アーカイブ

2008 年 3 月 のアーカイブ

電子投票研究チームの成果がCMUトップページに登場 

2008 年 3 月 23 日 コメント 2 件

日本の電子投票のセキュリティについて分析した昨年の研究プロジェクトの成果がカーネギーメロン大学のトップページで紹介されました。

■e-Voting in Japan, Student Research Alters Course(Carnegie Mellon University)
http://www.cmu.edu/

(一定期間後は下記にアーカイブされます。)
http://www.cmu.edu/homepage/global/2008/winter/e-voting-in-japan.shtml

カテゴリー: 研究開発 タグ:

【都市伝説?】標的型攻撃による被害は深刻化しているのか?

2008 年 3 月 23 日 コメント 1 件

「近年の標的型攻撃に関する調査研究-調査報告書」という報告書がIPAから公開された。

■近年の標的型攻撃に関する調査研究-調査報告書-(IPA, 3/18)
http://www.ipa.go.jp/security/fy19/reports/sequential/index.html

このページの中で気になるフレーズがあった。

「近年、特定の企業あるいは組織イントラネット内のパソコンを標的とした「標的型攻撃」により、個人情報等の機密情報が漏洩するなどの被害が深刻化しています。」

標的型攻撃についてその試みについては多数確認されており多くの報道が行われている。しかし、それによって実際に日本国内で発生した被害(攻撃をされただけではなく実際に被害を受けるに至ったもの)についての報道は私が知る限り下記2件のみである。

■「防ぎようがなかった……」、ネット銀不正引き出しの被害者語る(ITmedia, 2005/7/22)
http://www.itmedia.co.jp/enterprise/articles/0507/22/news089.html

■郵送CD-ROMで不正送金、千葉銀行の名前をかたる(ITmedia, 2005/11/02)
http://www.itmedia.co.jp/news/articles/0511/02/news036.html

仕事柄情報セキュリティに関わる多くの技術者や実務者と接する機会があり、ことあるごとに標的型攻撃の被害実態について聞くようにしているが、一様にその脅威の存在については言及するものの、実際に被害を確認したという人物は極めて少数である。多くは「・・・という話を聞いた。」という伝聞レベルである。

情報セキュリティの被害実態に関するある程度信頼度の高い情報源として、国家公安委員会、総務大臣、経済産業大臣が不正アクセス禁止法に基づき毎年発表している不正アクセス行為の発生状況に関する統計がある。

■不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(2008/2/29)
http://www.npa.go.jp/cyber/statics/h20/pdf40.pdf

このうち警察に関する統計は「平成19年中に全国の都道府県警察から警察庁に報告のあった不正アクセス行為を対象とした。」とあるように、実際に警察に届けられた被害に基づくものであり、伝聞などの情報に比べ信ぴょう性が高いと考えられる。

この警察に関する統計においては「標的型攻撃」による被害の発生については一言も触れられていない。検挙に至った1,438件の内訳が「不正アクセス行為に係る犯行の手口の内訳」に示されているが、この中には標的型攻撃という記述はなく、「スパイウェア等のプログラムを使用して識別符号を入手したもの」55件がある程度である。標的型攻撃は「スパイウェア等のプログラムを使用して識別符号を入手したもの」に含まれると考えられるが攻撃対象を限定しないスパイウェアの被害が多く発生していることを考えれば全体に占める割合は小さい。ちなみに最も多い手口である「フィッシングサイトにより入手したもの」は1,157件とされている。

この文書では「不正アクセス関連行為の関係団体への届出状況について」として「IPA に届出のあったコンピュータ不正アクセス」に関する情報(218件)、「JPCERT コーディネーションセンターに届出があった不正アクセス関連行為の状況」(3,140件)が示されているが、いずれも標的型攻撃に関する記述はない。

これらの機関は被害が深刻化しているものについては下記のような緊急対策情報のページを通じて注意喚起を行うのが一般的であるが、警察庁が平成17年に上記CD-ROM送付による攻撃と平成18年にスパイウェアに対する一般的な注意喚起を行っているほかは、標的型攻撃に関する注意喚起の記述はみあたらない。

■CYBER WARNING(警察庁)
http://www.npa.go.jp/cyber/warning/index.html

■緊急対策情報 一覧(IPA)
http://www.ipa.go.jp/security/announce/alert.html

■注意喚起 & 緊急報告(JPCERT/CC)
http://www.jpcert.or.jp/at/

セキュリティに関する事業を維持・継続していくためには対策が必要とされる「仮想敵」が必要となるわけだが、実在しない被害が存在するかのように表現することだけは避けなければならない。

本件が事実に基づかない情報だとは思わないが、実際の状況が広く認知されていないこのような事象については根拠となる事実の存在について確認された被害件数だけでも示すべきだろう。

カテゴリー: 情報セキュリティ タグ:

スピアなんとか

2008 年 3 月 4 日 コメントはありません

情報通信研究機構(NICT)より大変興味深い研究に関する発表があった。

報道発表(お知らせ)
* スピア型サイバー攻撃判定システム開発のための共同実証実験を開始
-特定の組織に限定したサイバー攻撃を早期に検知するシステムの実現に向けて-

(独立行政法人情報通信研究機構, 2008/3/3)

以下本文中、気になった箇所をピックアップする。

インターネットにおいて最近頻繁に出現している「スピア型サイバー攻撃*1」

本当に頻繁に出現しているのだろうか?どの程度頻繁なのだろうか?

スピア型サイバー攻撃
スピア(Spear)は槍のことであり、特定の対象に限定して攻撃するパターンのサイバー攻撃のことを指します。

これはスピアフィッシング攻撃(Spear Phishing Attack)という世界で広く別の意味で使われている用語の誤用ではないだろうか?(以下同じ意味の一般的な用語であるターゲテッドアタックと読み替えることにする。)

スピア型サイバー攻撃は通常のサイバー攻撃と異なり、特定の組織のみに対してマルウェア(ウィルス等)を送り付けるなど、攻撃対象が限定的であることから、・・・

ウィルス/ワームだけが通常のサイバー攻撃ではないので、通常のサイバー攻撃の中にも攻撃対象が限定的なものは多く存在する。

攻撃対象が限定的であることから、攻撃発生の早期検知が困難な状況となっていました。そのために、スピア型サイバー攻撃を早期に検知し、判定するためのシステム開発が切望されていました。

「攻撃対象が限定的である」→「攻撃発生の早期検知が困難」
→「スピア型サイバー攻撃を早期に検知」「するためのシステム開発が切望されていました。」

はありえるとして、

→「判定するためのシステム開発が切望されていました。」→?

攻撃を検知するシステムが切望されるのは理解できるが、判定するためのシステムの開発が切望されていたのだろうか?

今回のこのシステムは、検知自体は従来の個々のベンダーのシステムやサービスで行われるため、すでに検知済みのマルウェアを他社の保有情報と、その情報自体を公開することなく比較し、既知のものであるか否かを確認することができるものだと読み取れる。

このシステムをウイルス対策ソフトなどの複数のセキュリティソフトウェアベンダーが利用しようとする場合、各ベンダーが自社の製品やサービスを他社よりも優位にするために、図に示された「秘密共通集合計算サーバー」に提供する「検体ハッシュ」情報を制限しようという経済的な動機が働く可能性がある。

つまり、すでに検体情報を持つベンダーは「検体ハッシュ」情報を出し惜しみすることで、他社が捕獲した検体をターゲテッドアタックに誤認識させることが可能となり、出し惜しみをしたベンダーほど自社の製品・サービス品質を優位に保つことができる。

課題として「セキュリティサービス事業者単独ではスピア型サイバー攻撃を判定できない」という言葉が挙げられているが、仮に「セキュリティサービス事業者」とはこの図で言う「株式会社ラック」のことを指し、「トレンドマイクロ株式会社」は「セキュリティ製品事業者」であり、このしくみは競合関係にない「セキュリティサービス事業者」が「セキュリティ製品事業者」の助けを借りてターゲテッドアタックを認識するためのものだとすれば、協力のインセンティブが働くことは考えられる。

しかし「秘密共通集合計算サーバー」に情報を提供するウイルス対策ソフトベンダーが一社しかいない場合に、そのベンダーが当該マルウェアを保有していなかったというだけで、ターゲテッドアタックと判定するのは危険と思われる。ひとつのウイルス対策製品が出回っているすべてのウイルス・ワームの検体を保有しているわけではないし、ポリモーフィックやメタモーフィックなど自己改変機能を持つマルウェアも存在するからだ。ハッシュ値を使用しているなら検体のほんの1ビットを変更するだけで、ターゲテッドアタックということになってしまう。

文面から察するに、やはりこのシステムでは複数のウイルス対策ベンダーが検体情報を持ち寄ることを想定していると思われるのだが、その場合、先に述べた競合製品を開発するベンダーがどこまで協力的になれるかという問題が存在する。

もっともセキュリティ業界は社会的責任感の強い企業ばかりなので、このような心配をする必要はないということか・・・。

【参考情報】
■スピア型サイバー攻撃判定システム開発のための共同実証実験を開始-特定の組織に限定したサイバー攻撃を早期に検知するシステムの実現に向けて-(独立行政法人情報通信研究機構, 2008/3/3)
http://www2.nict.go.jp/pub/whatsnew/press/h19/080303/080303_1.html

■「標的型」はなぜ「スピアー」なのか?(武田圭史, 2007/6/27)
http://motivate.jp/archives/2007/06/post_133.html

カテゴリー: 情報セキュリティ タグ: