第60号コラム:山田 晃 氏(情報処理推進機構(IPA)セキュリティセンター 調査役)
題:「2008年におけるネットワーク上の10大脅威(「情報セキュリティ白書2009」より)」

昨年のコラム(第11回)に引き続きまして、情報処理推進機構(IPA)でこの度、発行致しました「情報セキュリティ白書2009」より、情報セキュリティ分野における研究者、実務担当者等が選んだ、2008年において印象が強かった、或いは、社会的影響が大きかった10大脅威をご紹介させて頂きます。

今年は3つの分野、「組織への脅威」、「利用者への脅威」、「システム管理者・開発者への脅威」に分けて、それぞれの中での順位と、総合的な順位を基にご紹介させて頂きます。

 

「組織への脅威」第位「DNSキャッシュポイズニングの脅威」(総合1位)

DNS(Domain Name System)サーバには、以前から、DNSサービスを提供しているサーバ(DNSサーバ)の本来あるべき情報を偽の情報に書き換えられ、DNSサーバの利用者が正しいURLやメールアドレスを入力しているにも拘わらず、攻撃者が用意した偽のウェブサイトやメールサーバ等に誘導されてしまい、フィッシング詐欺やメールの情報漏洩等の被害を受ける可能性があるという、DNSキャッシュポイズニングの脆弱性があることが知られていました。

システム管理者は、この問題の被害を軽減するために、DNS関連ソフトウェアを対策版へバージョンアップした上で、次のような対策をする必要があります。

・コンテンツサーバの再帰問合せ動作が無効になっていることを確認する

・キャッシュサーバはファイアウォールなどのパケットフィルタリング機能を用いて、必要な箇所からの再帰問合せのみを許可するよう制限する

・キャッシュサーバ兼コンテンツサーバで運用している場合には、再帰問合せ動作は、組織内ネットワークからのアクセスのみを許可したり、それが難しい場合、キャッシュサーバとコンテンツサーバを物理的に分離したりして運用する必要がある

 

「組織への脅威」第位「巧妙化する標的型攻撃」(総合3位)

標的型攻撃は、ソーシャル・エンジニアリングの手口により、攻撃であることに気付きにくいことが最大の脅威です。例えば、信頼ある取引先や人物からのメールとして差出人を偽装され、内容も信憑性の高い情報が記載されているため、つい信用してしまう危険性があります。又、このようなメールに添付されている文書ファイルや圧縮ファイルには、脆弱性を悪用するウイルスが仕込まれていることがあり、通常のファイルと同じように見えてしまうため、つい開けてしまう危険性があります。添付されたウイルスファイルを開くと、あたかも通常の文書ファイルが表示されているだけのように見えますが、実際には利用者に見えない方法で、他のウイルスに感染させられたり、重要な情報を盗まれたりすることがあります。

標的型攻撃においても、ウイルス感染を防ぐには、一般的なウイルス対策が有効です。OSやアプリケーション、ActiveX等のプラグイン、ウイルス対策ソフトウェアの定義ファイルを随時最新の状態にするなどの対策が挙げられます。又、ユーザのコンピュータに感染したウイルスが、攻撃者からの指令を受けるために外部との通信を試みている場合もあり、システム管理者がファイアウォールで不要な通信を遮断したり、HTTP/HTTPSアクセスを認証付プロキシサーバ経由に限定したりすることで、被害の拡大を防ぐ効果が得られます。

 

「組織への脅威」第3位「恒常化する情報漏えい」(総合5位)

情報漏洩事件・事故は、その要因として様々なものがありますが、その全てを防ぐことは難しく、技術的対策の実施や組織としてのルール作成・運用等により、情報漏洩の予防や、従業員に対する意識の向上等の効果が期待できます。

経営者は、組織の情報セキュリティに対する考え方を整理し、組織内に徹底する必要があります。組織にどのような危険があり、どのような対策を行うべきか、どのような効果があるかを検討する必要があります。その検討から、ルールを作成したり、体制を整備したり、ルールを運用したりする必要があります。システム管理者は、経営者が作成した基準に基づいてどのように運用していくか、具体的に守るべき手法についての手順を作成する必要があります。

 

「利用者への脅威」第1位「多様化するウイルスやボットの感染経路」(総合4位)

2008年のウイルス感染の事例では、ソフトウェアの脆弱性を利用した、電子文書のファイルフォーマットであるPDFファイルやMicrosoft Office Wordファイル等による感染や、USBメモリ等の外部メディアを介する感染がありました。ネットワーク接続されたコンピュータに対するウイルス感染に加えて、外部メディアをコンピュータに接続した際に自動的にメディアの内容が実行される機能を悪用して感染するタイプが出現したことが特徴的でした。

又、ボットも猛威を振るいました。米国の情報セキュリティ専門の民間団体であるSANSは、ボット感染コンピュータの台数が、2008年6月から同年8月末までの3カ月で4倍以上になったことの原因について、SQLインジェクション攻撃によって「ボット感染の罠」を仕込まれたウェブサイト経由の感染が増えているためと推測しています。

これらの脅威への対策としては、OSやアプリケーション、ActiveX等のプラグイン、ウイルス対策ソフトウェアの定義ファイルを随時最新の状態にするなどが挙げられます。又、出所不明の外部メディアをコンピュータに接続しない、外部メディアの自動実行をさせないようにする必要があります。

 

「利用者への脅威」第2位「脆弱な無線LAN暗号方式における脅威」(総合6位)

無線LANは、無線通信の電波の届く範囲なら、壁等の障害物を超えてどこでも通信が可能という利便性を備えていますが、その便利さの一方、物理的な線で通信する有線LANに比べ、オフィスや家に侵入せずに無線通信を傍受できるため、通信内容を盗聴する場合、有線LANに比べて、悪意ある者から不正アクセスの手段として狙われ易い環境にあります。

無線LAN通信を暗号化する技術の一つにWEP(Wired Equivalent Privacy)がありますが、これは短時間で解読可能であることがわかり、又、WEPの後継であるWPA(Wi-Fi Protected Access)が採用しているTKIP(Temporal Key Integrity Protocol)という暗号規格についても、限定的に一部情報の解読が可能であることが発表されています。そのため、将来的観点から、無線LANを利用する際、WPA2(Wi-Fi Protected Access 2)をAES(Advanced Encryption Standard)という暗号規格で利用することが推奨されています。

無線LANを利用する場合、脆弱な暗号方式(WEP、 WPA-TKIP)の利用を避け、WPA2のAESの暗号方式を利用します。自宅や組織内等で無線LANアクセスポイントを設置する場合、可能であれば電波出力の制限等、アクセスできる範囲を制限することで被害を緩和できます。

 

「利用者への脅威」第3位「減らないスパムメール」(総合8位)

スパムメールによって、本来受け取るべきメールが大量に受信したスパムメールの中に埋もれてしまったり、スパムメール対策の副作用として本来受け取るべきメールが受け取れなかったりするなどの問題があります。又、スパムメールには、ウイルスが添付されていることがあり、ウイルスに感染してしまう危険性もあります。

スパムメールに対してメール本文の内容を解析してスパムメール判定を行う対策技術が登場していますが、攻撃者は、メールに画像やPDFファイルを添付するなどの手口を使って、スパムメール判定をかいくぐろうとします。ISPやスパムメール対策ソフトウェア等でも対策が行われていますが、攻撃者はかいくぐるための手法を用意し、いたちごっこになっています。

利用者は、スパムメールに対して返信しない、スパムメール中のURLをクリックしないなど、スパムメールに反応しないことが大切です。スパムメールに反応するとスパムメールの送信業者にスパムメールの効果があると判断され、更に多くのスパムメールを送付される場合があります。

 

「利用者への脅威」第4位「ユーザIDとパスワードの使いまわしによる危険性」(総合10位)

<問題の概要>

SQLインジェクション等で漏洩したユーザID・パスワードが、他のウェブサイトで不正ログインに使われるという事例が報告されています。この問題の背景の一つとして、利用者が本人確認用のユーザIDやパスワードを複数のサイトで使い回ししていることが考えられます。

様々なウェブサイトでユーザIDとパスワードが、本人認証の手段として利用されていますが、利用者はその度に、ユーザIDとパスワードを設定しなければなりません。しかし、利用者はウェブサイト毎にユーザIDとパスワードを管理することが難しいため、複数のウェブサイトで同じパスワードを使いがちです。サービスを提供する側も、ウェブサイトでユーザIDとパスワードを管理している場合、利用者のユーザIDとパスワードが他のウェブサイトでも同じものが利用されているかは分からないため、この問題に対する技術的な対策は困難です。

 

「システム管理者・開発者への脅威」第1位「正規のウェブサイトを経由した攻撃の猛威」(総合2位)

正規のウェブサイトの利用者を狙った攻撃では、攻撃者はまずウェブサイトの改竄を試みます。ウェブサイトの改竄には様々な攻撃手法が使われますが、2008年のウェブサイトの被害傾向として、ウェブアプリケーションにあるSQLインジェクションの脆弱性を狙った攻撃(SQLインジェクション攻撃)が多くみられました。SQLインジェクション攻撃は、ウェブサイトで利用するデータベースを狙う攻撃手法ですが、ウェブサイトで稼働しているデータベース内部の情報を盗まれたり、改竄されたり、消去されたりします。その中でも特に、改竄した後に次の攻撃の起点として、そのウェブサイトを悪用されてしまうようになりました。又、攻撃者はこれらの攻撃を自動的に行うツールを利用していると言われています。

SQLインジェクション攻撃が増加している背景の一つとして、データベースと連携したウェブサイトが一般的となっている一方、SQLインジェクション対策が不十分であるウェブサイトが依然として減っていないことが挙げられます。システム管理者・ウェブアプリケーション開発者は、ウェブサイトでデータベースを利用する場合、ウェブアプリケーションを設計・構築する際にSQLインジェクション対策を行う必要があります。

 

「システム管理者・開発者への脅威」第2位「誘導型攻撃の顕在化」(総合7位)

誘導型攻撃は、利用者を脆弱なウェブサイトや罠メールを閲覧させることで成立する種類の攻撃です。この代表例としては、クロスサイト・スクリプティングの脆弱性やブラウザの脆弱性を利用した攻撃、標的型攻撃等が挙げられます。クロスサイト・スクリプティングは、ウェブアプリケーションの脆弱性を悪用して、ウェブサイトの利用者を狙う攻撃手法の一つで、ウェブサイトを閲覧した利用者のブラウザ内で悪意あるスクリプトが実行され、フィッシング詐欺や、情報の漏洩等の被害が引き起こされます。

システム管理者やウェブアプリケーション開発者は、誘導型攻撃の原因となるクロスサイト・スクリプティング等の脆弱性に留意する必要があります。利用者では根本的な対策ができない問題であるため、開発者が対策を行うべき問題です。

 

「システム管理者・開発者への脅威」第3位「組込み製品に潜む脆弱性」(総合9位)

家電、携帯電話、自動車、プリンタ等の組込み製品が普及し、情報通信技術の発展により通信機能の搭載が容易になり、いつでもどこでもネットワークを利用できる環境になりつつあります。このような組込み製品に脆弱性があり、それを悪用されてしまった場合、従来のインターネットに接続して使用するコンピュータソフトウェアと同様に情報を盗まれたり、組込み製品そのものを不正に操作されたりする被害が想定されています。特に近年は、組込み製品のOSやミドルウェアが汎用化され、インターネットを利用できる製品が増えています。そのため、従来のインターネットに接続して使用するコンピュータソフトウェアと同様の問題に直面しつつあります。

開発者は、ネットワークに接続する組込み製品に関して、脆弱性を作りこまないよう、設計の段階から注意を払う必要があります。万が一脆弱性が見つかった場合でも、利用者が分かりやすく安全に修正できる仕組みを用意することが望まれます。

 

この場をお借りして、最近の脅威の傾向につき、簡単にご紹介させて頂きました。より詳細な内容につきましては、「情報セキュリティ白書2009」をご参照下さい。

 

【著作権は山田氏に属します】