最新のサイバー攻撃の発生メカニズムと、対策のあるべき姿 - NICT · 2016....

最新のサイバー攻撃の発生メカニズムと、対策のあるべき姿

－サイバー空間における脅威のパラダイムシフトの理解と、

本質的な対策を立案するための重要ポイントの説明－

2012年2月

サイバーディフェンス研究所

名和利男

2 Copyright © 2012 Cyber Defense Institute, Inc. All rights reserved.

“But why have you not observed this, instead of reducing

yourself to having to believe the tales of others? Why not

see it with your own eyes?“ “どうして君は、他人の報告を信じるばかりで、自分の眼で観察したり見たりしなかったのですか？”

From Dialogue Concerning the Two Chief World Systems by Galileo Galilei (1632)

1632 年ガリレオ・ガリレイ『天文対話』より


アジェンダ

1. 2011年8月韓国LG U+ モバイルネットワークの障害

2. 2012年1月在シンガポール及び在インドのロシア大使館へのサイバー攻撃

3. 2010/2011年9月中国からのサイバー攻撃

4. 2011年日本における標的型攻撃（ソニーグループ、三菱重工、衆議院）

5. サイバー脅威の動向と既存対策の分析

6. 今後の組織に求められる防衛策

4

2012年1月在シンガポール及び在インドの

ロシア大使館へのサイバー攻撃

トピック 1


اتحاد قراصنة سوريا الأحرار لدعم الثورة السورية

Pirates of the Liberal Union of Syria to support the Syrian Revolution

Pirates of the Liberal Union of Syria to support the Syrian Revolution Mercy on the children of Dr. Taya is intended .. And all our innocent children ... Russia slowly gave many .. This is the first warnings of the day .. hoping that they know their men to Syria Penetrate the Russian Embassy in Singapore http://www.russia.org.sg/

2012年1月30日（月）5:15am の書き込み

http://www.facebook.com/Syrian.Hackers

http://www.russia.org.sg/

http://www.facebook.com/Syrian.Hackers


2012年1月30日在シンガポールロシア大使館へのサイバー攻撃

改竄された（と言われている）サイトの一部


The Russian ammunitions are penetrating our children and women’s bodies publicly in all around Syria beside the moral support for Syrian regime in United Security Council disrupt any solution to protect the Syrian people from the dictator crimes, which supported by Russian regime. This makes the Russian regime a partner and instigator of the Syrian regime in killing children, destructing the economy, demolishing homes and looting of wealth! Looking at suffering Syrian streets, you will only see Russian arms everywhere from tanks, armed vehicles, and machine guns to Rocket-Powered Grenade and Kalashnikovs among hands of thugs and repressive sectarian groups. Where is the conscience of the Russian government in what is happening in Syria? Where are their values, history and civilization from all of these crimes in Syria which exceeded the Nazism?! bomb hack

2012年1月30日在シンガポールロシア大使館へのサイバー攻撃

改竄された（と言われている）サイトに残されたメッセージ

2012年1月30日、在インドロシア大使館大使館のセルゲイ・カルマリト高等参事官は、犯行声明文にある情報は事実とは異なると発表している。


http://www.rusembassy.in/index.php?option=com_content&view=article&id=3824%3Astatement-of-the-embassy-of-russia-in-india-&catid=20%3Apress-releases&directory=178&lang=en

2012年1月31日在インドロシア大使館へのサイバー攻撃

在インドロシア大使館の正式発表

http://www.rusembassy.in/index.php?option=com_content&view=article&id=3824:statement-of-the-embassy-of-russia-in-india-&catid=20:press-releases&directory=178&lang=en
































日本国内での報道

http://www.jiji.com/jc/zc?k=201202/2012020200077

http://www.jiji.com/jc/zc?k=201202/2012020200077


japanese.irib.ir/index.php?option=com_content&view=article&id=25074:2012-02-01-12-51-39&catid=17:2010-09-21-04-36-53&Itemid=116


攻撃の背景（1）

http://japanese.irib.ir/index.php?option=com_content&view=article&id=25074:2012-02-01-12-51-39&catid=17:2010-09-21-04-36-53&Itemid=116





































www3.nhk.or.jp/news/html/20120131/k10015654671000.html


攻撃の背景（2）

http://www3.nhk.or.jp/news/html/20120131/k10015654671000.html

12

2011年8月韓国LG U+ モバイルネットワークの障害

トピック 2


事象発生

• 2011年8月2日、韓国 LG U+ の 3G モバイルネットワークにおいて、一時的なネットワーク障害が発生した。

• LG U+ （旧 LG テレコム）は、韓国LGグループにおけるモバイルフォンオペレーター会社

– 民間で最初に3G サービスを開始したことで有名

– モバイルバンキングサービスを提供する BankOn を推進

• 2011年4月に発生した韓国農協（金融業務）に対する大規模な

サイバー攻撃に、北朝鮮が関与したと見られたため、幾つかの

国の政府機関や情報機関が強い関心を示し、関連情報の提供

の要請があった。

（3G網過負荷で一時的にネットワーク接続が困難な状況です。早急な問題解決のために努力します。）

https://twitter.com/#!/LGUplus/status/98200868263952384

「韓国LG U+ におけるネットワーク障害」の事象解明と安全保障上の脅威との関連性の分析要請

https://twitter.com/


情報収集（1）

• LGユープラス、不通にも株価は “黙々”（2011.08.02 15:18） – http://finance.joinsmsn.com/news_stock/article/article.asp?ctg=1103&Total_ID=5889314

– 「LGユープラスは、・・・午前8時前後で3Gデータ網が不通になり、午後3時現在70％ほど回復したと発表した。・・・」

– 「LGユープラスは、”サービスの不通で不便を経験した利用者の条件に応じて適切な被害補償が提供されるだろう“と明らかにした。 LGユープラスの条件は、3時間以上の障害が発生した場合の補償をするようになっている。」

http://finance.joinsmsn.com/news_stock/article/article.asp?ctg=1103&Total_ID=5889314





情報収集（2）

• LG U +、不通7時間 “原因不明”...再発の可能性を示唆（2011.08.02 15:42） – http://ddaily.co.kr/news/news_view.php?uid=80896

– 「LGユープラスよると、午前8時からロングタームエボリューション（LTE）を除く全国の移動通信ネットワークが不通だ。」

– 「70％の回復は、10回のデータの通信の試行中に7回は接続されている状態というのがLGユープラスの説明だ。」

– 「LGユープラス関係者は“データのトラフィックが急に通常の5倍に増加したため、ネットワーク障害が発生した。回復は進行中だ。しかし、なぜ、データトラフィックが5倍になったのかは把握できていない"と述べた。」

http://ddaily.co.kr/news/news_view.php?uid=80896


情報収集（3）

• 焦るLGユープラス、LTEは"温い"2Gは"不通”（2011.08.02 18:22） – http://www.asiatoday.co.kr/news/view.asp?seq=510278

– 「先月1日、業界1位の飛躍を叫んで商用化を開始した第4世代（4G）移動通信のロングタームエボリューション（LTE）までの市場での生ぬるい反応を得ており、大きな悩みに陷った。」

– 「最も影響を及ぼす可能性は機器の老朽化に応じて、携帯電話網（MSC）が正常に動作しないことができなかったはずだという推測だ。 LGユープラスがLTEにだけ神経を使うため2G網の設備投資不足で装置の改善に怠ったという指摘だ。」

– 「LGユープラスは、1.8㎓帯で2Gのサービスの運用中には、計7つの周波数チャネル（FA）を使い、そのうち4つのFAは、音声用に使っていて、残りの3つのFAはデータ専用に使っている。このうち、データ専用で使っている3つのFAで寡婦化が発生し、すべてのデータサービスが中断されたという説明だ。」

http://www.asiatoday.co.kr/news/view.asp?seq=510278


情報収集（4）

• LGユープラス不通の事態は、トラフィックの急増比不良が原因…類似事故対策急ぐ（2011.08.03）

– http://www.etnews.com/news/detail.html?id=201108030143

– 「LGユープラスは、前日のデータ通信網不通の事態は、午前8時頃、約5分間、通常20万〜30万件に比べて5倍の140万〜150万着信の試みが続いたためだと発表した。」

– 「LGユープラスは、大規模なトラフィックを誘発する主要なサイトは継続的に監視する

が、前日、障害発生の原因となったサイトでは管理の範囲に含まれていないため、対応していないと説明した。現在のところ、悪意のある攻撃の可能性は低いとLGユープラスは明らかにした。」

– 「これによりLGユープラスは、スマートフォンアプリが基地局と頻繁に交信して発生させるトラフィック（Keep Alive Message）を制御するための対策を用意する計画だ。」

http://www.etnews.com/news/detail.html?id=201108030143


情報収集（5）

• LGユープラスの不通は'グーグル'だ（2011.08.15） – http://news.mk.co.kr/v3/view.php?sc=30000001&cm=%C7%EC%B5%E5%B6%F3%C0%CE

&year=2011&no=528806&selFlag=&relatedcode=000060051&wonNo=527583&sID=300

– 「LGユープラスの基地局に接続され、Googleのサーバーが一時的にダウンしたため発生した。 LGユープラスは、Googleに公式文書を送って抗議したが、Googleは、“事業者を差別しない”という原論的な立場を明らかにしたものが知られて論難が予想される。」

– 「Googleのサーバは、100万台を超えるほどに多いが、この日、ダウンしたサーバーは特にLGユープラスのAndroidスマートフォンの基地局に多数の接続されていたと推定される。」

http://news.mk.co.kr/v3/view.php?sc=30000001&cm=%C7%EC%B5%E5%B6%F3%C0%CE&year=2011&no=528806&selFlag=&relatedcode=000060051&wonNo=527583&sID=300




























情報収集（6）

• LGユープラス2日のデータ不通の原因は…グーグル、地図サービス遮断措置理由（2011.08.17）

– http://news.hankooki.com/lpage/economy/201108/h2011081702350621540.htm

– 「状況から、Googleがこのような措置を取った背景には、独島の表記をきちんとしていない、Googleに対するネチズンの攻撃があった蓋然性が高いと思われる。」

– 「16日、関連業界によると、LGユープラスで内部調査をした結果、GoogleのモバイルGoogleマップサービスへのアクセス遮断が不通の事態につながったことが確認された。」

– 「グーグルコリアの関係者は"国際的に独島は紛争地域なので混乱の素地を作るために、意図的に地図サービスで削除した"とし"この問題で、ネチズンたちの世論が良くなかったことを知っていた"と説明した。」

http://news.hankooki.com/lpage/economy/201108/h2011081702350621540.htm


事象のまとめ（1）


関連情報（1）

• 2011年7月19日、外交通商部は21日からインドネシア、バリで開かれるＡＳＥＡＮ地域安保フォーラム(ARF)で日本の独島（ドクト、日本名：竹島）挑発問題を必ず確かめると明らかにした。

http://www.newsis.com/article/print.htm?ar_id=NISX20110719_0008714357&type=1

http://www.newsis.com/article/print.htm?ar_id=NISX20110719_0008714357&type=1


関連情報（2）

• 2011年8月1日、韓国政府は竹島（韓国名：独島）に近い韓国の鬱陵島を視察しようとした自民党の新藤義孝衆議院議員ら議員3人の入局を拒否した。新藤議員らは9時間ほど金浦空港で待機しながら韓国側の説明を求めたが、入国の目途が立たず、夜の最終便で帰国した。

（以下は、韓国のメディアが報道した関連画像）


関連情報（3）

• 事象発生の前夜（2011年8月1日）、Twitter において、スマートフォンの Google

Map において、独島が竹島と表記されていることを伝えるメッセージが、膨大にリツイートされる。

http://twitaddons.com/pic/detail.php?id=8268237

竹島と表記されている

“グーグル地図に独島が再び竹岛（竹島）と表記されますね”

http://twitaddons.com/pic/detail.php?id=8268237


関連情報（4）

• 現在（2011年10月10日）の Google Map 検索結果を確認すると「Dokdo-ri」となっている

竹島（韓国名:独島）内の地名が消えている

Dokdo-ri（独島）という表記になっている Dokdo-ri（独島）という表記になっている

リアンクールロック（Liancourt Rocks）という表記になっている（1952年以来、日本と韓国が領有権を争っている。【語源】1849年にこの島を発見して欧米に紹介したフランス捕鯨船の名称Liancourtから。）

リアンクールロック（Liancourt Rocks）という表記になっている（1952年以来、日本と韓国が領有権を争っている。【語源】1849年にこの島を発見して欧米に紹介したフランス捕鯨船の名称Liancourtから。）


事象分析

• 関連するオープンソース情報を統合し、評価及び分析

– 2011年7月中旬から8月1日までの間、韓国において、「日本と韓国における領土問題（日本名:竹島、韓国名:独島）の盛り上がりが、これまでにない程大規模なものとなっていった。

– 2011年8月1日、スマートフォンの Google マップにおいて、領土問題の対象（日本名:

竹島、韓国名:独島）が韓国において認められていないものになっていることに対する反感は、異常なものとなった

– 過去に発生した韓国を発信源とする大規模なサイバー攻撃（特に、2009年7月及び2011年3月のDDoS攻撃）を鑑みると、「Google Map に対するDDoS攻撃の発生の可

能性は十分に考えられ、その規模は大となる恐れがある」と評価でき、米国企業である Google はそれを予見できたと考えるのが自然である。

「韓国LG U+ におけるネットワーク障害」は、2011年7月中旬から8月1日までの韓国におけ

る「日本と韓国の間の領土問題」の高まりを起因とし、スマートフォンの地図サービスにおいて「竹島」と表記をしていた Google に対するサイバー攻撃の機運を予見したGoogle 社の対応が、韓国 LG U+ のネットワーク系の障害を与える結果となったと分析できる。

日本でも、韓国における領土問題の高まり時に、国内事業者のインターネットサービスのコンテンツ中に「竹島」が表記されている場合、何かしらのサイバー攻撃を受ける可能性が十分に考えられる

28

2010/2011年9月中国からのサイバー攻撃

トピック 3


• 2007年5月、ロシア系のインターネットユーザによるエストニアに対する大規模サイバー攻撃（DDoS攻撃、メールボム、Web改ざん等）

– 発端は、2007年4月下旬、首都タリンの公園にあった旧ソ連兵士の銅像を撤去したこと

– このサイバー攻撃（ＤＤｏＳ攻撃等）のピークとなった5月9日は

旧ソ連諸国における対独戦勝記念日。つまり、旧ソ連兵士の銅像の撤去により、愛国心を傷つけられたロシア系のインターネットユーザが、強い憤りを感じて、互いに攻撃を呼びかけたものであった。

• 2010年及び2011年9月、中国紅客連盟による日本に対するサイバー攻撃（DDoS攻撃、Web改ざん、不正侵入等）

– 発端は、2010年9月7日尖閣諸島沖での中国船長の逮捕

– 最終的な攻撃日となった9月18日は日本にとっては満州

事変が勃発した日であるが、中国では旧日本軍から侵攻を許してしまったため、「国恥の日」とされ、反日感情と愛国心が高まる時期である。

– 2011年は、満州事変80周年目となり、より一層の盛り上がりが見られた。

2007年エストニア vs 2010/2011年日本


2007年エストニア

4/27（金） 4/28（土）



4/28（土） 4/29（日） 4/30（月）

4/27（金）－4/28（土）



ブロゴスフィアを通じた伝播

攻撃ツールの公開

手動による攻撃攻撃方法


（非配布領域）

（非配布領域）


メール攻撃の呼び掛け

電話攻撃の呼び掛け

可能な限り、このリストを広げてください。5月9日に、ロシアから次の番号に電話して、祝ってあげよう。

5月9日に、祝福メールを出そう！



4/26 （木）

5/9 （水）

5/11 （金）

5/18 （金）

5/23 （水）

通常の攻撃 BotNet の収束

3週間に渡るﾄﾗﾌｨｯｸ過多の収束

サイバー攻撃の増大

大規模サイバー攻撃の開始

（モスクワ時間の深夜）

幾つかの攻撃

典型的な攻撃 - フィッシング

- スパムメール

- Web サイト改竄

- Syn/ICMP フラッド攻撃

- BotNet

（変則的時系列）


2010/2011年日本

• 2010年、中国におけるインターネットユーザーが、日本に対して実施したDDoS攻撃及び小

規模なWeb改ざん攻撃

• この攻撃は、2010年9月の尖閣諸島問題を発端にして、中国のインターネットユーザーの

一部において、9月18日に日本に対するサイバー攻撃を実施する予告があり、多くの中国

のインターネットユーザーがこれに賛同した。

• 攻撃賛同者の多くは、20才前後の若者と見られるが、その年代は、日本に対する偏った認

識と、偏重した愛国心を持っているとされている。

• 予告された攻撃の最終日は、9月18日。

– 中国にとっては「国恥の日」として、旧日本軍から中国の一部領域を占領された日とされており、日

本に対する批判が多くなる時期。


2010/2011年日本

中国红客联盟 • 英語名

– Honke Union of China

• 設立日

– 2000年12月31日

• 中核メンバ

– lion ：連盟の創設者で Web マスター、ネットワーク

セキュリティを担当

– bkbll：連盟の総務を担当

– yaya：連盟の会計兼人事のネットワーク管理を担当

– Redfreedom：米国に対するサイバー攻撃、非常勤の

技術責任者を担当

– NikNanA：連盟の運用及びネットワーク管理担当

• 登録者数

– ピーク時は8万人（約65%は大学生）

• 概要

• 黒客（ヘイカー）／駭客（ハイカー）→ 「ハッカー」

• 紅客（ホンカー） → 「愛国的なハッカー」

• （稀に）博客（ポーカー） → 「ブロガー」

6. 2004年12月解散 7. 2005年 4月再編 8. 2005年日本に対するサイバー攻撃 9. 2010年 8月フィリピンに対するサイバー攻撃 10. 2010年 9月日本に対するサイバー攻撃

1. 1998年 3月インドネシアに対するサイバー攻撃 2. 1999年 3月米国に対するサイバー攻撃 3. 1999年 8月台湾に対するサイバー攻撃 4. 2000年 1月~2月日本に対するサイバー攻撃 5. 2001年 4月米国に対するサイバー攻撃

http://www.cnhonkerarmy.com/

http://www.cnhonkerarmy.com/


（中国红客联盟の経緯）

1985 1990 1995 2000 2005 2010

天安門事件

ユーゴ紛争（中国大使館誤爆）

愛国思想の強い中国人ﾊｯｶｰによる活動

海南島事件（中国空軍ﾊﾟｲﾛｯﾄ行方不明）

日米のｻｲﾄ改ざん

ｺｰﾄﾞﾚｯﾄﾞ出現

尖閣諸島問題

大規模DDoS攻撃

中国における愛国思想教育の強化

中国における科学技術の推進

863计划

“红客”確認

“红客联盟”確認


2010/2011年日本

チャットルーム「中华红客联盟官方」入室状況（2010/9/15 18:00）

• 90后とは、1990年代生まれの若者のこと • 他の年代との違いで揶揄される表現

‒ 70后：仕事熱心！ ‒ 80后：残業拒否！ ‒ 90后：出社拒否！


2010/2011年日本

特に、DDoS ツールや SQLインジェクション等のツールが目立つ。


2010/2011年日本

19:00 - 20:00 初級教育講師：判官、小博 20:00 - 21:00 上級教育講師：本频道、ＯＷ

（初級教育に使う攻撃用ツール）

「はい、私は試してできるようになります。」

「一日かけてリモートコントロールを学びます。」


2010/2011年日本

ただし、今回の「中国红客联盟」は、幾つかのグループに分かれているため、上記の指示は、限定された領域にしか伝わっていない。


2010/2011年日本

攻撃技術実施内容

初心者 DDoS 攻撃用ツールを使用した個別攻撃

経験者ボットネットを使用した DDoS 攻撃

改竄者一斉に侵入確保済みのサイトに改竄ページをアップロード


2010/2011年日本

小雨情人说：2010-09-14 14:31:12 我来这里是为了表达自己的爱国方式（私はこのようにして愛国表現をします）

频道广播：管理员 [China Tz _太子 (行动指挥)]

说：2010-09-15 21:22:48 我们的黑页. 怎么进不去啊（私たちの黒いページ。このようにする。）


2010/2011年日本

公示： 2010-09-13 02:12:22 各大贴吧宣传链接：红客yy宣传简图：http://hiphotos.baidu.com/s_%CB%D5%D1%D4/pic/item /01e1db60a72289b5f73654a0.jpg wow吧：http://tieba.baidu.com/f?kz=887135967 李毅吧：http://tieba.baidu.com/f?kz=887138382 csol吧：http://tieba.baidu.com/f?kz=887138781 红客吧：http://tieba.baidu.com/f?kz=887141773 穿越火线吧：http://tieba.baidu.com/f?kz=887140289 dota吧：http://tieba.baidu.com/f?kz=887140800 114323063 集合 ③群 114323545 临时武器群

近日，中国和日本形势紧张，同样有部分爱国的黑客、红客也蠢蠢欲动，大肆公开宣传对日本发动网络攻击，真正的网络战是没有硝烟的战场，大肆宣传对某某发动网络攻击，只能给别的国家扩充网军或建立网军带来借口，美国为什么炒中国黑客威胁论，原因就是给自己建立强大网军找借口，大家何时见到美国黑客组织大肆宣扬要攻击某某国家，但实际上，他们却通过渗透其它国家的网络系统，达到窃取敏感信息的目的，所以，大肆公开宣传对日本发动网络攻击的组织或个人，只是炒作自己而已，挂个黑页能带国家和人民带来什么利益，只能是形式上的情绪宣泄而已，请大家不要做没有意义的攻击，真正的攻击是使对方网络受到致命的破坏或得到对方存储的敏感信息，任何攻击行动，均是悄无声息的进行，而不是大肆宣扬，也请大家努力学习技术，作为中国人，任何时候你都没有逃避的权利，在日本非法拘捕我国渔民问题上，不是中国好欺负，而是任何国家首先发动战争，都会成为国际反战同盟的敌人，也会给某国以维护世界和平而发兵带来新的借口，也会给人民带来灾难，大家在看看目前中国面临的形势，在中国的版块上早已形成C形包围圈，每次世界大战爆发的根源，都是世界经济重心转到的区域，而今当，很不

• 中国红客联盟ロゴの拡散

• 中国红客联盟メッセージの拡散

http://hiphotos.baidu.com/s_%CB%D5%D1%D4/pic/item

http://tieba.baidu.com/f?kz=887135967







2010/2011年日本

COG信息安全论坛（COG情報セキュリティフォーラム）

• 日時： 2011年9月22日

• 場所：上海浦东干部学院（上海市浦东新区前程路99号）

• 目的：安全なインターネットライフ、技術的な自由、共有、

平等及び連帯の追求。

• 参加者：ハッカーグループリーダ、製造業、ネットセキュリティ

関係者、メディア、学生他

（約350名、うち米国人1名／日本人1名／台湾人3名）

• 注目すべき発言：

http://www.chowngroup.com/

COG信息安全论坛の閉会翌日（9月23日）、中国紅客聯盟の創始者Lion（林勇）が、公式Webサイトおよび自身の微博（中国版Twitter）を通じて、

「10年ぶりに中国紅客聯盟の再編する」と宣言。

http://www.chowngroup.com/

46

2011年日本における標的型攻撃ソニーグループ、三菱重工、衆議院

トピック 4


ソニーグループに対するサイバー攻撃（1）

2010年 2011年

1月 2月 3月 4月 5月

事象

攻撃者

アノニマス

Hotz 氏によるPlaystation3 プロテクト解除

PlayStation3 機能削除

訴訟問題（米国）

Hotz氏による PlayStation 3 改造方法公開

ソニーによる Hotz氏ほか100名に対する法的措置

ソニー技術的措置・警告

ソニーによる法的措置（ドイツ）

ソニーによるPlayStation 3不正ツール

公開サイトの閲覧IPアドレス

開示請求手続き（法的措置）

攻撃宣言

DDoS 攻撃

ｿｰｼｬﾙｴﾝｼﾞﾆｱﾘﾝｸﾞ攻撃

ソニーに対する抗議の扇動

ソニーと Hotz氏の和解ソニー

記者会見

大規模侵害（情報搾取）攻撃


ソニーグループに対するサイバー攻撃（2）

（2011年）6月 7月

ラルズセック

アイダハク（レバノンのハッカー

集団）

その他の攻撃者または特定の難しい主体

ソニー・ミュージック（日本）

ソニー・ピクチャー（日本）

ソニー BMG ベルギー

ソニー BMG オランダ

ソニー・エリクソンカナダソニーヨーロッパソニーBMG ポルトガル

ソニー・オンライン・エンターテイメントアメリカ

ソネット（日本）

ソニータイ

ソニー・ミュージックインドネシア

ソニー・ミュージックギリシャ

ソニー・ピクチャーロシア


三菱重工に対するサイバー攻撃

インターネット

三菱重工メールサーバ

プロキシサーバ

業務管理用コンピュータ

防衛機密用コンピュータ

攻撃者がコントロール可能なコンピュータ（PC）

特定されていない攻撃者

攻撃者がコントロール可能なコンピュータ（サーバ）

⑤ ウィルス感染

⑥ 外部に強制接続

接続されていない

一部に防衛品情報を格納

ウイルスに感染していない

⑦ 外部からリアルタイム操作内部情報を盗み出す

タイプのウイルス

日本航空宇宙工業会*

業務管理用コンピュータ

④ 標的型メール送付

① 標的型メール送付

③ 実際の電子メールメッセージを搾取

② ウィルス感染

*日本航空宇宙工業会: 航空宇宙工業の健全な発展を図り、世界の航空宇宙産業の健全な発展に貢献することを目的とする民間公益団体


衆議院に対するサイバー攻撃


衆議院

議員用PC

攻撃者がコントロール可能なコンピュータ（PC）

特定されていない攻撃者

攻撃者がコントロール可能なコンピュータ（サーバ）

①「トロイの木馬」ウィルス添付の標的型メール

② ウィルス感染

後援会、献金者名簿、帳簿、議会事務資料を保存

メールサーバ

⑤ ID及びパスワード等を搾取

③ ウィルス感染

④ 外部に強制

接続（中国のサービス）

⑥ 「トロイの木馬」ウィルスを設置

⑦ ウィルスが感染拡大

議員用PC

④ 外部に強制接続（中国のサーバ）

⑤ ID及びパスワード等を搾取

⑦ ウィルスが感染拡大

51

サイバー脅威の動向と既存対策の分析

トピック 5


国内のサイバー攻撃の動向変化

2000

主要ｻｲﾄ改ざん（脆弱性悪用）

情報漏洩（Winny/Share、USBﾒﾓﾘ紛失、ﾒｰﾙ誤送信等）

旧来の攻撃（DDoS、ﾏﾙｳｪｱ、ﾊﾟｽﾜｰﾄﾞｸﾗｯｷﾝｸﾞ、ｿｰｼｬﾙｴﾝｼﾞﾆｱﾘﾝｸﾞ、脆弱性悪用等）

巧妙な手法（ﾌｨｼﾝｸﾞ詐欺=ｿｰｼｬﾙｴﾝｼﾞﾆｱﾘﾝｸﾞ+ｻｲﾄ改ざん）

特殊なﾏﾙｳｪｱ（Conficker, Gumbler等）

特殊な攻撃手法（SQLｲﾝｼﾞｪｸｼｮﾝ、DNSｷｬｯｼｭ等）

ｾﾞﾛﾃﾞｲ脆弱性

2005 2010

高度・巧妙・持続的な手法（特殊なﾏﾙｳｪｱ+ｾﾞﾛﾃﾞｲ脆弱性 +高度なｿｰｼｬﾙｴﾝｼﾞﾆｱﾘﾝｸﾞの複雑な組合せ）

大規模化DDoS

ｻｲﾄ改ざん（特殊なﾏﾙｳｪｱ+ｻﾌﾟﾗｲﾁｪｰﾝ悪用）

高度なﾏﾙｳｪｱ（Stuxnet等）


情報の発信／交流の変化

2000


情報漏洩（非意図的）



2005 2010

大規模化DDoS







Webサイト（主にｲﾝﾀｰﾈｯﾄを利用する組織・団体による情報発信／ほぼ交流なし）

ブログ（主にｲﾝﾀｰﾈｯﾄを利用する個人による情報発信／一部交流）

SNS（ｲﾝﾀｰﾈｯﾄを利用する個人及び一部の組織・団体による情報発信／完全交流）

ミニブログ（ｲﾝﾀｰﾈｯﾄ及びｽﾏｰﾄﾌｫﾝを利用する個人及び一部の組織・団体による情報発信／完全交流）


情報発信量＝発信規模 × 発信頻度

組織・団体（ｲﾝﾀｰﾈｯﾄ）

個人と一部の組織・団体（ｲﾝﾀｰﾈｯﾄ）

数日～1週間

数日～1週間

ほぼ毎日



個人と一部の組織・団体（ｲﾝﾀｰﾈｯﾄ）

個人と一部の組織・団体（ｲﾝﾀｰﾈｯﾄ+ｽﾏｰﾄﾌｫﾝ）

Webサイト

Webサイト + ブログ

個人と一部の組織・団体（ｲﾝﾀｰﾈｯﾄ） 1日数回

組織・団体（ｲﾝﾀｰﾈｯﾄ）数日～1週間

ほぼ毎日

数日～1週間

ほぼ毎日

数時間

1日数回

×

×

×

×

＋

＋

＋

＋

＋

＋

＋

＋

＋

＋

=

=

=

=

Webサイト + ブログ + SNS

Webサイト + ブログ + SNS + ミニブログ


国内のサイバー攻撃の動向変化（ここ数年）

2000





2005 2010

大規模化DDoS







ミニブログ（ｲﾝﾀｰﾈｯﾄ及びｽﾏｰﾄﾌｫﾝを利用する個人及び一部の組織・団体による情報発信／完全交流）


既存のセキュリティ対策の無力化

2000



2005 2010

大規模化DDoS



個人情報保護法による規制（経営的対応）

ﾌﾟﾗｲﾊﾞｼｰﾏｰｸ／ISMS 認証取得（経営的対応）






ｴﾝｼﾞﾆｱ対応（現場対応）


現場対応限界⇒ 経営的対応?

既存対策の無力化


セキュリティ対策が後追いになる要因と効果を出さない対策（例）

• 日本においてセキュリティ対策が後追いとなる要因

• 効果を出さない既存対策は、想定脅威が時代遅れ

IT部門は、高いレベル業務ク

オーリティ（品質）が求められ、かつ、それに努力

IT部門における業務のアサイメント、内容、達成レベルが曖昧欧米のIT部門は、日本に比べて

ジョブアサイメント（業務割り振り）とジョブディスクリプション（業務内容）が明確化

発生インシデントへの認識不足と意思决定の機会喪失

インシデントの脅威実情と動向の変化に気付きにくい

適切な対策レベルと適切な意思決定がされない

通常のIT運用インシデントの発生と対応

IT部門経営層

組織

非意図的な情報漏えい

組織

意図的な侵害行為

攻撃者

(-2010) 脅威の変化 (2011-)

発生インシデントへの対応に関する認識と行動

「業務及び運用上の品質の維持」と認識

想定業務や業務範囲外の対応活動を許容

↓ -2010年：現場で対処 2011年-：現場で限界


今後の展開を見積もる上で重要なファクター

• スマートフォン／タブレット端末 – ユーザー（利用者）の急拡大

• 利便性の飛躍的向上（充実したアプリ、興味あるサービスが得やすい等） • （PCに比較して）低コスト

– サービス提供事業者の急拡大（IT業界唯一の成長産業） • 利用（活用）目的の広がり

• ターゲット型サービスの充実化

• 必然的なクラウドサービスの利用促進

• （他のサービス開発に比較して）低コスト

• スマートコミュニティ – スマートグリッド

• 再生可能エネルギー利用促進、（蓄電池を含む）分散電源の管理システム導入等

– スマートハウス／スマートビルディング • ネット型家電の普及、太陽光発電等の利用拡大、電源供給管理システム導入等

– スマートカー • 電気自動車、ネット連動型サービスの普及等

• サイバー攻撃の活性化と対象拡大 – サイバー攻撃賛同者の急激な増加

• 長引く不況により職に付けないITリテラシラーの高い若者

– 攻撃対象に社会インフラ、政府機関及び国防産業が加わる • 産業用制御システム

• 組織内の閉鎖的環境にある重要情報を扱うシステム

59

今後の組織に求められる防衛策

トピック 5


防衛策の「現実的な策定」をするためのポイント

• サイバー空間における脅威を把握すること – 一般メディア等が発信する情報を鵜呑みにしない

– オジリナル・レポーター（Original Report）が発信する情報を追求する

情報量10% を把握


ｵﾘｼﾞﾅﾙ・ﾚﾎﾟｰﾀｰ

メディア企業



双方向のやり取り／信頼関係



• サイバー攻撃を 100%防ぐことは不可能という前提認識を持つこと

– 業務等で活用する ICT（情報通信技術）は、誤用・悪用されることがある。

– セキュリティに関しては、人を信じる「性善説」ではなく、適切な「性悪説」を

管理者

従業員

情報搾取



• ある程度の攻撃の仕組みを理解し、その攻撃経路における適切なセキュリティ対策を実装すること

– サイバー攻撃を「静的な絵」として理解するのではなく、組織全般に渡る＆時間の流れのある「動的ストーリー」として理解することが必要

– 主要な（攻撃）経路ポイントにおけるセキュリティ対策の要否及びレベルの設定には、業務慣習や部署風土も考慮することが必要


④

①

②

③

ｻｰﾊﾞｾｷｭﾘﾃｨ

ｸﾗｲｱﾝﾄｾｷｭﾘﾃｨ

ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ

USBﾒﾓﾘｾｷｭﾘﾃｨ


最近公開したコラム（於デジタル・フォレンジック研究会）（1）

「サイバー脅威の攻撃メカニズムの解明に必要な要件」

年が明けてから、私のところに「最近のサイバー脅威に関するリサーチや講演等」の依頼が急増している。この背景には、まだ記憶に新しい昨年2011年のソニーグループ、三菱重工、そして立法機関や行政機関に対するサイバー攻撃による影響があると思われるが、例年と大きく異なるのは、その依頼の多くが経営トップによる積極的な実情理解を目的としていることが多くなってきていることである。その依頼に応える形で、できる限り分かりやすい図解等を用いながらお伝えしているところであるが、本コラムにおいては、別角度からの質問として目立つ「サイバー攻撃のメカニズムの解明に必要な要件」について、お伝えしたいと思う。

私は、2007年頃から、サイバー攻撃のメカニズムの解明に注力している。解明がされるまでには、時として非常に根気のいる断片的情報の統合・整理をひたすら繰り返すリサーチや分析作業を伴うことが多い。また、全ての情報が不特定多数のインターネットユーザがアクセス可能なインターネット空間に存在しているわけではなく、特定のコミュニティ内のみで流通している情報の中に有意義なものが多く存在している。

そのため、そのようなコミュニティに積極的に参加する或いは特定領域における情報流通のハブとなっている人物（主に、国外のエキスパート等）との継続的なやり取りや連携活動を密にしていかなければならない。特に、最近のSNS（ソーシャルネットワークサービス）の発展に伴い、特定領域に限定されるクローズな情報が急増しているため、「情報流通のハブとなっている人物」からより大きな信頼を得なければ、有意義な情報を得ることが難しくなってきている。


このような状況変化の中で、私及び私のチーム（CDI-CIRT）での実務経験に基づいた、最近のサイバー脅威の攻撃メカニズムを解明するための必要要件をお伝えすると、次のようになる。

• サイバー脅威に関する情報を取り扱うチームをつくり、メンバー間で連携して活動すること。もし単独で行う場合は、高い信頼と経験を持つパートナーを作り、連携して活動すること。

単独で情報収集活動を行い続けるとなると当初の目的意識等が希薄になる傾向がある。特に、攻撃者コミュニティに対するリサーチでは「ミイラ取りがミイラになる」可能性を否定できない。倫理観と目的意識を維持できる環境を作ることが重要となる。

• コンピュータシステム全般（特にソフトウェア、ハードウェア）、インターネット及び内部ネットワーク、各レイヤー層におけるセキュリティ対策、脆弱性、不正プログラム（マルウェア等）、コンピュータ・フォレンジック等に関する技術的及び管理的な基本的知識を把握し、かつ使いこなせるリテラシーを保持すること。

現実的に、一人の人間が、それぞれの領域の専門性をすべて持つことは非常に難しい。そのため、独力によるサーバの構築及び運用、通信パケットの流れを意識して直接コントロールする設定変更等、さらにはプログラム開発等の実際の経験を得ておくことにより、不明な点があったとしても「何を調べればよいか」の見通しをつけることができるようになれば必要なことができるようになる。



• 他の分野及び領域（外交、安全保障、危機管理、政策、経済、法制度、エネルギー業界、業界、営業、総務、開発、計測制御等）における実情理解及びその動向把握をしておくこと。

それぞれの分野及び領域において、情報通信技術やインターネットの深い関わりや高い依存関係が発生しているものがある。その領域に深く関与している関係者が、自らの情報セキュリティリテラシーにより気づいたところで、セキュリティ対策を講じることがあるが、手遅れな状況になっている場面に出会うことがある。さらに、そのような段階から情報セキュリティの専門家がその領域の実情を理解する時間も必要になるため、攻撃のメカニズムを把握するまでに相当な時間がかかってしまう。

• オープンソースインテリジェンスに関する基本的知識を習得すること。

インターネット検索で "Open Source Intelligence" で探すと、参考となる情報や文献を数多く見つけることができる。本コラムで仔細にお伝えすることは難しいが、一般的なインターネット検索技術のほかに、さまざまな公知情報の収集及び分析手法が存在していることに気づくはずである。

• 有識者コミュニティに積極的に参加し、連携活動に関与すること。

限られたメンバー或いはチームによる情報の収集及び分析では、一定の限界がある。それを補完する目的で、有識者コミュニティに積極的に参加することが必要になる。しかしながら、有識者コミュニティに参加したからといって、すぐに有益な情報が入ってくるわけではない。共通課題に関する解決活動をして初めて、付随的な形で情報を得ることが多い。場合によっては、互いに Win-Win の関係になることが求められる場合がある。



• 攻撃者が残す様々な断片的情報を追求し、その意図や全体像を把握する努力をする。

攻撃者は不完全な人間である。ヒューマンエラーや不完全な成果物（不正コード等）を残してしまう場合がある。それを的確に理解するには、高いレベルの技術や経験が必要になることがあるが、公知になっているSNSやブログ等の情報の中から見出す或いは十分な確度をもって推測することができる場合がある。

最後に、私がこのコラムにおいて、このような攻撃メカニズムの解明に必要となる実務上の要件をお伝えした理由は、最近の攻撃者コミュニティ内で流通している「攻撃対象に関する情報」の精度が、我々の想像する以上のレベルであり、攻撃側の情報収集能力や応用能力は日を追うごとに向上している状況があるからである。

一方、誠に残念ながら、防御側の方は、やっと経営層レベルが実情理解の努力を始めたところであり、最近のサイバー脅威に対して適切に意思決定するために必要な知見や理解が得られているとは言い難い。また、攻撃側をよく把握し、そして、彼らが動的に変化させる攻撃に対して、適切に対峙していこうとする姿勢がほとんど見られない。

攻防両側の現状を鑑みる限り、攻撃側にとって優位な状況がまだまだ続くと言わざるを得ない。私は、この状況をできるだけ早く改善したいと強く思っている。本コラムの内容が何かしらの形で読者の皆様にお役に立てるものになれば大変幸いである。

以上



本資料に関する連絡先

名和利男（Toshio NAWA）サイバーディフェンス研究所

情報分析部／CDI-CIRT

Email: [email protected]

SNS: about.me/nawa

Tel: 03-3424-8700

Office: www.cyberdefense.jp

Response Team: www.cirt.jp

mailto:[email protected]

http://about.me/nawa



http://www.cyberdefense.jp/

http://www.cirt.jp/

最新のサイバー攻撃の発生メカニズムと、対策のあるべき姿 - NICT · 2016....

Documents

Transcript of 最新のサイバー攻撃の発生メカニズムと、対策のあるべき姿 - NICT · 2016....