2014年「サイバーセキュリティ」10大ニュース

西方望

December 30, 2014 10:00
by 西方望

2014年も残すところあと僅かとなった。現実世界では、ウクライナ危機、エボラ出血熱、マレーシア航空機370便行方不明・17便撃墜、韓国セウォル号沈没事故、イスラム国やボコ・ハラムやタリバンなどに関連する多数のテロなど痛ましい事件が多かった。日本でも広島の土砂災害や御嶽山噴火、集団的自衛権を巡る議論、中国船によるサンゴ集団密漁、食品への農薬や虫の混入など「セキュリティ」について考えるべき事件が数多く起きた年だが、サイバーセキュリティにおいても実に様々な事態が発生した。そこで今回は、今年のサイバーセキュリティニュースから10件を振り返ってみたい。

●Heartbleed、Shellshock、POODLE……脆弱性の「当たり年」

「10大ニュース」に何を選出するかについては様々な観点があるが、これが今年最大級のニュースの1つであることに異を唱えるセキュリティ関係者はいないだろう。4月に明らかになったオープンソースの暗号化ソフトウェアOpenSSLの脆弱性「Heartbleed」は、暗号化された内容が漏洩してしまう可能性があるという、きわめて重大なものだ。OpenSSLは広く使われているため、その影響は甚大だった。また、アメリカ国土安全保障局(NSA)がこの脆弱性の存在を知りながら公にせず利用し、情報収集をしていたとも言われる。

9月に判明した「Shellshock」は、LinuxなどUNIX系のOSのコマンド実行環境(シェル)であるbashの機能を悪用して、外部からコマンドを実行させられるという、危険きわまりない脆弱性だった。管理者がbashの存在を意識しないまま、CGIスクリプトなどがbashで実行される環境が多いため、これも大きな騒ぎとなった。この2つの脆弱性は、それぞれを「10大ニュース」の1つと数えてもいいレベルの衝撃だった。

これらに比べればやや格は落ちる(というのも妙な言い方だが)が、暗号化通信プロトコルSSLバージョン3.0の「POODLE」脆弱性もかなりのインパクトだった。これも暗号化された内容の一部が漏洩する可能性があるというものだ。ただ、SSL 3.0はすでに古いプロトコルであり、HeartbleedやShellshockに比べれば(あくまで「比べれば」の話)影響は小さかった。

余談だが、いずれの脆弱性もキャッチーな名前が付けられたのも特徴だ。Heartbleedはロゴまで作成された。危険性を世間に知らしめるために、こういった「演出」も今後重要になっていくのかもしれない。

●ソニー・ピクチャーズからの大量情報流出 サイバー戦争に発展の可能性も

個人的には、今年は上記脆弱性も含めセキュリティ事件が2011年以来の「当たり年」だったと思うが、その2011年の大事件の1つがソニーグループからの1億件を超える個人情報流出だった。そして奇しくも今年もまたソニーに関わる大事件が起きた。

11月、ソニー・ピクチャーズの社内コンピューターから大量の情報が盗まれ、未公開のものを含む映画が共有サイトにアップロードされたり、予算、個人情報、社内メールなどセンシティブな情報が次々と暴露されるなどの事態となった。犯人は100TBのデータを盗んだと主張、さらに今後も公開を続けるとしている。ソニー・ピクチャーズが受けた被害の全貌はまだ定かではないが、現時点でもまず間違いなく、企業に対するハッキングの被害のうち、明らかになっているものとしては過去最大だろう。

折しもソニー・ピクチャーズは金正恩暗殺を扱ったコメディ映画「ザ・インタビュー」の公開を巡って、北朝鮮からの非難を受けていたため、北朝鮮の関与が疑われた。これを裏付けるように、事件から2週間ほどが過ぎてから犯人は「ザ・インタビュー」(タイトルを名指しはしていない)の公開を取り止めるよう要求、ソニー・ピクチャーズはアジア地域での公開を見送った。しかし犯人はさらにアメリカの映画館への攻撃を示唆、ソニー・ピクチャーズは全世界で公開中止とした。

このためソニーが「テロリストに屈した」という批判が噴出、アメリカのオバマ大統領も公開を取りやめたことは誤りであると述べた。また、FBIが犯人を北朝鮮と断定したことから、北朝鮮への対抗措置を検討していることも明らかにした。北朝鮮はこれに対し関与を否定し猛反発、対決姿勢を示している。

アメリカがどのような行動をとるかはまだ不明だが、もし報復としてサイバー攻撃を行うのであれば北朝鮮の応戦は必至で、史上初のおおっぴらなサイバー戦争となる可能性もある(密かなものなら多数あったと思われる)。軍事力の行使という可能性は低いだろうが、テロ支援国家への再指定はすでに検討中と明らかにしているし、経済制裁の拡大などは十分あり得る。いずれの場合でも、サイバー攻撃に対する報復としてはこれも(明らかになっている範囲で)史上初となるだろう。本稿冒頭で「現実世界では」として事件を挙げたが、もはや現実世界とサイバー世界を区別する意味はあまりないのかもしれない。

●アメリカが中国を「サイバースパイ実行犯」として非難、訴追に及ぶ

5月、アメリカ司法省は中国人民解放軍の軍人5人を訴追した。身柄の確保もしていない他国の軍人を訴えること自体は過去にもあったが、その容疑がサイバースパイ活動というのは今回が初めてだろう。訴状によると中国人民解放軍61398部隊に属する軍人5名が、USスティールやウェスチングハウスを含む6つの企業・団体から、スピアフィッシングなどの手口で経営上の重要な情報を盗み取ったという。

企業に対する経済スパイが国家の指示・支援の元で行われているという疑いは以前からあった。特に中国については、この61398部隊が2013年にセキュリティ企業Mandiant社(現FireEye傘下)のレポートで名指しされたことにより広く知られるようになった。アメリカ政府もこれを受けてたびたび中国のサイバースパイを非難する発言をしていたが、個人名まで挙げて訴追するというのはかなり思い切った行動だ。

しかし被告の身柄が引き渡される可能性は皆無であり、単なるパフォーマンスという側面が強い訴訟だ。実際に中国政府がサイバースパイ活動を行っているとしても(ほぼ間違いなく行っているが)、抑止効果は低いのではないか。それよりも、ソニー・ピクチャーズの件もそうだが、アメリカ政府はサイバー攻撃・サイバースパイへの対決姿勢を示すことが重要と考えているのだろう。

●国際協力によるマルウェア・闇マーケットなどの調査・摘発

6月、FBIやユーロポール(欧州刑事警察機構)、日本の警察庁を含む各国の法執行機関と、マイクロソフトやセキュリティ企業数社が協力し、悪名高いマルウェア「Gameover Zeus」が構築するボットネットを停止させる作戦を実行したことが明らかになった。Gameover Zeusは日本をはじめ各国で大きな被害を出しているマルウェアだ。

また11月には、匿名ネットワーク「Tor」上で運営される違法物品やサービスを販売するサイト(ダークマーケット)に対する大規模な摘発作戦が、FBIやアメリカ政府の多数の組織、ユーロポールや欧州16ヵ国の法執行機関の協力の下行われた。

この他にも、民間のセキュリティ企業の共同作戦により、長期にわたるサイバースパイ活動(やはり中国からと見られている)が行われていたことが明らかになるなど、さまざまな形の国際協力による調査や摘発が行われた。むろんこういった協力は以前からあったが、今年はその活動が非常に目立った年だったと言えるだろう。今後も是非協力してネットを少しでも安全な場所にしてほしいものだ。

●POSマルウェアの脅威が続く 今年もまた大量の情報流出が発生

当サイトでも取り上げているとおり、今年は昨年に引き続きPOSマルウェアによる大きな被害が出た。昨年アメリカの小売チェーンTargetから4000万件のクレジットカード情報、7000万件の個人情報が盗まれた事件は、POS端末に感染してシステムから情報を抜き取るマルウェアによるものだった。

そして今年9月、アメリカのホームセンターHome Depotから、Targetを上回る5600万件のクレジットカード情報が流出した可能性があることが判明。やはりPOSマルウェアによるものと思われる。今のところ日本ではPOSマルウェアによる大きな被害はないようだが、POSマルウェアは進化を続けており、日本本格上陸は時間の問題かもしれない。

●ランサムウェアが広がりを見せる 日本での蔓延も目前か

日本本格上陸は時間の問題、といえば、ランサムウェアも懸念されるところだ。POSマルウェア同様日本では大きな被害がまだ出ていないためあまり話題にならなかったが、海外ではランサムウェアが猛威を振るった年だった。

ランサム(身代金)ウェアとは、ハードディスク上などのデータを暗号化し、ユーザーに利用できなくさせてしまうマルウェアだ。そして暗号化を解く対価として金銭を要求する。ランサムウェア自体は以前から珍しいものではないが、近年はスマートフォンをターゲットにしたり、Bitcoinによる支払いを求めたりと進化を続けている。そしてついに、日本語対応したものも確認されるようになった。おそらく来年は、日本でも被害が続出するのではないだろうか。

●Windows XPサポート終了 危険なまま多数残るも大きな事件は発生せず?

ある意味今年最大のセキュリティニュースといえるのが、4月の「Windows XP」サポート終了だろう。Windows XPのセキュリティ更新は行われないこととなり(ただし5月のIE脆弱性に対しては特例でパッチが配付された)、ネットに接続するのは非常に危険な状態となっている。しかし調査にもよるが、PCの2割程度がまだXPであると見られているのだ。

だが、今のところXPを狙ったと見られる大きな攻撃は報告されていないようだ。とはいえ、これはXPが安全であることを意味するわけでないのはもちろんだ。XPを使い続けるようなセキュリティに無頓着なユーザーは、攻撃されたりマルウェアに感染しても気づかない、ということのようにも思える。もしかしたら過去最大規模のボットネットが、XPにより構築されているのかもしれない。

●DNSに対する各種攻撃が多発 DDoSへの利用から乗っ取りまで

インターネットの根幹をなすシステムの1つであるDNSは、以前からさまざまな攻撃を受けてきたが、今年はさまざまな問題が一挙に噴出した感がある。DNSサーバー自体に対する攻撃としては「DNS水責め」攻撃が多く発生、またオープンリゾルバーの応答を利用してDDoSを行うDNSリフレクションも相変わらず見られる。

そしてDNSキャッシュサーバーを狙った攻撃として2008年に話題となったカミンスキー・アタックを発展させた、委任インジェクション、移転インジェクションなど、DNSの仕組み自体に関わる攻撃手法も明らかになった。のみならず、レジストリ、レジストラへの攻撃によって、ドメイン登録情報を書き換えてサイトを乗っ取ったと見られる事件まで発生してしまった。

●新たな国家規模のマルウェア「Regin」 NSAやGCHQが情報収集に利用か

2010年の「Stuxnet」以来、国家がマルウェアを作成して情報収集や攻撃に利用していることは、もはや公然の秘密と言えるだろう。11月に明らかにされた「Regin」も、国家規模の組織が作成したと見られる高度で洗練されたマルウェアだ。Reginは主にロシアや中東で観測されたが、スノーデン情報などからNSAが情報収集に使用し、イギリス政府通信本部(GCHQ)がベルギーの通信企業に仕込んだものと報じられた。

むろんこういったマルウェアを作成・利用しているのはアメリカだけではあるまい。ウクライナ危機や、香港の民主化運動を巡ってもさまざまなサイバー攻撃が報告されている。アメリカ、イスラエル、中国、ロシアなどに限らず、政府が関与したマルウェアや各種の攻撃は、今後ますます増えていくだろう。

このように、2014年は実に多くのセキュリティ事件があった。特にサイバーエスピオナージや大規模攻撃に関する事件、そして重大な脆弱性が目立った年だったといえるだろう。来年はもう少し穏やかな年であってほしいものだ。

ところで、注意深い方なら「10大ニュース」と言いながら9件しか挙げていないことに気づいたかもしれない。今年の重要なセキュリティニュースはまだまだ多数ある。Bitcoinを巡るトラブル、女優のヌード写真などの流出事件、Apple PayやCurrentCといったモバイル決済のアメリカでの本格始動、iOSの新手のマルウェアや攻撃手法、FinFisherなど政府が使用するスパイウェア製品。日本ローカルの話題でも、ベネッセからの個人情報流出事件、サイバーセキュリティ基本法の成立、昨年から引き続きのパスワードリスト攻撃・ネットバンキングのパスワード窃取など。残り1つのニュースは読者の皆さんが選んでいただきたい。それに、本稿執筆時点で2014年はまだ10日残っている。上記すべてを吹き飛ばすような大事件が、これから起きないとは限らないのだ。

0003193-001

ハッカーの系譜⑧ノーラン・ブッシュネル (1/8) 「シリコンバレー文化」を創った男の半生

September 29, 2016 12:00

by 牧野武文

シリコンバレーは「未来をつくる世界の中心」だが、その黎明期には「エレクトロニクスのハリウッド」と呼ばれることもあった。映画の都ハリウッドのように自由で、才能さえあればだれでも成功できるアメリカンドリームに満ち満ちているという意味だ。 ビング・クロスビーもエンジェルだった それだけでなく、ハリウッド映…