今回は、2009年10月から12月に発生したインシデントに関する報告とともに、10月以降に再発しているGumblarに関する事件、暗号化通信に広く利用されているSSLおよびTLSのプロトコルの脆弱性の解説、P2Pファイル共有ネットワークとその調査技術について取り上げます。■はじめに このレポートは、インターネットの安定運用のためにIIJ自身が取得した一般情報、インシデントの観測情報、サービスに関連する情報、協力関係にある企業や団体から得た情報を元に、IIJが対応したインシデントについてまとめたものです。今回のレポートで対象とする2009年10月から12月までの期間では、IDとパスワードを盗み取るマルウェアGumblarが再発し、関連するWebサイトの改ざんが数多く報告されています。また、脆弱性に関しては、Webブラウザに関連するものが相次いで発見され、暗号化通信に広く利用されているSSLおよびTLSのプロトコルにも問題が見つかっています。このほか、DNS情報を不正に操作した乗っ取り事件や、天災に便乗したSEOポイズニング事件などが発生しています。このように、インターネットでは依然として多くのインシデントが発生する状況が続いています。■インシデントサマリー ここでは、2009年10月から12月までの期間にIIJが取り扱ったインシデントと、その対応を示します。この期間に取り扱ったインシデントの分布を図-1に示します。―脆弱性 今回対象とした期間では、マイクロソフト社のInternetExplorer、アドビシステムズ社のAdobe AcrobatとAdobe Reader、Adobe Flash PlayerとAdobe AIR、Adobe Shockwave Player、オラクル社のJavaRuntime Environment(JRE)等、Webブラウザに関係する脆弱性が数多く発見され、対策されています。これらの脆弱性のうちいくつかは、対策が公開される前に悪用されました。 また、時刻同期に利用されるNTPサーバやDNSサーバのBIND9等、広く利用されているサーバにも脆弱性が発見され、対策されています。加えて、多くのサービスで暗号化通信のために利用されている、SSLおよびTLSプロトコルに脆弱性が発見されました。この脆弱性に関しては「1.4.2 SSLおよびTLSのrenegotiation機能の脆弱性を利用した中間者攻撃」を参照してください。―動静情報 IIJは、国際情勢や時事に関連する各種動静情報にも注意を払っています。今回対象とした期間では、11月のオバマ米国大統領や12月の習近平中国国家副主席といった外国要人の来日の動きに注目しましたが、関連する攻撃等は検出されませんでした。―歴史 この期間には、過去に歴史的背景によるDDoS攻撃やホームページの改ざん事件が発生したことがありました。このため、各種の動静情報に注意を払いましたが、IIJの設備やIIJのお客様のネットワーク上では直接関連する攻撃は検出されませんでした。―セキュリティ事件 動静情報に結びつかない突発的なインシデントとしては、アップル社のiPhoneに感染するマルウェアが発見されました。また、SNS として広く利用されている twitterのDNS情報が不正に操作され、別のWebサイトに誘導される事件が発生しました。検索エンジンなどの検索結果で詐欺的ソフトウェア(スケアウェア)に誘導される事件も継続して起こっています。 加えて、10月初旬以降、4月に大規模な活動が認められたGumblarの活動再開が確認されました。この件に関する詳細は、「1.4.1 Gumblar の再流行」を参照してください。―その他 直接セキュリティに関係しないインシデントとしては、10月に、利用者の多いインターネット掲示板が複数のISPに対して大規模なアクセス制限を行い、一般ユーザの利用に支障が生じる等の影響が発生しました。 また、この期間においては、ユーザが利用するアプリケーション、特にWebブラウザのプラグインの脆弱性を利用した攻撃が数多く発生していたため、アプリケーションやプラグインのバージョンを確認するためのツールがリリースされています(IPA MyJVNバージョンチェッカやFirefox PluginChecker等)。さらに、マイクロソフト社の新しいオペレーティングシステム Windows7が発売され、セキュリティ機能の向上の観点からも注目されました。※同記事はインターネットイニシアティブ(IIJ)の発行する「Internet Infrastructure Review」の転載記事である執筆者:齋藤 衛(さいとう まもる)IIJ サービス事業統括本部 セキュリティ情報統括部 部長。法人向けセキュリティサービス開発等に従事の後、2001年よりIIJグループの緊急対応チームIIJ-SECTの代表として活動し、CSIRTの国際団体であるFIRSTに加盟。Telecom-ISAC Japan、日本シーサート協議会、日本セキュリティオペレーション事業者協議会等、複数の団体の運営委員を務める。IIJ-SECTの活動は、国内外の関係組織との連携活動を評価され、平成21年度情報化月間記念式典にて、「経済産業省商務情報政策局長表彰(情報セキュリティ促進部門)」を受賞した。土屋 博英( 1.2 インシデントサマリ)土屋 博英 鈴木 博志( 1.3 インシデントサーベイ)鈴木 博志( 1.4.1 Gumblarの再流行)須賀 祐治( 1.4.2 SSLおよびTLS renegotiation機能の脆弱性を利用した中間者攻撃)齋藤 衛 永尾 禎啓 (1.4.3 P2Pファイル共有ネットワークの調査技術)IIJ サービス事業統括本部 セキュリティ情報統括部
ブルーコート、マルウェア配信ネットワークを分析
