武田圭史

私の大学のメールアカウントに対して標的型のフィッシング（スピアフィッシング）と思われるメールが届きましたのでセキュリティの研究や対策に役立てるために公開しておきます。

何かこの情報を活用した事例がありましたら今後の情報セキュリティ対策の促進のためにお教えいただけると幸いです。

（スパム対策のため一部ヘッダ情報を書き換えています。xxxxxには実際のメールアカウントが入ります。またadminのアドレスのピリオドを全角文字に変えてあります。）

[メールクライアントでの表示]

差出人　慶應義塾大学SFC <admin@sfc．keio．ac．jp>
件名　慶應義塾大学SFC
返信先　webaccupgrade@ml.lt
宛先　　undisclosed-recipients:;
送信日時　2012/5/2 12:33PM

[メッセージのソース]

—————————————-

Return-path: <admin@sfc．keio．ac．jp>
Envelope-to: xxxxx@imap．sfc．keio．ac．jp
Delivery-date: Wed, 02 May 2012 12:34:09 +0900
Received: from mail-gw1.sfc.keio.ac.jp ([133.27.4.126])
by imap08.sfc.keio.ac.jp with esmtp (Exim 4.69 #1 (Debian))
id 1SPQKP-0006Sa-1k; Wed, 02 May 2012 12:34:09 +0900
Subject: =?UTF-8?Q?=E6=85=B6=E6=87=89=E7=BE=A9=E5=A1=BE=E5=A4=A7=E5=AD=A6S?=
=?UTF-8?Q?FC?=
Received: from email13.mijndomein.nl ([188.93.148.117])
by mail-gw1.sfc.keio.ac.jp with ESMTP; 02 May 2012 12:33:58 +0900
Received: from localhost ([127.0.0.1] helo=email13.mijndomein.nl)
by email13.mijndomein.nl with esmtp (Exim 4.72)
(envelope-from <admin@sfc．keio．ac．jp>)
id 1SPQK5-0003Ha-LQ; Wed, 02 May 2012 05:33:49 +0200
MIME-Version: 1.0
Content-Type: text/plain;
charset=UTF-8;
format=flowed
Content-Transfer-Encoding: 8bit
Date: Tue, 01 May 2012 23:33:49 -0400
From: =?UTF-8?Q?=E6=85=B6=E6=87=89=E7=BE=A9=E5=A1=BE=E5=A4=A7=E5=AD=A6SFC?=
<admin@sfc．keio．ac．jp>
To: undisclosed-recipients:;
Organization: =?UTF-8?Q?=E6=85=B6=E6=87=89=E7=BE=A9=E5=A1=BE=E5=A4=A7?=
=?UTF-8?Q?=E5=AD=A6SFC?=
Reply-To: <webaccupgrade@ml.lt>
Mail-Reply-To: <webaccupgrade@ml.lt>
Message-ID: <37b4f31fec3f05306da91df7396c9b39@kvwbocholtz.nl>
X-Sender: admin@sfc．keio．ac．jp
User-Agent: Mijndomein Webmail

–
行政

アカウント加入者各位
アカウントサーバ：https://imap.sfc.keio.ac.jp/src/login.php
慶應義塾大学SFC

このメールは、保守/ユーザーセキュリティのアップグレード用のSquirrelMailの部からです。
システム。我々は、匿名の登録のために渋滞を抱えている
sfc.keio.ac.jpを占めています。そこでので、いくつかのsfc.keio.ac.jpアカウントをシャットダウンしている
アカウントは、この状態に起因する再更新する必要があります。

あなたのあなたのアカウントを確認することができるように私たちはあなたにこのメールを送っている
あなたのアカウントの安全とメンテナンスするため。あなたはまだである場合
sfc.keio.ac.jpアカウントのユーザーであることに興味を持ってあなたのアカウントを確認してください
下記のスペースを記入してください。

情報は、アカウントを確認するために必要になります。

*ユーザ名：（……………………）（必須）
*パスワード：（……………）（必須）
生年月日*日：（……………………）（オプション）
*国または地域：（………………）（オプション）
*セキュリティの質問：（……………………）（必須）
*セキュリティ回答：（……………………）（必須）

私達にあなたのアカウント情報を送信する前に、にログインすることをお勧めします
以下このリンク：

https://imap.sfc.keio.ac.jp/src/login.php

メモ：お使いのアカウントがログインを行う場合、あなたは私達にあなたの詳細を送信しようとしています
あなたのアカウントのメンテナンスに必要なアカウント、もしそれ以外の場合
それはすでに私たちのメインサーバから終了されていることを意味します。のために申し訳ありません
不便これは我々だけを確認するためにしようとしているあなたを起こしている可能性があります
あなたのアカウントを持つperfectelyよくネットサーフィン。

あなたがしなければならないすべては、クリックして返信し、上記情報を提供していると、
アカウントが中断だけアップグレードされません。あなたのおかげ
この要求への注意が必要です。

再び我々は不便をお詫び申し上げ、これはあなたを起こしている可能性があります。

警告

の7日後に彼/彼女のアカウントを更新することを拒否し、アカウントユーザー
この警告メッセージを受信することは、彼を失ったり、彼女のアカウントは永久にあるでしょう。

このコンピュータへの不正アクセスには、注釈に違反している
コー​​ド、刑法第？ 8から606まで及び7から302とコンピュータ詐欺および
虐待法、18 U.S.C. ？ 1030頁以降を参照。このオフィスは、の使用を監視することができる
を含むように州法および連邦法で許可されているコンピューティング·リソース、
電子通信プライバシー法、18 U.S.C. ？ 2510-2521とメリーランド州
注釈付きのコード、裁判所および裁判手続の記事、第10項、
サブタイトル4。
このシステムを使用して誰もがすべての使用が対象であることを認め
情報技術の利用規定に（sfc.keio.ac.jp）ポリシー
で利用可能なリソース：

https://imap.sfc.keio.ac.jp/src/login.php

ウェブメールユニット/慶應義塾大学SFC（sfc.keio.ac.jp）

あなたは、命令を遵守します。

—————————————-

最近ゲーミフィケーションが流行しているようなので便乗して我々の研究室でのこれまでの取り組みを紹介。

セキュリティいろはかるた

武田圭史, 伊藤ガビン, 倉田タカシ, 日立システム 情報セキュリティブログ編集部, 翔泳社2008.

情報セキュリティの課題とゲーミフィケーションとの親和性は高く他にも様々な取り組みを行っています。

本日と明日六本木ヒルズ40階でSFCの研究発表展示会Open Research Forumを開催しています。

ORF2010安住なき先駆
http://orf.sfc.keio.ac.jp/

明日は鳩山由紀夫前首相や黒川清氏、郷原信郎氏なども登壇されるセッションもあります。
どなたでも参加できます。六本木ヒルズ４０階からの眺めも楽しめてしかも無料！

私の研究室も小さいながらブースを出しています。

今年は以下のデモ展示をしています。

• ネットワーク通信可視化ゲーム
• ネットワークトラフィックの可聴化
• メールヘッダ解析による標的型攻撃の検知
• 漏トラフィックによるユーザー追跡

セキュリティはどうもアピールしにくいので今年は一昨年に監修した「セキュリティいろはかるた」を装飾に使わせていただきました。

お越しの際は六本木から六本木ヒルズのアカデミーヒルズ４０階を目指してお越しください。

皆さまのお越しをお待ちしております。

本日のNHKテレビ News7 尖閣諸島の問題で技術的な視点からコメントしました。
ニュースウオッチ9にも使われるかもしれません。

誤解の無いように正しいことが伝えられているとよいのですが、、、。

10月6日（水）から8日（金）まで東京ビックサイトで開催されている テロ対策特殊装備展(SEECAT) ’10で最終日の８日（金）短い時間ではありますが話します。14:00-14:15で「サイバー•セキュリティ：リスクはどこにあるのか」というお題をいただいたので、サイバー戦争の実際と今が旬のsutxnetワームをネタに話そうかと思っています。

【イベント】
テロ対策特殊装備展(SEECAT) ’10) (2010/10/08, 東京ビックサイト)
http://www.seecat.biz/

ちょうど先日NewsWeek でHaystackプロジェクトに関する華々しい記事を見たところだったのに、実は話題が先走りすぎていたという話。しっかりした技術者が何人か関わって地道に展開していけばまた違った結果もあったのではとも考えられる。とにかくいろんな面で考えさせられるところがあるので、技術と社会や政治の関わり関心のある人はぜひ読んでもらいたい。

方向性は違えど、考えてみれば似たような話は日本でもあちらこちらにあるような、、、。

「イランのツイッター革命」の申し子、Haystackの顛末
http://nofrills.seesaa.net/article/164267163.html

「イランのツイッター革命」の申し子、Haystackの顛末 (2)
http://nofrills.seesaa.net/article/164271780.html

オタク戦士が独裁国家を欺く－イランに超絶ソフトで挑んだハッカー活動家
http://www.excite.co.jp/News/magazine/MAG11/20100908/31/

本日（10/4）の朝日新聞朝刊「朝日新聞グローブ第４９号」に「サイバー戦争：それは脅威なのか」という記事が掲載されている。

この記事の中で2007年４月にエストニアにおけるソビエト兵士銅像移転に伴い発生した大規模なサイバー攻撃の事件が取り上げられている。

一方で、「犯人」の特定は不調に終わった。ボット攻撃を操縦したのはロシア国内の集団ではないか、といわれたが、ロシア政府からは犯人捜しの協力が得られなかった。

（朝日新聞, 10/4）

今回の記事では取り上げられていないが、後にこれらの攻撃を実際に行った犯人としてエストニアの20歳の大学生ドミトリ・ガクシュケビッチ（Dmitri Galushkevich）が逮捕され罰金刑を受けていることをBBCをはじめ海外の報道機関は伝えている。

日本では、当初エストニア政府がロシア政府がサイバー攻撃に関与したとして非難したことのみが大きく報道され、その後の犯人逮捕についてはほとんど取り上げられなかったために、いまだにこの攻撃が国家によるサイバー攻撃の事例として紹介されることが少なくない。

ぜひガクシュケビッチ氏にも実際のところを取材してもらいたいところである。

何度も書いているが、これまでに発生しているこういった目立つ攻撃は全て市民活動家など個人的な活動によるものといっても良いだろう。大規模なサイバー攻撃に国家の関与は不要であり、むしろ活動を阻害するものであったり結果として組織にとって不利な状況をもたらすことになる。

その一方で記事の冒頭でも取り上げられているように政治的／軍事的なサイバー攻撃を意識した組織を国家が設立するなどの動きが（昔からずっと）あるのも事実である。最近は高度な内部情報などを求められる洗練された攻撃なども徐々に検出されていることからいよいよ本格的な組織戦の時代を迎えることになるのかもしれない。

【参考】
Estonia fines man for ‘cyber war’ (BBC, 2008/01/25)
http://news.bbc.co.uk/2/hi/technology/7208511.stm

Student fined 1,100 euro for DoS attack on key sites in Estonia(SC Magazine, 2008/01/28)
http://www.scmagazineus.com/student-fined-1100-euro-for-dos-attack-on-key-sites-in-estonia/article/104624/

日本政府サイト攻撃を宣言＝尖閣問題で中国ハッカー組織(時事ドットコム, 9/13)

http://www.jiji.com/jc/c?g=soc_30&k=2010091300614

【香港時事】１３日付の香港紙・明報によると、中国最大のハッカー組織といわれる「中国紅客連盟」は１２日、尖閣諸島（中国名・釣魚島）付近で日本の海上保安庁巡視船と中国漁船が衝突し、漁民が拘束された事件に抗議するため、同日から１８日まで日本政府機関のウェブサイトを攻撃する方針を明らかにした。
　１８日は満州事変７９周年に当たり、紅客連盟はこの日に最大規模の攻撃を仕掛けるとしている。

「紅客連盟」は2001年の日本のWebサイトへの一斉攻撃に関与しており、その後首謀者がテレビのインタビューなどで、過去の行動を反省し今後こういった攻撃は行わないと発言していたことが思い出される。グループは解散したとの話もあったがサイト自体は現在も存続している模様。当該サイトを確認したが現在のところ該当する攻撃の声明は掲載されていないように見える。

最近無線LANのSSIDで “Free Public WiFi” をよく見かけるなと思ったら昔からある現象らしい。

どうも Windows で Ad-hocモードで一度接続を試みるとそのSSIDを記憶し、有効なWifi接続が確立されない場合にアドホックモードで同じSSIDを発する模様。そしてそのSSIDで接続を試みた他のPCがまた同じ状況におちいり・・・。という状況と思われる。いわゆるコンピュータウイルスとは少し違うが現象として興味深い。

今いるイベント会場でこのSSIDを見つけたので少し調査してみようと思う。

「米軍に最悪のサイバー攻撃　０８年、ＵＳＢメモリーから」(8/26, Asahi.com)
http://www.asahi.com/international/update/0826/TKY201008260183.html

米軍のコンピューターネットワークが２００８年、ＵＳＢメモリーから侵入した不正プログラムによって「米軍史上最悪」のサイバー攻撃にさらされていた。米国防総省のリン副長官が、２５日発行の外交評論誌「フォーリン・アフェアーズ」（電子版）に投稿した論文で明らかにした。

出典のオリジナル記事はこちら

Defending a New Domain, The Pentagon’s Cyberstrategy By William J. Lynn III (8/25, FOREIGN AFFAIRS)
http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain

外国の情報機関関係者がＵＳＢメモリーを挿入。
placed there by a foreign intelligence agency,

っていうのは裏がとれているのだろうか？

W32/Autorunの感染が広がっただけでは？

「新設のサイバー司令部」、、、うーん、そういうことですか。

同じ頃、日本の病院などでも同様の（最悪の？）サイバー攻撃が多数観測されていましたよね。