[第15号]

Weekly CyberSecurity Column201603

弊社上級ネットワークエンジニアによる、セキュリティーに関するコラムをお届けします。
会社の公式文書という形ではない、作者個人の現場感あふれるコラムをお楽しみいただきつつ、日頃の営業活動へのヒントやお客様へのコミュニケーションなどにご利用頂ければ、幸いです。

著者 okun
ネットワーク ・ セキュリティー「一筋」?十年。社内外のネットワークインフラ構築を担当する。社内の新人向けから技術者向けまでネットワークやインターネットの講座を幅広く開催している。

[第15号]

インターネットに関連するさまざまなセキュリティーニュースとコラムを、定期的(ほぼ週刊)にお届けします。
先週号で、2015年に多数発生した(発覚した)サイバーセキュリティー事件から、10大事件をお送りしますと予告しましたが、整理して見ると、6番目以降には、よく似た事件が並んでしまったので、5大事件を取り上げます。

1)2015年 5大サイバーセキュリティー事件
最初に、この5大事件の選択は、あくまで個人で設定した指標で評価したものです。おかしいなとか、抜けていると感じられる方もいらっしゃると思いますが、ご理解ください。

まず、選んだ指標の優先順位は、以下の通りです。

① インターネット社会に与えるインパクト(現在および将来)

② 流出事件の場合、流出人数

③ 防御の困難さ

④ 日本でのインパクト

 

1位  ハッキングチーム社の情報流出事件(7月)
スパイウエアを各国の諜報機関や組織に販売しているイタリアのハッキングチーム社がハッキングの被害に遭って、顧客情報やスパイウエアのソースプログラムなど400GBに及ぶ情報が公開された事件です。この事件で重要なのは、データ量の膨大さではなくてその中身です。
この公開された情報が世界中の技術者により分析され、その中には、LinuxおよびMicrosoft、Apple、Adobeの各社のソフトウエアに存在した未知の脆弱性を利用しているスパイウエア(通常ゼロデイ攻撃と呼ばれる)が見つけられました。もちろんそれらの脆弱性は、すぐに修正が提供されています。
さらに、400GBに及ぶ公開情報にはメールの情報も含まれており、実際のスパイウエアの取引先ばかりでなく、未知の脆弱性の取引に関する情報もありました。

この事件は、日本ではそれほど大きく取り上げられませんが、スパイウエアを求める顧客の存在と、未知の脆弱性の買い手が現実に存在することを明るみに出したことにより、2015年ばかりでなく、インターネットの歴史上に残る重大事と考えていいと思います。

そして、この会社は今もそのままビジネスを継続しています。通信データの暗号解読のマスターキーを政府に提供するとかしないとかの報道があるのも、当然ですよね。
今年になって、セキュリティー企業カスペルスキーの研究所ヘッドのコスティン・ライウ氏が、この事件に触れています。

 

参照URL:
http://www.wired.com/2016/01/hacking-team-leak-helps-kaspersky-researchers-find-zero-day-exploit/

 

2位 米国の人事管理局(OPM)の2150万人分の個人情報流出事件(6月)
この流出事件は、6月の発覚時の420万人から1400万人に増え、7月になって最終的には2150万人になりました。
このように流出した人数の確定に時間を要するということは、データに対するアクセス履歴情報が適切に管理されていないという事です。
流出要因は、放置していた古いシステムに存在した既存の脆弱性を衝かれたことによるものです。

 

3位 日本年金機構の125万件の個人情報流出事件(6月)
この事件は、新聞や情報誌、いろいろなニュースサイトで大きく取り上げられましたので内容には触れませんが、この結果として、日本政府・省庁のセキュリティー対策は、大きな改変がなされたようです。

 

4位 仮想OS(Xen、KVMなど多数)に脆弱性発覚(5月)
データセンター等で多数使われている仮想OSにおいて、攻撃者がゲストOS(顧客のWEBサーバ等が稼働する環境)にアクセスし、任意のプログラムの実行ができてしまうという脆弱性が発覚して、データセンターを運用する多くの企業が対策を迫られました。

これに関して、留意しておかなければいけない事は、仮想OSばかりでなく、仮想XX(サーバーやネットワーク等)の進展です。これらは、切り口により呼び方は変わりますが、要するに今までハードウエアが行っていたことをソフトウエアでやってしまうという流れです。特に仮想ネットワーク(SDNとかVFNもその1つです)において、このような脆弱性が、それもゼロデイのレベルで存在した場合、事前対策を考えるのは頭の痛い問題になります。

 

5位 SSLの脆弱性発覚(3月)
昨年の初めに起きた事件なので少し記憶が薄れてきていますが、発覚当時は、WEBサイトの1/3に影響するという内容のため大騒ぎになったことを覚えています。内容は、WEBサイトで暗号強度の強い暗号使用に設定しているにもかかわらず、この脆弱性により、実際に通信する際の暗号強度が、解読が簡単なレベルに、変更することができてしまうというものです。
この脆弱性は、プログラムミスが要因で存在したものではなく、意図的に作られていたものであるということです。
詳しく知りたい方は、以下のサイトをご覧ください。

 

参照URL:
http://japan.zdnet.com/article/35061288/

 

2)その他
1月15日に、アメリカ運輸省が自動運転技術に関する実験などに10年間で、40億ドルを投じると発表しました。
この報道を聞いて、もちろん本当のところは、他国に先駆けて自動運転を推進し、世界をリードすることですが、私なんかは、自動運転により、だれがどこに移動したかだけでなく、事前にどこに行こうとしているのかを把握し、テロ対策などのセキュリティーに行かそうとしているんじゃないかと勘ぐってしまいます。

次号では、年が明けてから興味の湧くトピックが目白押しなので、そこに焦点を当ててみたいと思います。

以上、15号でした。