアプリへの送信、その他任意のプログラムやライブラリを実行される恐れがある。このため、Android4.2以降では、JavaScriptが呼び出せるメソッドを指定して予期しないオブジェクトを読み込ませないようにする「アノテーション機能」が追加されており、使用が推奨されている。
JavaScript連携の仕組み
【選定方法】 以下の①~④の順で実施した。 ① 特定のAndroidアプリケーションマーケットでアプリケーションのタイトル文字列を取得 ② 取得したタイトル文字列の使用頻度が高い単語リストを作成(約2,400件) ③ 各単語をランダムに用いてGoogle Playで検索し,アプリケーションリストを取得 ④ 得られたアプリリストからランダムに、 1,000件に達するまでアプリケーションをダウンロード 【取得期間】 リスト取得:2015年1月22日 アプリ取得:2015年2月1日~ 2015年2月28日
データセット
【調査手法】 静的解析を行い、以下の項目について調査した。 (A)アプリケーションにJavaScript連携機能が含まれているか。 (B)JavaScriptが呼び出すクラスにアノテーションが付与されているか。 (C)JavaScript連携機能が含まれるアプリのパーミッション 【調査日時】 2015年2月28日~ 2015年3月3日
調査手法
*1:Androidアプリセキュリティ~WebViewの注意点(1)~ 参照:https://appkitbox.com/knowledge/android/20130819-84*2:Google Play 参照:https://play.google.com/store
Android
Androidアプリ
WebViewJava ObjectJava Object
①④ ③
②
AtivityAtivity
WEBサーバ
JavaScriptJavaScript
サイバーセキュリティ
アニュアルレポート
52014年度のサイバーセキュリティ関連トピック
90 91
【調査AとBの結果】・1,000件中、JavaScript連携機能が含まれたアプリケーションは292件(29.2%)であった。・JavaScript連携機能が含まれたアプリケーション292件のうち、アノテーションが付与されいなかったアプリケーションは193件(66.10%)であった。
・前述の通り、アノテーションが付与されていない場合は、設定されたパーミッションを最大限に利用できてしまう。しかし、悪意がないにもかかわらずアノテーションを付与できない理由としては、以下が想定される。
・Android 4.2以前の端末も動作対象としており、アノテーション機能が利用できない。 ・アプリケーションの修正が追い付いていない。 ・JavaScript連携による脆弱性を認識していない。
【調査Cの結果】・WebViewを使ってWebサーバから情報を取得するという機能であるため、インターネット接続パーミッションが設定されていたのは290件(99.32%)であり、非常に多い。
・利用者情報(高い精度で利用者を一意に特定できる情報およびそれに紐づいた個人的な履歴、趣味嗜好などの情報)を取得可能とするパーミッションが設定されていたのは233件(79.79%)であり、多い。
・WebViewの接続先が不正サイトであった場合、利用者情報が漏えいしてしまう可能性がある。また、最初の接続先が正規サイトであった場合でも、リダイレクトにより同様の被害が起こる可能性がある。
・WebViewを用いたアプリケーションは非常に便利である一方、脆弱性も生み出しやすい。特に、パーミッションが多く設定されているアプリケーションについては、アノテーション機能が必須であると言える。 また、開発元であるGoogleは、旧バージョン(Android 4.3以下)におけるWebViewの脆弱性は、以後修正しない旨を2015年1月24日に発表している*3。
・以上から、 WebViewを用いたアプリケーションを利用する際は、可能な限りAndroid4.4以降の端末を使うことが推奨される。
調査結果と考察
まとめ
■JavaScript連携機能とアノテーションの有無
*3:Adrian Ludwig’ Google+ 参照:https://plus.google.com/+AdrianLudwig/posts/1md7ruEwBLF
JavaScript連携機能なし:708
JavaScript連携機能あり:292
アノテーションあり:99
アノテーションなし:193
3. クラウドセキュリティに関わる標準化
・クラウド関連の情報セキュリティマネジメント規格の発行、策定作業が進む。 ISO/IEC 27018:2014(データ保護)は発行済み、 ISO/IEC DIS 27017(クラウドセキュリティ)、ISO/IEC WD 27036-4(供給者関係)は策定中
・クラウドセキュリティ監査に関する技術ガイドを日本からISOに新たに提案 ISO/IEC 27008 Annex C として策定中・経産省が「クラウドセキュリティ監査制度の見直し」に着手 ISO/IEC 27001、27002の2013年改訂を踏まえ、「情報セキュリティ管理基準」および「クラウド情報セキュリティ管理基準」の改訂を検討
2014年 7 月
2014年 7月
2014年10月
2014年10月
経産省 平成26年度サイバーセキュリティ経済基盤構築事業 (クラウドセキュリティ監査制度の見直し)の公告
ISO/IEC 27018:2014 パブリッククラウドにおける個人識別情報(PII)の保護のための実施基準が発行
ISO/IEC 27017(クラウドセキュリティ)のDIS(Draft International Standard:国際規格原案)への移行が決定Cloud security Assessment and Audit Based on ISO/IEC 27017が提案され、WD(Working Draft: 作業原案)への移行が決定、ISO/IEC 27008 Annex Cへ
クラウドセキュリティに関わる標準化動向
ISOを軸に進むクラウドセキュリティの標準化
【総務省】 【ISO】 【経済産業省】
クラウドサービス利用のための情報セキュリティマネジメントガイドライン
情報セキュリティ管理基準(2008年改訂)
情報セキュリティ管理基準(2015年改正版)
クラウドサービス利用のための情報セキュリティマネジメントガイドライン
(改訂版)
JASA クラウド情報セキュリティ管理基準(2012)
JASA クラウド情報セキュリティ管理基準(2014)
JASA クラウド情報セキュリティ管理基準(2015年改訂版)
クラウドサービス提供における情報セキュリティ対策ガイドライン
2003年策定、2008年改訂
2011年4月
2014年3月
2012年9月
2014年5月
2015年10月以降?
2015年夏以降?
2015年10月予定
2013年10月
2014年4月
ISO/IEC 27001:2005ISMS Requirements
ISO/IEC 27017:2015Cloud Services
ISO/IEC 27002:2005Code of Practice
ISO/IEC 27001:2013ISMS RequirementsISO/IEC 27002:2013Code of Practice
ISOに提案
2. AndroidアプリケーションにおけるJavaScript連携の脆弱性調査
サイバーセキュリティ
アニュアルレポート
52014年度のサイバーセキュリティ関連トピック
90 91
【調査AとBの結果】・1,000件中、JavaScript連携機能が含まれたアプリケーションは292件(29.2%)であった。・JavaScript連携機能が含まれたアプリケーション292件のうち、アノテーションが付与されいなかったアプリケーションは193件(66.10%)であった。
・前述の通り、アノテーションが付与されていない場合は、設定されたパーミッションを最大限に利用できてしまう。しかし、悪意がないにもかかわらずアノテーションを付与できない理由としては、以下が想定される。
・Android 4.2以前の端末も動作対象としており、アノテーション機能が利用できない。 ・アプリケーションの修正が追い付いていない。 ・JavaScript連携による脆弱性を認識していない。
【調査Cの結果】・WebViewを使ってWebサーバから情報を取得するという機能であるため、インターネット接続パーミッションが設定されていたのは290件(99.32%)であり、非常に多い。
・利用者情報(高い精度で利用者を一意に特定できる情報およびそれに紐づいた個人的な履歴、趣味嗜好などの情報)を取得可能とするパーミッションが設定されていたのは233件(79.79%)であり、多い。
・WebViewの接続先が不正サイトであった場合、利用者情報が漏えいしてしまう可能性がある。また、最初の接続先が正規サイトであった場合でも、リダイレクトにより同様の被害が起こる可能性がある。
・WebViewを用いたアプリケーションは非常に便利である一方、脆弱性も生み出しやすい。特に、パーミッションが多く設定されているアプリケーションについては、アノテーション機能が必須であると言える。 また、開発元であるGoogleは、旧バージョン(Android 4.3以下)におけるWebViewの脆弱性は、以後修正しない旨を2015年1月24日に発表している*3。
・以上から、 WebViewを用いたアプリケーションを利用する際は、可能な限りAndroid4.4以降の端末を使うことが推奨される。
調査結果と考察
まとめ
■JavaScript連携機能とアノテーションの有無
*3:Adrian Ludwig’ Google+ 参照:https://plus.google.com/+AdrianLudwig/posts/1md7ruEwBLF
JavaScript連携機能なし:708
JavaScript連携機能あり:292
アノテーションあり:99
アノテーションなし:193
3. クラウドセキュリティに関わる標準化
・クラウド関連の情報セキュリティマネジメント規格の発行、策定作業が進む。 ISO/IEC 27018:2014(データ保護)は発行済み、 ISO/IEC DIS 27017(クラウドセキュリティ)、ISO/IEC WD 27036-4(供給者関係)は策定中
・クラウドセキュリティ監査に関する技術ガイドを日本からISOに新たに提案 ISO/IEC 27008 Annex C として策定中・経産省が「クラウドセキュリティ監査制度の見直し」に着手 ISO/IEC 27001、27002の2013年改訂を踏まえ、「情報セキュリティ管理基準」および「クラウド情報セキュリティ管理基準」の改訂を検討
2014年 7 月
2014年 7月
2014年10月
2014年10月
経産省 平成26年度サイバーセキュリティ経済基盤構築事業 (クラウドセキュリティ監査制度の見直し)の公告
ISO/IEC 27018:2014 パブリッククラウドにおける個人識別情報(PII)の保護のための実施基準が発行
ISO/IEC 27017(クラウドセキュリティ)のDIS(Draft International Standard:国際規格原案)への移行が決定Cloud security Assessment and Audit Based on ISO/IEC 27017が提案され、WD(Working Draft: 作業原案)への移行が決定、ISO/IEC 27008 Annex Cへ
クラウドセキュリティに関わる標準化動向
ISOを軸に進むクラウドセキュリティの標準化
【総務省】 【ISO】 【経済産業省】
クラウドサービス利用のための情報セキュリティマネジメントガイドライン
情報セキュリティ管理基準(2008年改訂)
情報セキュリティ管理基準(2015年改正版)
クラウドサービス利用のための情報セキュリティマネジメントガイドライン
(改訂版)
JASA クラウド情報セキュリティ管理基準(2012)
JASA クラウド情報セキュリティ管理基準(2014)
JASA クラウド情報セキュリティ管理基準(2015年改訂版)
クラウドサービス提供における情報セキュリティ対策ガイドライン
2003年策定、2008年改訂
2011年4月
2014年3月
2012年9月
2014年5月
2015年10月以降?
2015年夏以降?
2015年10月予定
2013年10月
2014年4月
ISO/IEC 27001:2005ISMS Requirements
ISO/IEC 27017:2015Cloud Services
ISO/IEC 27002:2005Code of Practice
ISO/IEC 27001:2013ISMS RequirementsISO/IEC 27002:2013Code of Practice
ISOに提案
2. AndroidアプリケーションにおけるJavaScript連携の脆弱性調査
サイバーセキュリティ
年次報告書
93
6 外部動向
第6章では、外部の動向として、国内および海外のサイバーセキュリティ政策関連動向について報告する。
2014年度は、世界各国でサイバー攻撃の脅威に対する認識が進み、サイバーセキュリティに関する国家戦略の策定が
行われた。日本においても、内閣官房情報セキュリティセンタ(NISC)による「サイバーセキュリティ戦略」の決定、
国家安全保障局、通称「日本版NSC」の誕生、防衛省・自衛隊によるサイバー防衛隊新編などがあった。
92
サイバーセキュリティ基本法の成立
●サイバーセキュリティ基本法
関係官庁の取り組み(総務省)
●内閣官房サイバーセキュリティセンター設置などの組織改編
サイバーセキュリティ
年次報告書
93
6 外部動向
第6章では、外部の動向として、国内および海外のサイバーセキュリティ政策関連動向について報告する。
2014年度は、世界各国でサイバー攻撃の脅威に対する認識が進み、サイバーセキュリティに関する国家戦略の策定が
行われた。日本においても、内閣官房情報セキュリティセンタ(NISC)による「サイバーセキュリティ戦略」の決定、
国家安全保障局、通称「日本版NSC」の誕生、防衛省・自衛隊によるサイバー防衛隊新編などがあった。
92
サイバーセキュリティ基本法の成立
2014年、サイバーセキュリティ法制に関する最大のトピックは、サイバーセキュリティ基本法の成立である。それに伴い、内閣官房サイバーセキュリティセンタが設置され、わが国のサイバーセキュリティ推進体制が強化された。
サイバーセキュリティ基本法は、サイバーセキュリティの確保が国家戦略として喫緊の課題になった状況をふまえ、2014年秋の臨時国会、参議院で10月29日に可決された後、11月6日の衆議院本会議においても賛成多数で可決され、成立した。
サイバーセキュリティ基本法は、以下のような構成である 第1章 総則 第2章 サイバーセキュリティ戦略 第3章 基本的施策 第4章 サイバーセキュリティ戦略本部
●サイバーセキュリティ基本法
関係官庁の取り組み(総務省)
通信の秘密などに配慮した適切な最新のサイバー攻撃対応検討のための研究会を開催官公庁・大企業などのLAN管理者のサイバー攻撃への対応能力向上を狙い実践的なサイバー防御演習実施
・ 2014年4月4日 総務省が2013年11月から開催していた「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」での結果報告書が公表され、それに伴う意見募集の結果が公表された。 サイバー攻撃が巧妙化、複雑化する中で、電気通信事業者が通信の秘密などに配慮した適切な対応を行うことが可能となることを目的としており、優先的に対応すべき課題とその対策を洗い出し、これらについて集中的に、技術的・制度的な観点から議論を行った。具体的には、以下の課題の検討を行っている。
・ マルウェア感染駆除の拡大 ・ 新たなDDoS攻撃であるDNSAmp攻撃の防止 ・ SMTP認証の情報(IDおよびパスワード)を悪用したSPAMメールへの対処
参照 : http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000074.html
この研究会報告書をふまえ、インターネットの安定的な運用に関する協議会では、「電気通信事業者における大量通信などへの対処と通信の秘密に関するガイドライン」の改定第3版を発行した。*電気通信事業者における大量通信などへの対処と通信の秘密に関するガイドラインの改定について 参照 : http://www.jaipa.or.jp/topics/?p=695
また、サイバーセキュリティ基本法に基づき、2015年1月、内閣に「サイバーセキュリティ戦略本部」が設置され、同時に、内閣官房に「内閣サイバーセキュリティセンター(NISC)」が設置された。
従来のわが国情報セキュリティ政策は、官民の統一的セキュリティ対策を推進する情報セキュリティ政策会議と、基本戦略の立案をなどを担当する内閣官房情報セキュリティセンター(NISC)が中心であった。しかし、法的な根拠、権限が不明確というような指摘もあり、今回のサイバーセキュリティ基本法成立により、サイバーセキュリティ戦略案策定や政府機関の基準作成を行うサイバーセキュリティ本部と、GSOCに関する事務、原因究明調査に関する事務、監査などに関する事務のほか、サイバーセキュリティに関する企画・立案、総合調整を行う内閣官房サイバーセキュリティセンターの緊密な連携により、わが国のサイバーセキュリティ戦略は推進されることとなったのである。
●内閣官房サイバーセキュリティセンター設置などの組織改編
1. 政府動向
サイバーセキュリティ
アニュアルレポート
6外部動向
94 95
関係官庁の取り組み(経済産業省)
2011年から進めているサイバー情報共有イニシアティブ(J-CSIP)に加えて、サイバーレスキュー隊(J-CRAT)を情報処理推進機構(IPA)に設置
・サイバーレスキュー隊(J-CRAT)の設置 情報処理推進機構(IPA)では、2014年5月20日に準備チームを立ち上げていたが、7月16日にサイバーレスキュー隊(J-CRAT)を発足させた。J-CRATは、(1)攻撃に気付いた組織に対する被害拡大と再発の抑止・低減、(2)標的型攻撃による諜報活動などの連鎖の遮断、を活動の中心としており、独立行政法人など、を対象に、初年度は30組織程度への支援を見込んでいる。
支援対象として想定しているのは、攻撃を検知できずに「潜伏被害」を受けている組織や検知した「セキュリティインシデント」の状況や深刻度が認識できずにいる組織であり、まず、対象となる組織に「サイバー攻撃に気づいてもらう」ことが中心である。さらに、 ①攻撃の把握、②被害の把握、③対策の早期着手、などの支援により攻撃の連鎖を断ち切り、被害の拡大と再発の防止、低減を図る。
*IPAプレスリリース 参照 : https://www.ipa.go.jp/about/press/20140520.html 参照 : https://www.ipa.go.jp/about/press/20140716_1.html ・2014年5月30日、IPAはJPCERT/CCと共同で情報セキュリティ早期警戒パートナーシップガイドラインを改訂し、2014年版をIPAおよびJPCERT/CCのWebサイトで公開
*IPAプレスリリース 参照 : https://www.ipa.go.jp/security/ciadr/partnership_guide.html
その他各官庁の取り組み
重要インフラ防護、IT企業と法執行機関の連携の観点から、新しい官民連携の仕組みの始まり
<金融分野>2014年8月1日、金融機関間のサイバーセキュリティに関する情報を共有するための組織「一般社団法人 金融ISAC」が設立された。これは高度化するサイバー攻撃に対抗するため、フィッシング被害、不正送金被害、APT攻撃、DDoS攻撃、脆弱性・ゼロデイの脅威などのサイバーセキュリティに関する情報を、会員である金融機関で共有し連携して対策に当たる枠組みとして設立された法人であり、翌年2月20日には米国FS-ISACとアフィリエイト合意を締結しサイバー攻撃対抗の情報共有に関する協力、および、今後の更なる協力推進に合意した。
(金融ISAC Webサイトより)・ 一般社団法人 金融ISACの設立について ~高度化するサイバー攻撃対策のため金融機関間の情報共有を促進~ 参照 : http://www.f-isac.jp/press_release/20140807.html・ 米国FS-ISACとのアフィリエイト合意締結について ~サイバー攻撃対処の情報共有を含む国際的な協力関係に合意~ 参照 : http://www.f-isac.jp/press_release/20150220.html <警察庁>2014年11月13日、日本版NCFTAとして、サイバー空間の脅威に対処するための非営利団体「一般財団法人サイバー犯罪対策センター(JC3=Japan Cybercrime Control Center)」が業務を開始した。これは2013年のサイバーセキュリティ戦略などに明記された「日本版NCFTA」として、産学官が同じ場を共有し、それぞれが持つサイバー空間の脅威への対処経験などを全体で蓄積、共有するとともに、脅威への先制的、包括的な対応を可能にする産学官連携の枠組みを指向している。参照 : https://www.jc3.or.jp/
●2014年10月21日~ 実践的サイバー防衛演習(CYDER)の実施 CYDERは2013年から実施されているが、この日から2014年度の第1回CYDERが実施された。 *総務省|「実践的サイバー防御演習(CYDER)」の実施 参照 : http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000085.html *ニュース 2014年10月21日:総務省主催の「実践的サイバー防御演習(CYDER)」を 実施 ¦ NTT Com 企業情報 参照 : http://www.ntt.com/release/monthNEWS/detail/20141021.html
アメリカ、ヨーロッパ
2013年の動きを受けて、アメリカ、ヨーロッパではサイバー脅威への情報共有の取り組みがさらに一歩進んだ。自主規制のアメリカ、法規制のヨーロッパ、それぞれのアプローチでサイバーセキュリティの情報共有が進展する。
アメリカは、 2014年2月14日、商務省の配下である国立標準技術研究所(NIST)がCybersecurity Framework(以下、「CF」)を公表したのを受けて、 CF普及、促進のための取り組みが進められている。例えば、国土安全保障省(Department of Homeland Security:DHS)では、官民のパートナーシップを強化しCFの認知を高めることを目的としたCritical Infrastructure Cyber Community Voluntary Program(C3Voluntary Program)を立ち上げている。また、CF導入のためのインセンティブも検討されている。そして2015年2月13日、オバマ大統領はサイバーセキュリティと消費者保護に関するサミットを開催、政府と企業の間でサイバー攻撃に関する情報共有を促す大統領令に関する大統領令に署名した。これにより、連邦政府機関における情報共有の推進が期待されるが、大統領令とほかの法規制の関係が不明確であると言う指摘もあり、官民相互間での情報共有の推進までの効果があるかどうかは、専門家の間でも見解の分かれるところである。
(ホワイトハウスWebサイトより)The White House, Summit on Cybersecurity and Consumer Protection参照:https://www.whitehouse.gov/issues/foreign-policy/cybersecurity/summit
1. アメリカ
ヨーロッパでは、 2013年2月欧州委員会が公表した新たなサイバーセキュリティ戦略(Cybersecurity Strategy of the European Union)を受けて、サイバーセキュリティに関する規制の議論が進行している。即ち、このサイバーセキュリティ戦略を受けて、欧州議会、欧州連合理事会が「NIS(ネットワークと情報セキュリティ)に関する欧州指令」を公表、加盟各国に対して法規制を指示していた。この欧州指令を受け、2015年夏にも、ナショナルCSIRTの強化などの内容を含む、「新たな欧州規制」が実施されると言われている。
(参考)DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCILconcerning measures to ensure a high common level of network and information security across the Union参照:http://eeas.europa.eu/policies/eu-cyber-security/cybsec_directive_en.pdf
2. ヨーロッパ
2. 外国動向1. 政府動向
サイバーセキュリティ
アニュアルレポート
6外部動向
94 95
関係官庁の取り組み(経済産業省)
2011年から進めているサイバー情報共有イニシアティブ(J-CSIP)に加えて、サイバーレスキュー隊(J-CRAT)を情報処理推進機構(IPA)に設置
・サイバーレスキュー隊(J-CRAT)の設置 情報処理推進機構(IPA)では、2014年5月20日に準備チームを立ち上げていたが、7月16日にサイバーレスキュー隊(J-CRAT)を発足させた。J-CRATは、(1)攻撃に気付いた組織に対する被害拡大と再発の抑止・低減、(2)標的型攻撃による諜報活動などの連鎖の遮断、を活動の中心としており、独立行政法人など、を対象に、初年度は30組織程度への支援を見込んでいる。
支援対象として想定しているのは、攻撃を検知できずに「潜伏被害」を受けている組織や検知した「セキュリティインシデント」の状況や深刻度が認識できずにいる組織であり、まず、対象となる組織に「サイバー攻撃に気づいてもらう」ことが中心である。さらに、 ①攻撃の把握、②被害の把握、③対策の早期着手、などの支援により攻撃の連鎖を断ち切り、被害の拡大と再発の防止、低減を図る。
*IPAプレスリリース 参照 : https://www.ipa.go.jp/about/press/20140520.html 参照 : https://www.ipa.go.jp/about/press/20140716_1.html ・2014年5月30日、IPAはJPCERT/CCと共同で情報セキュリティ早期警戒パートナーシップガイドラインを改訂し、2014年版をIPAおよびJPCERT/CCのWebサイトで公開
*IPAプレスリリース 参照 : https://www.ipa.go.jp/security/ciadr/partnership_guide.html
その他各官庁の取り組み
重要インフラ防護、IT企業と法執行機関の連携の観点から、新しい官民連携の仕組みの始まり
<金融分野>2014年8月1日、金融機関間のサイバーセキュリティに関する情報を共有するための組織「一般社団法人 金融ISAC」が設立された。これは高度化するサイバー攻撃に対抗するため、フィッシング被害、不正送金被害、APT攻撃、DDoS攻撃、脆弱性・ゼロデイの脅威などのサイバーセキュリティに関する情報を、会員である金融機関で共有し連携して対策に当たる枠組みとして設立された法人であり、翌年2月20日には米国FS-ISACとアフィリエイト合意を締結しサイバー攻撃対抗の情報共有に関する協力、および、今後の更なる協力推進に合意した。
(金融ISAC Webサイトより)・ 一般社団法人 金融ISACの設立について ~高度化するサイバー攻撃対策のため金融機関間の情報共有を促進~ 参照 : http://www.f-isac.jp/press_release/20140807.html・ 米国FS-ISACとのアフィリエイト合意締結について ~サイバー攻撃対処の情報共有を含む国際的な協力関係に合意~ 参照 : http://www.f-isac.jp/press_release/20150220.html <警察庁>2014年11月13日、日本版NCFTAとして、サイバー空間の脅威に対処するための非営利団体「一般財団法人サイバー犯罪対策センター(JC3=Japan Cybercrime Control Center)」が業務を開始した。これは2013年のサイバーセキュリティ戦略などに明記された「日本版NCFTA」として、産学官が同じ場を共有し、それぞれが持つサイバー空間の脅威への対処経験などを全体で蓄積、共有するとともに、脅威への先制的、包括的な対応を可能にする産学官連携の枠組みを指向している。参照 : https://www.jc3.or.jp/
●2014年10月21日~ 実践的サイバー防衛演習(CYDER)の実施 CYDERは2013年から実施されているが、この日から2014年度の第1回CYDERが実施された。 *総務省|「実践的サイバー防御演習(CYDER)」の実施 参照 : http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000085.html *ニュース 2014年10月21日:総務省主催の「実践的サイバー防御演習(CYDER)」を 実施 ¦ NTT Com 企業情報 参照 : http://www.ntt.com/release/monthNEWS/detail/20141021.html
アメリカ、ヨーロッパ
2013年の動きを受けて、アメリカ、ヨーロッパではサイバー脅威への情報共有の取り組みがさらに一歩進んだ。自主規制のアメリカ、法規制のヨーロッパ、それぞれのアプローチでサイバーセキュリティの情報共有が進展する。
アメリカは、 2014年2月14日、商務省の配下である国立標準技術研究所(NIST)がCybersecurity Framework(以下、「CF」)を公表したのを受けて、 CF普及、促進のための取り組みが進められている。例えば、国土安全保障省(Department of Homeland Security:DHS)では、官民のパートナーシップを強化しCFの認知を高めることを目的としたCritical Infrastructure Cyber Community Voluntary Program(C3Voluntary Program)を立ち上げている。また、CF導入のためのインセンティブも検討されている。そして2015年2月13日、オバマ大統領はサイバーセキュリティと消費者保護に関するサミットを開催、政府と企業の間でサイバー攻撃に関する情報共有を促す大統領令に関する大統領令に署名した。これにより、連邦政府機関における情報共有の推進が期待されるが、大統領令とほかの法規制の関係が不明確であると言う指摘もあり、官民相互間での情報共有の推進までの効果があるかどうかは、専門家の間でも見解の分かれるところである。
(ホワイトハウスWebサイトより)The White House, Summit on Cybersecurity and Consumer Protection参照:https://www.whitehouse.gov/issues/foreign-policy/cybersecurity/summit
1. アメリカ
ヨーロッパでは、 2013年2月欧州委員会が公表した新たなサイバーセキュリティ戦略(Cybersecurity Strategy of the European Union)を受けて、サイバーセキュリティに関する規制の議論が進行している。即ち、このサイバーセキュリティ戦略を受けて、欧州議会、欧州連合理事会が「NIS(ネットワークと情報セキュリティ)に関する欧州指令」を公表、加盟各国に対して法規制を指示していた。この欧州指令を受け、2015年夏にも、ナショナルCSIRTの強化などの内容を含む、「新たな欧州規制」が実施されると言われている。
(参考)DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCILconcerning measures to ensure a high common level of network and information security across the Union参照:http://eeas.europa.eu/policies/eu-cyber-security/cybsec_directive_en.pdf
2. ヨーロッパ
2. 外国動向1. 政府動向
96
・ Adobe Flash Player、Adobe Acrobat 、Adobe Readerは、Adobe Systems Incorporated(アドビ システムズ社)およびその子会社、関連会社の米国およびその他の国における登録商標または商標です。
・ MySQL、Java、JRE、JDK、Solarisは、Oracle Corporationおよびその子会社、関連会社の米国およびその他の国における登録商標または商標です。
・ Internet Explorer、Windows、Windows XPは、Microsoft Corporationおよびその子会社、関連会社の米国およびその他の国における登録商標または商標です。
・ Twitterは、米国およびその他の国におけるTwitter, Inc.の登録商標または商標です。・ Apple、Apple Store、WebKitは、米国およびその他の国のApple Inc.の登録商標または商標です。・ Android、 Google Chrome 、Google Play、Gmail、YouTubeは、Google Inc.の登録商標または商標です。・ Linuxは、Linus Torvaldsの米国およびその他の国における登録商標または商標です。・ FreeBSDは、FreeBSD Foundationの登録商標または商標です。・ VMwareは、VMware, Inc.の米国およびその他の国における登録商標または商標です。・ Mozilla、Firefox、Thunderbird、SeaMonkeyとそれぞれのロゴは、米国Mozilla Foundationの米国およびその他の国における登録商標または商標です。
・ Apache、Apache Tomcat、Apache Strutsは、Apache Software Foundationの登録商標または商標です。・ IBM、AIXは、International Business Machines Corporationの米国およびその他の国における登録商標または商標です。・ CISCO IOSは、Cisco Systems, Inc.の登録商標または商標です。・ CERTは、米国CERT/CCの登録商標です。・ Facebookは、Facebook, Inc.の登録商標または商標です。・ HUAWEIは、Huawei Technologies株式会社の登録商標または商標です。・ ZTEは、ZTE Corporationの中国およびその他の国における登録商標または商標です。・ Ruby on Railsは、David Heinemeier Hansson氏の登録商標です。・ その他、記載されている社名、製品名などの固有名詞は、各社の登録商標または商標です。
商標について
NTT Secure Platform Laboratories NTTセキュアプラットフォーム研究所
NTT Secure Platform LaboratoriesNTTセキュアプラットフォーム研究所
NTT-CERT NTT Computer Security Incident Response and Readiness Coordination Team
サイバーセキュリティ アニュアルレポート 2015
C y b e r S e c u r i t y