━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
電脳事変~サイバーインシデント・レポート~ vol.001
株式会社スプラウト
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2013年12月25日発行
……………………………………………………………………………………………
INDEX
……………………………………………………………………………………………
【0:序文】創刊のご挨拶
【1:深層】米コカコーラのM&Aを頓挫させたサイバー攻撃
【2:深層】厳冬のハッカー・カンファレンス「CCC」ってなに?
【3:業界鳥瞰】大丈夫? 穴だらけの「マスコミ」サイトに警鐘を鳴らす
【4:事件簿】12月18日~12月24日
……………………………………………………………………………………………
【0:序文】創刊のご挨拶
……………………………………………………………………………………………
はじめまして、「電脳事変~サイバーインシデント・レポート~」編集部です。
この度は、当メールマガジンをご高覧頂き誠にありがとうございます。
当メールマガジンは名前の通り、サイバーセキュリティに関するインシデント
(事件、出来事、ハプニングといった意味です)を独自の視点で深堀してお届け
することを目的に創刊されました。昨今、サイバーセキュリティに関する事件が
非常に増えており、それに伴ってマスメディアでもサイバー空間の話題が流れる
ことが多くなっています。サイバーセキュリティに対する関心も、個人や企業、
国家レベル問わず高まっているのは周知の通りです。
一方で、サイバーセキュリティを専門に扱うメディアはまだまだ少なく、その
ほとんどが技術者向けに書かれたものです。しかし、サイバーセキュリティに関
する問題は今や全ての人々の活動に大きく関わる大切な分野になっています。そ
こで当メールマガジンでは、IT技術者だけでなく、企業活動やファイナンス、政
治や行政に関わる方々に向けた、独自のサイバーセキュリティ情報をお届けした
いと考えています。技術的な記述は最小限にとどめつつも、サイバー空間の最前
線で今なにが起こっているのかを丁寧に解説していくつもりです。
掲載する内容は一部の翻訳記事と提供情報を除き、全て独自に取材したオリジ
ナルコンテンツです。どうぞこれを機にご購読頂ければ幸甚です。何卒よろしく
お願い申し上げます。
(電脳事変編集部)
……………………………………………………………………………………………
【1:深層】米コカコーラのM&Aを断念させたサイバー攻撃
……………………………………………………………………………………………
1973年に国防総省入省以来、一貫して情報分野を歩み、米大統領情報問題担当
補佐官を10年以上に渡り務めたリチャード・A・クラークはその著書(『世界サ
イバー戦争 ―核を超える脅威 見えない軍拡が始まった―』)の中でこう断言
している。
「サイバー戦争は現実であり、すでに始まっている」
そして、サイバー戦争は世界の軍事バランスを覆すだけでなく、世界の政治経
済の関係をも一変させる恐れがあるとも指摘。07年エストニア、08年グルジア、
09年韓国と米国、10年のイラン、12年のサウジアラビア、ここ数年だけでもサイ
バー攻撃のよってこうした国々の社会インフラ、企業ネットワークが甚大な被害
を受けた事は記憶に新しい。
今年3月20日午後2時に、韓国の報道機関と金融機関の社内イントラネットにつ
ながるコンピュータが一斉にダウンした事件は日本でも大きく報じられた。直接
の引き金は各企業の社内ネットワークに広がっていたマルウェアで、このマルウ
ェアがPCに内蔵されたハードディスクのマスターブートレコードを破壊。ハード
ディスクを特定の文字列で埋め尽くして、PCをダウンさせたのだ。結果、KBSを
始め3つの放送局、新韓銀行、農協銀行のPCがダウンし、銀行の一部ATMは使用不
可能に追い込まれた。韓国政府は即座に北朝鮮によるサイバー攻撃だと発表、
北朝鮮を激しく非難した。
こうしたサイバー攻撃の背後には間違いなく国家間の安全保障上の対立が横た
わっている。2012年、サウジアラビアの世界最大の石油会社「サウジアラムコ」
(サウジアラビア国営企業)のコンピュータシステムがダウンしたのは、イラン
によるサイバー攻撃だというのが定説となっている。ちなみに、このコンピュー
タシステムの回復作業には、富士通の技術者たちが呼ばれたのだが、これはあま
り知られていない話だ。
そして、今やサイバー攻撃の目的は不当な利益を得ようと、企業の秘匿情報の
入手、株価操縦など広範な経済分野にまで及び始めた。
2012年11月5日、金融情報会社「ブルームバーグ」は、「COKE GETS HACKED
AND DOES’NT TELL ANYONE”(コカコーラはサイバー攻撃を受けたが、口を
閉ざしたままである)」と題したニュースを配信した。
2008年、米国を代表するグローバル企業「コカコーラ社」は中国で企業買収を
水面下で進めていた。買収先は「中国匯源果汁集団」で、買収総額は24億ドル。
当時としては、中国企業関連では最大の買収劇になるはずだった。中国匯源果汁
集団は香港市場に株式を公開している企業だが、中国政府は2009年3月、前年に
施行された独占禁止法を楯に「コカコーラ」による買収を承認しなかった。
「競争力が損なわれる」。表向きの理由はこうだった。しかし、ブルームバー
グの報道によれば、この中国政府の判断の背景には、サイバー攻撃によって不法
にコカコーラから入手した情報が使われたという。ブルームバーグは恐らくFBI
(米連邦政府捜査局)からの情報として伝えているのだろうが、それによれば、
一連のサイバー攻撃はまずコカコーラ太平洋グループ副社長、PAUL ETCHELLSへ
の2009年2月16日の標的型メール攻撃から始まった。同副社長は当時、中国匯源
果汁集団買収の総責任者。メールの差出人は同社法務担当重役を詐称し、タイトル
には「エネルギー消費を削減し、経費を節約しよう」とあった。当時、コカコー
ラはエネルギー消費軽減を経営課題としており、副社長は何の疑いも持たずメー
ルを開いてしまったという。
メールに記載されたリンクは、マルウェアをダウンロードするサイトにつなが
っており、同社副社長のPCはあっと言う間に乗っ取られ、最終的にはコカコーラ
の社内ネットワークへの侵入を許す事になった。侵入したハッカーは以後、一ヶ
月に渡ってコカコーラの内部資料、経営陣の送受信メールなど根こそぎ盗んでい
った。コカコーラが被害に気づいたのはFBIからの通報があったからだ。
ブルームバーグは、このハッキングによって得た資料や情報がコカコーラの中
国匯源果汁集団の買収断念にどれだけ影響したかは不明としている。だが、中国
匯源果汁集団の大株主だった仏ダノン社は、同集団の22・9%に当たる株式をコ
カコーラが提示した半値以下の価格である1株6ドルですべて売却している。売却
先は中国政府系のファンド(香港)の「SAIFパートナーズ」。つまり、コカコー
ラによる買収を阻止し、かつ安値で同社株式を買い取った中国政府が最終的に利
益を得たのである。
企業買収の成否にサイバー攻撃が使われ、より有利に交渉を進める為にハッキ
ングがおこなわれる世界がすでに現実のものになっている。それは海の向こう側
の話ではない。日本でもFX市場で起きた売買システムへの侵入による、不正売買。
株式市場への侵入などは関係者、業界などでは報告されている。ただ、今はまだ
そうした事実が表に出ていないだけだ。サイバーセキュリティが企業の命運を握
る時代が訪れつつある。これが紛れもない現実だ。
(編集部)
……………………………………………………………………………………………
【2:深層】厳冬のハッカー・カンファレンス「CCC」ってなに?
……………………………………………………………………………………………
またこの季節がやって来た。ヨーロッパ最大、世界で最も有力なハッカー集団
のひとつである「カオス・コンピュータ・クラブ」(CCC/本部はドイツ・ベルリ
ン)が主催する「カオス・コミュニケーション・コングレス」(CCC)の季節が。
CCCの設立は1983年で、すでに30年以上の歴史を持つ。ハッカー集団とはいえ、
そのスローガン「より多くの情報、そして透明化。知る権利および人権の保全」
からも、先鋭的なサイバー集団というよりも、非常に政治的な色彩を帯びた集団
とも言える。実際、EU(ヨーロッパ連合)の総合データ保護指令に反対した際に
は、プラカードを掲げてのデモ行進を行うなど、その活動は単なるサイバー集団
の域を超えている。
CCCの名を世に知らしめる契機になったのは、銀行のコンピュータシステムへ
の侵入だ。銀行のコンピュータシステムに侵入したCCCは、オンラインアカウン
トのIDとパスワードを取得し、現金を引き出すことに成功。翌日、引き出された
現金は銀行にそのまま郵送で送り返されたという。CCC側がメディアの取材に対
し、一切コメントをしていないために事実の確認のとりようがないが、今や伝説
のように語られているCCCの一つの顔だ。
現在においては、先鋭的なハッカー集団とは言い難いCCCだが、彼らのカンフ
ァレンスに世界中から数千人規模のハッカーらが集まるのは、やはりCCCの示す
実験的な試みに惹かれるからだろう。例えば、2年前のカンファレンスでは、鉄
道の遮断機をハッキングする映像を公開して参加者を唸らせた。大学内に鉄道施
設の一部を再現し、そこで手動による遮断機操作ではなく、ハッキングによる遮
断機操作の模様を再現させたのである。
そして、今話題になっているのが、カーナビゲーション・システムへの侵入で
ある。ある日本の自動車メーカー幹部によれば、日本だけでなく世界中の自動車
メーカーがセキュリティとして取り組んできたのは盗難防止への対応であり、
「カーナビへのサイバー攻撃などを想定した対応など数年前まで考えもしなかっ
た」という。自動車メーカーもサイバー領域への対応を余儀なくされ始めている
のだ。
CCCのカンファレンスでもカーナビへの侵入は可能かどうかという議論が数年
前からされており、結論的なことをいえば、「侵入は可能である」という。カー
ナビから侵入し、運転者の意思に係らずブレーキやアクセルを操れてしまうとい
う悪夢のような事態が現実のものになるかもしれない。
日本のメーカーでも、例えば日産などはケーブルから解析がされないように、
“ダミー”のケーブルを設置しているメーカーもある。しかし、これとて盗難
に比重を置いた対応の域をでるものではない。日本の自動車メーカーや、カーナ
ビを製造する電気メーカーなどの間では、カーナビへの不正アクセスを検知する
ための「不正アクセス検知システム」を導入すべく開発に着手し始めているとい
うが、事故が起きる前に導入は間に合うだろうか。
クリスマス・シーズンに、厳冬のハンブルクで開催されるCCCカンファレンス。
果たして今年はどんな報告がなされるのか。そして、どんな潮流が生み出される
のか。参加するメンバーからの報告が待ち遠しい。
(編集部)
……………………………………………………………………………………………
【3:業界鳥瞰】大丈夫? 穴だらけの「マスコミ」サイトに警鐘を鳴らす
……………………………………………………………………………………………
このコラムでは、サイバーセキュリティを軸に各業界の状況を見て行きたいと
思います。ひとくちにサイバーセキュリティ対策と言っても、業界によって力点
を置くところは違いますし、取り組み方にも業界特有の状況が読み取れます。
また、時には攻撃する側にも攻撃対象のトレンドのようなものが生まれる場合も
あるので、そのあたりの状況も含めて鳥瞰していきたいと思います。
第1回で取り上げるのは、新聞、テレビ、出版などのマスメディア業界につい
て。最近では、サイバーセキュリティに関するニュースも増えており、マスメデ
ィアで取り上げられない日は少ないくらいです。また、各社の現場にもサイバー
セキュリティを専門に取材する記者が増えており、サイバー空間を巡る様々な情
報が集まっている場所でもあります。
しかし、その一方で、足元である自らのウェブサイトのセキュリティ対策がお
ざなりになっていることはあまり知られていない事実です。これはマスメディア
業界の通癖とも言えますが、集めてきた情報から社会に警鐘を鳴らすことは得意
でも、その内容を自らに向けることは得意としません。これは、経済や経営を専
門とする新聞や雑誌の発行元の経営状態が必ずしも上手く言っていないことに通
じる部分がありそうです。
あるセキュリティ診断会社の担当者は、「意外にもマスメディアからの診断依
頼は少ない」と明かします。これは、マスメディアがもともとコンテンツ制作か
ら発信までを一貫して自社で管理してきた歴史を持っている側面もあるかもしれ
ません。様々な業界関係者にヒアリングしたところ、とくに大規模なウェブサイ
トでない限りは、各媒体の編集部などが自社の制作部門や外部の制作会社に依頼
して出来上がったものを、システム担当部門がチェックして一般に公開するとい
った手順が一般的だということです。そのため、しっかりとしたセキュリティポ
リシーを持っている会社も少なく、サービスの利用者の多さに反して、脆弱性が
生まれやすい構造と言えます。さらに、外注先も編集部や部門ごとにバラバラな
ケースが多く、セキュリティに対する意識やシステムの出来栄えに差が生まれや
すい面もあります。
最近では、2013年8月末に朝日新聞社とベネッセコーポレーションが共同で運
営している「語彙・読解力検定」のウェブサイトが外部から不正アクセスを受け
て、内容の一部を改竄されています。
【日経新聞】検定用サイトで一部改ざん被害 朝日新聞とベネッセ
http://www.nikkei.com/article/DGXNZO59087400Q3A830C1CR8000/
この件は、SQLインジェクションやサーバーの脆弱性を突かれ侵入され、サー
バー内にマルウェアを仕込まれ、サイトを閲覧した利用者もマルウェアに感染し
たというものです。日経新聞の報道にはありませんが、セキュリティ会社の報告
によると、このサイトを経由して該当のマルウェアが広まったことが確認されて
います。
蛇足ですが、日経新聞の記事にあるような「閲覧者はウイルスに感染する恐れ
があるといい、両社はウイルス対策ソフトによるチェックを呼びかけている。
」といった文章を目にするたびに、不正アクセスを受けた企業側がセキュリテ
ィ対策を怠ったエクスキューズとして発表しているだけのような気がしてなりま
せん。ある目的を持って不正に埋め込まれたマルウェアであれば、市販のウイル
ス対策ソフトなど無意味なのはセキュリティの専門家であれば誰でも分かること
です。にもかかわらず、それさえチェックしておけば大丈夫といったニュアンス
の発表や報道は明らかにミスリードです。また、多くのユーザーを集めるメディ
アや個人情報を扱うウェブサイトを運営する企業には、自らが不正アクセスを受
けて被害拡大の一端を担わないよう、きちっとしたセキュリティ対策が求められ
ます。
話を戻しますと、朝日新聞とベネッセの件以外にも、ここ数ヶ月の間にマスメ
ディアのサイトが不正アクセスを受けた事例は、簡単に調べただけでも下記だけ
出てきます。
熊本日日新聞の公式サイトが改ざん - 閲覧でウイルス感染のおそれ
http://www.security-next.com/43673
中日新聞サイトに不正アクセス=球団も、個人情報閲覧か
http://www.jiji.com/jc/zc?k=201309/2013091900303
中日新聞、本サービスのサイト改ざん被害について
http://f1express.cnc.ne.jp/paddock/131007-2.php?pankuzu=/paddock/info/unauthorizedaccess_pankuzu
共同通信など運営サイト改ざん=不正アクセスで
http://www.jiji.com/jc/zc?k=201309/2013090500460
しかし、これだけ不正アクセスが起こっていながら、各社の対策は進んでいる
とは言えないのが現状です。実は、スプラウトではセキュリティの専門家に依頼
して、大手の新聞・出版社のウェブサイトにどれくらい脆弱性があるかを調査し
てもらったのですが、結果そのほとんどに何らかの脆弱性が見つかっています。
何社かには通知を行い対策が施されたようですが、残念ながらまだ残っているも
のもあるようです。詳述はしませんが、見つかった多くはSQLインジェクション
やクロスサイト・スクリプティングといった不正アクセスの侵入経路になるもの
で、なかには非常に危険なもの見つかっています。今回の調査は簡易的なもので
したから、本格的に調査すればもっと沢山の脆弱性が発見されると考えられます。
対策が遅れている最大の理由は、各社のリテラシーと危機意識の低さかもしれ
ません。今回、脆弱性を通知した会社の中には「(脆弱性を指摘したサイトで
は)個人情報を扱っていないから」といった応対をする担当者もいたようで、
非常に驚きました。たとえ該当サイトで個人情報を扱っていなくても、そのサー
バーを経由して自社のネットワークに侵入されたり、そのサーバーがマルウェア
をばら撒く役割を担わされたりする危険は十分にあるのは先程も書いたとおりで
す。口説いようですが、サイバーセキュリティに対する意識の低さから不正アク
セスを許すことは、悪意のある者や組織に不正に使えるツールを提供することで
もあるということを、少しでも多くの人に理解していただきたいと思います。そ
のためには、影響力のあるマスメディア自らがサイバーセキュリティに対する意
識を高めることが、なにより社会のためになるでしょう。
(編集部)
……………………………………………………………………………………………
【4:事件簿】12月17日~12月24日
……………………………………………………………………………………………
今回の収集対象期間内における、事件事故の内訳は以下の通りです。
◎12月17日
・情報流出・紛失
岡山県津山市教委は17日、津山市内の小学校に勤める女性教諭が、40人分の個人
情報が入ったUSBメモリを自宅に持ち帰り、盗難されたと発表した。USBメモリに
は20人分のテストの点数、児童43人の氏名などを保存されていた。市教委の指針
では、個人情報が保存されたUSBメモリなどを校外持ち出す際は、校長の許可が
必要だが、女性教諭は続きを行っていなかった。
◎12月18日
・脆弱性情報
12月17日、情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPC
ERT/CC)はAndroid OSに深刻な脆弱性があるとして、利用者に対して早急なアッ
プデートを呼びかけた。対象バージョンはAndroid OS 3.0?4.1.x。デフォルトの
ブラウザー機能に深刻なセキュリティホールであり、これを悪用すれば第三者が
任意のコードを実行できる(≒自由にコントロールできる)可能性がある。
・情報流出・紛失
東京都港区は、区立御成門小学校に勤める女性教諭が、担任であるクラスの児童
28名分の個人情報が保存されたUSBメモリを学校内で紛失したことを発表した。
学校内で利用しているPCにUSBメモリを接続したまま利用していた教諭が、
12月2日にUSBメモリがなくなっていたことに気がつく。他の職員とともに探すも、
USBメモリは発見できなかった。
◎12月19日
・ネット犯罪
正規代理店の振りをして、偽のブランドバッグや時計を販売している「偽サイ
ト」の被害者を増やさないため、警察庁はウイルス対策会社にこれらの偽サイト
情報を提供することを決定した。現在10社に提供を予定しており、ウイルス対策
ソフトを利用しているユーザーが、偽サイトにアクセスした場合、注意喚起の画
面が出現する。
・セキュリティ・組織
監査法人のトーマツは2014年1月に「サイバーセキュリティ先端研究所」を設立
すると発表。サイバー攻撃による企業の情報流出に対抗するため、同研究所を通
じてセキュリティコンサルティングや情報経営のノウハウを提供する。
◎12月20日
・情報流出・紛失
長野市教育委員会は20日、市立中学校の男性教諭が、873人の成績の記録を保存
していたUSBメモリ1個を紛失したと発表した。12月18日、教諭はUSBメモリを上
着のポケットに入れて移動した際に紛失。同校では、個人情報を校外に持ち出す
際は、校長の許可を得た上で、USBメモリやファイルにパスワードをかけること
を決めていたが、この教諭はどちらも行っていなかった。
・侵入・情報流出
アメリカ大手小売店「ターゲット」は、不正攻撃により約4000万人分のクレジッ
ト、デビットカードの情報が盗まれたことを発表した。ターゲットの店舗で利用
されたカードデータが漏れており、「氏名、カード番号、有効期限、3桁のCVVセ
キュリティ・コード」が流出している。
◎12月21日
・脆弱性情報
アメリカのジョンズホプキンス大学に在籍する研究者Matthew Brocker氏と
Stephen Checkoway氏が、Apple社のMacBookやiMacについている内蔵されているWeb
カメラ「iSight」を利用して、盗撮ができることを発表した。iSightを利用する際、
通常はLEDライトが点灯するため、利用者はカメラが起動していることに気が付
く。しかし、両氏のレポートによると、カメラチップの脆弱性を利用することで、
ランプを点灯させずに撮影することができるようだ。
・セキュリティ・組織
日本政府は、海外からのサイバー攻撃に対応するため、2013年に自衛隊内に「サ
イバー防衛隊」を発足させる考えがあることが、政府関係者によって明らかにな
った。
・ウイルス
ロシアのセキュリティ会社であるカスペルスキーの発表によると、スマートフォ
ン・タブレットをターゲットにしたウイルスの新種が、2013年1月から11月にか
けて11万種もあったと公表した。昨年は4万種だったので、2.8倍の増加となって
いる。カスペルスキーは「2014年はさらに増える」とコメントしている。
・不正侵入・情報流出
PCショップ「ドスパラ」の通販サイトが不正攻撃を受け、顧客情報2926件漏えい
した可能性があると発表した。11月27日に不正アクセスの痕跡を同社が発見、対
策チームを設置し調査・対策を行った。流出したデータは、11月2日以前の登録
された「氏名」「住所」「電話番号」「メールアドレス」「ログインパスワー
ド」。
◎12月22日
・ウイルス
Microsoftが提供をしているセキュリティソフト「Microsoft Security Essentials」
は、無料で使えるため利用者が多い。ソフト・ハードウェアのテスト機関である
「Dennis Technology Labs」が、行ったセキュリティソフトの比較調査によると、
9製品行われたソフトの中でMicrosoft Security Essentialsは最下位の成績を記録。
39%のマルウェアが検出できないと発表した。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※コンテンツの著作権は、すべて発行元に帰属します。本メルマガの内容を引用
の範囲を超えての無断転載、転送、再編集など行なうことはお控えください。
発行:株式会社スプラウト
編集:電脳事変編集部
http://sproutgroup.co.jp
twitter:
http://twitter.com/sprout_group
本メールマガジンに関するお問い合わせ:support@sproutgroup.co.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━