年金情報流出 標的型メール攻撃 サイバー攻撃 サイバーセキュリティー 東京オリンピック

年金情報流出 標的型メール攻撃 サイバー攻撃　

年金情報125万件流出か
　2015年6月日、日本年金機構は、職員のパソコンに外部からウイルスメールによる不正アクセスがあり、国民年金や厚生年金などの加入者と受給者の個人情報が外部に流出したと発表した。
　機構によると、流出したのは沖縄事務センターと和歌山事務センター、記録突合センターの個人情報で、基礎年金番号、氏名、生年月日の３情報が約１１６万７０００件、基礎年金番号、氏名、生年月日、住所の４情報が約５万２０００件、基礎年金番号と氏名の２情報が約３万１０００件、合計約１２５万件だとしている。
相談を受けた警視庁は不正指令電磁的記録（ウイルス）供用容疑などにあたる疑いがあるとみて捜査を始めた。
絵に画いたような“標的型メール攻撃”である。
業務連絡メールを装って、標的者を信用させ、不正は添付ファイルや偽装URLを標的者に送りつけて、標的者に添付ファイル開かせたり、不正サイトにアクセスさせたりして、標的者のコンピューターをマルウェアに感染させ、情報を盗みとる“サイバー攻撃”であろう。
“攻撃者”は実に巧みに、偽装して標的者を信用させる。
　今回の最初の攻撃は、日本年金機構九州ブロック本部（福岡）の外部窓口に送られてきた「厚生年金基金制度の見直し（試案）に関する意見」という表題のメールだった。
厚生年金基金制度とつながりが深い「企業年金連絡協議会」（企年協）の関係者を装い、厚生労働省の審議会の関係組織がまとめた政策の方向性について厚労省に意見を提出したとして、ファイル共有サービスのＵＲＬがメールに記載されていた。
このファイル共有サービスのファイルを閲覧しようとしてダウンロードしてマルウェアに感染した。
　さらに、「給付研究委員会オープンセミナーのご案内」「厚生年金徴収関係研修資料」「【医療費通知】」が表題のメールも次に送られてきた。　「給付研究委員会」のメールでは、企年協と大学が共同で実施した企業年金アンケートに触れ、「報告会と意見交換会を下記の通り実施いたします」「今後の企業年金の方向性を考えるうえでも、大いに参考になると思います」としている。「医療費通知」のメールの差出人名は「健康保険組合運営事務局」となっていたという。
　これらの３種類のメールには、添付ファイルがついており、URLが記載されているものもあったとしている。
　結果、九州ブロック本部（福岡）の３台と東京本部・人事管理部の２４台のあわせて２７台のパソコンがマルウェアに感染、このうち、九州ブロック本部の２台、人事管理部の２台が外部に対して不信な大量の通信をしていたことが確認されている。年金情報の流出と思われる。
“攻撃者”は“標的者”を信用させるために、いきなりマルウェアに汚染させたメールを送りつけず、普通の業務メールを送りつけ何回かやりとりをして“標的者”を信用させた上で、マルウェアに汚染させた添付ファイルを送りつける“やりとり型”もある。
　ある企業が、サイバー攻撃の“訓練”で、部内の“飲み会”の連絡を装って、“訓練用偽装メール”を配信したところ、半分以上が添付ファイルを開いたという。
訃報メールに偽装されているケースもあったという。
　とにかく、“攻撃者”は、あらゆる知恵を絞って、標的者を信用させる。
　官庁や企業、組織内で、“サイバー攻撃”訓練を日ごろから実施して、一人一人の職員の意識を高めていても、“攻撃者”は、わずかな“隙”をついてくる。１人でもマルウェアに感染すると、その組織全体のシステムにまたたく間に感染が広がり、情報が盗まれたり、システムが破壊されたりする。１００％マルウェアの侵入を阻止するのは不可能だろう。
また、窓口業務や営業セクションは、メールアドレスを公開せざるを得ない場合が多い。筆者のメールアドレスを公開しているので、1日５０通近いメールが世界中から舞い込む。その内、数通はウイルスに汚染されている懸念があるとしてブロックされている。とにかく添付ファイルやリンクを開く時は、最深の注意は不可欠。
　サイバー攻撃に対する一人一人の対応は勿論重要だが、人間系の対応だけではどうしてもエラーが起きる懸念がある。次の手段になるのは、システムのサイバー・セキュリティ対策である。

甘かったサイバー・セキュリティ対策
　日本年金機構の年金情報（個人情報）は、基幹システム（社会保険オンラインシステム）のサーバーに格納されている。各部局では、日常業務上の必要な情報を基幹システムから記録媒体にダウロードして持ち出す。基幹システムへのアクセスは厳重に管理されているだろう。アクセス権限を持つ担当者が、基幹システムのサーバーにアクセスして、各部局で必要な情報を記録媒体（CD-ROM）にダウンロードし、その情報を情報系システム（共用ファイルサーバー）にアップロードする。
情報系サーバーは、職員のパソコンとLANでつながっていて、年金に関する問い合わせなどの対応をする際にアクセスして情報を入手する。
あまりにもサイバー・セキュリティ管理が杜撰だったのは、個人が使用するコンピューターの大量の個人の年金情報をダウンロードしていた点だ。業務を効率よく、円滑に進めるのが目的だと思われるが、サーバーから個人情報をダウンロードしていた。確かに問い合わせがあるごとに1件、1件、サーバー（情報系システム）にアクセスして情報を入手するのが煩雑であり、時間もかかるかもしれない。しかし、そこに落とし穴がある。
日本年金機構では、権限を与えられた職員が、サーバー（情報系システム）に格納されている情報をそれぞれが業務で使用するパソコンにダウンロードして保存することが認められている。サーバー（情報系システム）や職員のパソコンにファイルを移す時には、ファイルにパスワードをかける内規があるが、今回流出した約１２５万件のうち、約５５万件にはパスワードがかかっていなかった。内規を守っていなかったのは非難されて当然である。
しかし、たとえファイルにパスワードをかけてサーバーの情報を各職員の使用するパソコンに保存しておいたところで、“攻撃者”はあらゆる手を使ってパスワードを“破って”侵入してくる可能がある。
問題は、最もサイバー攻撃にさらされ易いインターネットで外部につながっている各職員のパソコンに大量の年金情報が置かれていたことである。職員のパソコンがマルウェアに汚染されると、パソコンにストレージされている情報は、“攻撃者”に筒抜けになる。
また、“攻撃者”が乗っ取った日本年金機構の職員のパソコンを“遠隔操作”して、“攻撃者”はその職員に“成りすまし”て、LANで接続されている他の職員にパソコンに、次々に侵入したり、サーバー（情報系システム）にも侵入し格納されている年金情報を盗みとることも可能である。
日本年金機構は、情報系システムについては、“攻撃者”の侵入を許し、いくつかのファイルが漏洩したが、年金情報（個人情報）は漏洩していないとしている。しかし、実際の被害はどうだったのか不明の点もあり、今後の調査がまたれる。
一方、基幹システムは、情報系サーバーや職員のパソコンとは物理的には接続されているが、設定がなされていないので、「事実上」接続されていないといえるので、今回のサイバー攻撃の難は免れた。
インターネットに接続されたパソコンは、常に、“攻撃者”からの脅威にさらされていることを忘れてはならない。
＊これまでに報道では、サーバー（情報系システム）やその上位にある基幹システム（社会保険オンラインシステム）のサーバーにまで侵入していたかどうかは明らかでない。今後の調査を待ちたい。　

重要情報をストレージするサーバーのセキュリティ対策の重要性
　 “攻撃者”は、“標的者”のパソコンにマルウェア（悪意のあるソフトウエア）に感染させ、感染させた“標的者”のパソコンを外部から自由に操作し、“足がかり”にして、“標的者”とLANで接続されている他の職員のパソコンに次々と侵入し、その組織全体のネットワーク・システムの情報を入手していく。そして、重要な情報が格納されているサーバーにたどり着き、侵入して、重要情報を盗みとる。
日本年金機構の場合は、マルウェアに汚染されたメールは、公開されている「調達情報」のメールアドレスとされているので、最初にマルウェアに感染したのはカスタマー対応のセクションのPCではないかもしれない。感染したパソコンを“踏み台”にして次々に組織内のPCに侵入していったのかもしれない。今後の調査が待たれる。
（“マルウェア”の章を参照）

セキュリティ対策にはフェールセーフの発想が必須
　塩崎厚労相は、衆議院厚生労働委員会の集中審議で、内規で定められたパスワードの設定が行われていなかったことについて、初歩的なミスであり、関係者の厳正な処分が必要だという認識を示した。勿論、個人情報の杜撰な管理をした関係者の責は問われてしかるべきだ。しかし、個人の責だけが問われて、日本年金機構全体のセキュリティ対策の甘さが問われないとしたら、如何なものか。問題は関係者が、パスワードをかけていたかどうかだけではない。
　あらゆる事故対策を考える上で、重大な事故に至らないようするために、“フェールセーフ”の視点を取り入れることが常識になっている。
　人間はどんなに注意しても、ミスや勘違いはどうしても発生する。まして“サイバー攻撃”の場合は、“攻撃者”は実に巧みに偽装してくる。“うっかり”ミスは完全には防げないだろう。
　サイバー・セキュリティのポイントは、たとえある個人のパソコンへの侵入を許しても、LANでつながっている他のパソコンの二次感染を防ぐファイヤウオールを構築し阻止する、これが破られても重要な情報が格納されているサーバーへの侵入は阻止する、また異常なトラフィックを監視し、“サイバー攻撃”を受けた場合にいち早く危険を察知し対策を実施する、こうした情報システム全体の強靭化が求められていることを忘れてはならない。

ボットとゾンビPC、攻撃指令サーバー
　ボットとは、コンピューターウイルスの一種で、感染したコンピューターを、ネットワーク(インターネット)を通じて外部から操ることができる“悪意のある”プログラムである。
ボットに感染したコンピューターは、外部からの指示を待ち、与えられた指示に従って処理を実行する。この動作が、ロボットに似ているところから、ボットと呼ばれている。
　ボットと呼ばれるウイルスに感染することで攻撃者に乗っ取られ、遠隔操作が可能な状態となっているパソコンをゾンビPC（ゾンビコンピューター）と呼ぶ。用いられるウイルスはバックグラウンドで起動するため、視覚的に捉えにくく、一般ユーザーは感染を知らず放置したままになるケースが多い。
　ゾンビPCに攻撃指令を行うサーバーを、“攻撃指令サーバー”（C&Cサーバー 、command and control server）と呼ぶ
マルウェアに感染させ、外部から侵入して乗っ取ったゾンビPCを制御したり命令を出したりする役割を担うサーバーである。
　“攻撃者”は、攻撃元を割り出しにくくする目的で、各地に“攻撃者”とは直接、無関係な第三者のサーバーを“攻撃指令サーバー”として使用する。“攻撃指令サーバー”は何層にも積み重ねて、巧みに偽装されている場合が多い。
　今回のケースは、日本国内の海運会社のサーバーに流出した年金情報が格納されていたとされているが、このサーバーが“攻撃指令サーバー”に利用された可能性が強い。実はこの海運会社のサーバーも、“攻撃者”からサーバー攻撃を知らないうちに受けて、ボットに感染し、日本年金機構への“攻撃指令サーバー”の役割を果たしていたのだろう。多くの場合、そのサーバーの管理者は気が付かない。これもまた絵に画いたような“ボット”攻撃だ。
また真の“攻撃者”のサーバーは、さらに何層もたどらないと見つけられないだろう。
こうした“攻撃指令サーバー”は、世界各国の無数のサーバーが使用されているといわれ、グローバルなネットワーク社会の抱える深刻な問題である。
（ボット、ゾンビPC、攻撃指令サーバーの章を参照）

サイバー攻撃　人材不足に危機感　2020年東京オリンピック・パラリンピックの備えは？
サイバー攻撃　正念場は２０２０年東京オリンピック・パラリンピック開催　狙われる重要インフラ
“進化”するサイバー攻撃　マルウェア　～標的型攻撃　リスト型攻撃　DoS攻撃/DDoS攻撃～　「サイバーセキュリティ立国」の脅威
伊勢志摩サミット　サイバー攻撃　2016年サミットは格好の標的に　テロの主戦場は“サイバー空間”


なぜサイバー攻撃をするのか？
　初期の“サイバー攻撃”は、いわゆる“愉快犯”だった。自らの行った攻撃で、社会が混乱するのを“楽しむ”のが目的だった。
次に経済的な動機が加わった。IDやパスワードを盗みクレジットカードや銀行カードの悪用やインタネットバンキングでの不正送金が急増した。
　３つ目は、“スパイ・諜報”目的である。
　政府機関や企業の機密情報を入手する“スパイ”活動は増加する一方である。
　また国家が関与する“諜報”活動もたびたび報道される。
４つ目は、主義、主張を表明する“示威行動”である。世界各地で政府機関や大手企業のウエッブサイトが次々と書き換えたり、サーバーをハングアップさせてインターネット・サービスをダウンさせる事件が頻発している。
サイバー攻撃激増、２５６億件
独立行政法人情報通信研究機構（ＮＩＣＴ）の調査で、日本の政府機関や企業などに向けられたサイバー攻撃関連と見られる通信は、平成２６年に約２５６億６千万件あったことが公表されている。過去最高だった２５年の約１２８億８千万件から倍増した。サイバー攻撃が激しさを増していることを示した。


出典　共同通信　2015年2月17日

　ＮＩＣＴは、企業や大学に対するサイバー攻撃の通信を直接検知するセンサーと、政府機関に対する攻撃通信を間接的に検知するセンサーの計約２４万個を使い解析。調査をしている。
　発信元のＩＰアドレス（ネット上の住所に相当）は、中国が約４割で最も多く、韓国、ロシア、米国が上位を占めた。
またNICTでは、サイバー攻撃の観測情報をリアルタイムでWeb で公開している。“nicter” と呼ばれる大規模ダークネット観測網で収集している観測情報（ダークネットトラフィック）の情報で、サイバー空間で発生する様々な情報セキュリティ上の脅威を迅速に観測・分析し、対策を検討するための複合的なシステムだ。サイバー攻撃やマルウェア感染の大局的な傾向をリアルタイムにとらえることができるという。


Nicter　観測情報　Atras　2015年6月4日　午前10時30分


Nicter観測情報　国別ホスト数　2015年6月3日分集計

Nicter 公開URL

政府機関を狙ったサイバー攻撃
　政府の情報セキュリティ政策会議は２０１４年７月１０日、関係閣僚会議を開き、サイバー攻撃の実態や対策に関する初めての年次報告を決定した。それによると日本の政府機関を狙った２０１３年度のサイバー攻撃は約５０８万件で、前年度（約１０８万件）比で約５倍に急増したとしている。なんと６秒間に１回、なんらかの攻撃を受けていたとしている。
　政府機関情報セキュリティ横断監視・即応調整チーム（GSOC）は各省庁に検知センサーを設置して、正常なアクセス・通信とは認められなかった件数をまとめている。
ウイルスをメールに添付し、標的の官庁に送りつける「標的型メール攻撃」に加え、１３年度は、狙われた官庁が頻繁に利用する外部のサイトに不正プログラムを仕掛ける「水飲み場型攻撃」の被害が増えていることも指摘している。


出典　我が国の情報セキュリティ戦略　内閣官房情報セキュリティセンター

攻撃対象の拡大、被害の深刻化
　情報漏洩の被害が、単に経済的な損失だけでなく、企業イメージのダメージや政治的なダメージ、信頼感の喪失など極めて広範囲に及ぶ。また、攻撃対象が政府機関だけでなく、企業、団体、教育機関など次々と拡大している。とりわけ電力や通信、放送、交通などの重要インフラに対する攻撃の危険が増している。
攻撃手法の“進化”
　世界各国で次々と“進化”した“攻撃手法や巧妙な攻撃手法が次々と登場し、対応が追い付けないのが深刻な問題となっている。
「２０１０年に３０００万程度であったマルウェア（不正プログラム）の数は現在、約３億と１０倍にふくれあがり、２０２０年には４０億ものマルウェア（不正プログラム）が氾濫すると想定されている。」（２０２０年に向けたNTTの取り組み　鵜浦博夫NTT代表取締役社長　読売ICTフォーラム２０１５）。

サイバー攻撃のグローバル化
　高度情報化社会においてグローバルなネットワーク・サービスは不可欠のインフラ基盤となっており、その“恩恵”を世界中の人々が受けている。しかし、それは、同時にグローバルなサイバー攻撃にさらされているということと同じことである。サイバー攻撃に“国境”はない。
　警察庁によれば、不正プログラムの接続先は、９７％が海外で、国内はわずか３％、サイバー攻撃はほとんど海外から行われているとしている。（警察庁　２０１４年２月）

“マルウェア”の進化と“攻撃”手法の多様化
　サイバー攻撃で、ここ数年、問題を深刻化しているは、次々に登場する“新種”の進化した“マルウェア”である。この“マルウェア”を標的者のコンピューターに感染させる“標的型攻撃（標的型メール攻撃）”や“水飲み場攻撃”が頻発している。“リスト型攻撃”も登場してきた。また新たな“攻撃手法”として、世界各地から“攻撃”してくる“DoS攻撃/DDoS攻撃”も深刻な問題となっている。
とりわけDDoS攻撃は、巧妙に仕組まれた大規模で執拗な攻撃で、完全に防御するのはかなり難しいと言われている。

“マルウェア[Malware]　（“悪意のある”ソフトウエア）
　コンピュータウイルス、ワーム、スパイウェアなどの「悪意のある」ソフトウェア。「mal-」という接頭語は「悪の」という意味がある。
遠隔地のコンピュータに侵入したり攻撃したりするソフトウェアや、コンピュータウイルスのようにコンピュータに侵入して他のコンピュータへの感染活動や破壊活動を行ったり、情報を外部に漏洩させたりするなど不正かつ有害な動作を行う意図で作成された有害なソフトウェアのことを言う。
最近の“サイバー攻撃”は、このマルウエアを使用して“攻撃”してくるが、マルウェアは世界各国で次々と“進化”した“新種”が登場し、対応が追い付けないのが深刻な問題となっている。
「２０１０年に３０００万程度であったマルウェアの数は現在、約３億と１０倍にふくれあがり、２０２０年には４０億ものマルウェアが氾濫すると想定されている。」（２０２０年に向けたNTTの取り組み　鵜浦博夫NTT代表取締役社長　読売ICTフォーラム２０１５）

＊　マルウェアの種類

▼ウイルス
他のプログラムに寄生して、そのプログラムの動作を妨げたり、ユーザの意図に反する、有害な作用を及ぼすためのプログラムで、感染機能や自己拡散機能を持つ。
▼ワーム
独立のファイルで、他のプログラムの動作を妨げたり、ユーザの意図に反する、有害な作用を及ぼすためのプログラムで、感染機能や自己拡散機能を持つ。
▼トロイの木馬
ユーザの意図に反し、攻撃者の意図する動作を侵入先のコンピュータで秘密裏に行うプログラム
▼スパイウェア
感染したパソコンの内部情報を外部に勝手に送信する。
▼キーロガー
ユーザのキーボード操作をそのまま外部に送信する。スパイウェアの一種。
▼バックドア
攻撃者が侵入するためのネットワーク上の裏口を開ける。　
▼ボット
攻撃者からの指令により、他のコンピュータやネットワークへの攻撃や、サーバーからのファイルの盗み出しなど有害な動作を行うプログラム。
DDoS攻撃に使われる。

標的型攻撃
　標的型攻撃とは、特定の政府機関や企業などを“標的”にして、複数の攻撃手法を組み合わせ、執拗かつ継続的に行われる高度なサイバー攻撃のことをいう。
　攻撃者は、標的をあらかじめ決めて、標的にした政府機関や企業などの組織の構成、業務内容、社員・職員の情報、内部のLAN環境等について事前に調べ上げたて“周到”な準備をする。


＊標的型メール攻撃
　攻撃は、次のような段階を踏んで行われる。
①　攻撃者はマルウェア（ウイルス）を忍ばせた攻撃メールを標的者に送る。標的者に不信感を持たないように業務関連連絡メールに偽装する。
マルウェアの感染させる手法は主に２種類ある。
（１）マルウェアを添付ファイルに仕掛け、標的者が添付ファイルを開くと、標的者のパソコンが感染する。
（２）メール本文や添付ファイルにURLを記載し、攻撃者のサイトに誘導して標的者がサイト内のファイルを開くと、標的者のパソコンが感染する。
標的者が不信感を持たないように、何度か“業務連絡”を装ったメールのやりとしをした後に、マルウェアを忍ばせた攻撃メールを送り込む「やりとり型」も登場している。

②　マルウェアに感染させて、標的者のコンピューターを外部の指令サーバーから自由に“遠隔操作”できるようにする。

③　攻撃者は、感染させたコンピューターを足がかりに、標的にした組織内のシステムを内偵し、脆弱性を探索して、マルウェア（ウイルス）を標的にした組織内の他のコンピューターに拡散させたり、アカウント情報の盗みとったり、システムを破壊したり、攻撃を繰り返して次々に標的にした組織のシステムの内部に侵入する。

④　標的にした組織の重要情報が保存されているサーバーに侵入し、機密情報を盗みとる。

⑤　攻撃者は、システムに侵入した痕跡を消去し、撤収する。攻撃の“証拠”を残さないようにする。

　最初に送りつける標的型攻撃メールは、標的者が不信感を抱かないように巧妙に偽装され、社会的な事件・事故情報、官公庁など信頼できる組織からの連絡、関心の高い情報や話題、組織内の連絡メールなどを装っている。中には訃報メールを騙ったケースもあったという報告がされている。
マルウェアは、添付ファイルに忍びこませて、標的者が添付ファイルを開くと感染するとタイプがほとんどである。URLを記載して攻撃者のサイトに誘導するタイプもある。最近は、ショートカットに見せかけたファイルにマルウェアを忍び込ませるタイプも登場し、さらに手法は巧みになっている。
こうした「標的型メール攻撃」は、この1年間で５倍に急増したという。
政府機関や大手企業だけでなく、セキュリティ対策の甘い中小企業を狙うものも多くなった。

＊水飲み場型攻撃
　公園の水飲み場のように、不特定多数の人が集まり利用する場所にウイルスをしかけ感染させる“サイバー攻撃”。
　特定の個人を狙う標的型攻撃と比べて対象範囲は広いが、“水飲み場”に来る人しか狙わないため、攻撃対象を絞りやすいという。
　　アフリカの草原では、乾季になると動物が水を飲める場所が限られる。ライオンなどの肉食動物は、この水飲み場に来る動物を狙って待ち伏せをする。これと似ているため、水飲み場攻撃と呼ばれている。
　狙いをつけた政府機関や企業などの職員などが、頻繁にアクセスするウエッブサイトに狙いを付け、攻撃者がマルウェアを仕掛けて、標的者がそのウエッブサイトにアクセスすると、マルウェアが自動的にダウンロードされる。こうした手法を、ドライブ・バイ・ダウンロードという。
たとえばドメインの最後が go.jp の場合だけ反応するようにしておくと政府関係者のパソコンだけに感染させるといったことが可能になる。
　標的にした組織以外の人が閲覧しても感染しないので、攻撃者によってマルウェアが仕掛けられても、そのウエッブサイトの管理者は気が付かない場合が多い。
発見されにくい“サイバー攻撃”と言われている。
　水飲み場型攻撃には、“ゼロデイ（０-ｄａｙ）攻撃”を組み合わせて攻撃する。“ゼロデイ（０-ｄａｙ）”とは、コンピューターソフトの開発元が把握していない未知の弱点（脆弱性）で、対策を講じるまでの日数がない（０ｄａｙ）という意味が語源である。
　標的したウエッブサイトにマルウェアを忍び込ませるにはこうした“ゼロデイ（０-ｄａｙ）攻撃”が使用される。
　インターネットエクスプローラやAdobe Acrobaｔなどの世界中で多数のユーザーが使用するソフトウェアは、その脆弱性が“攻撃者”から常に狙われている。ソフトウエアの開発元は、頻繁にアップツーデートの連絡をユーザーに出し、脆弱性の解消をして、攻撃から防御しているのだ。
水飲み場攻撃に狙われるのは政府機関や大手企業などが多く、被害がここ数年、増えていることが確認されている。


（出典　我が国のサイバーセキュリティ政策に関する現状と今後　内閣官房セキュリティセンター　NICS）

リスト型攻撃
　パスワードリスト攻撃、アカウントリスト攻撃とも呼ばれ、悪意を持つ攻撃者が、何らかの手法によりあらかじめ入手してリスト化したID・パスワードを利用してWebサイトにアクセスを試み、利用者のアカウントで不正にログインする攻撃である。一般の利用者は同じID・パスワードの組み合わせを複数のサイトに登録用する傾向が強いという点を突いた攻撃で、こうしたリスト攻撃の成功率は高くなっているという。
　リスト攻撃で、国内の大手ポータルサイト、オンラインショッピングサイトなどが次々に攻撃を受け、サイト利用者のアカウントを用いた不正なログインが発生する被害が多発している。
　リスト攻撃から防御するために、IDやパスワードの管理に関して、情報セキュリティ機関や警察庁から注意喚起がされている。

ウエッブサイト改ざん
　世界各国の政府機関や公共団体、大手企業のウエッブサイトが改ざんされるというサイバー攻撃が多発している。サイバー攻撃では、最も“古典的”な手法だが、幅広い分野のウエッブサイトに被害が及んでいることから、社会的な影響が大きく深刻な問題となっている。

　ウエッブサイト改ざんの攻撃手法としては、次の３種類がある。
（１） 管理用アカウントの乗っ取りによる改ざん
標的者の組織のパソコンに不正に侵入するなとして、ウエッブサーバーにアクセス可能な管理用アカウントの情報を盗みとり、ウエッブサーバーに入り込んで、サイト操作を行って改ざんする。正規のウエッブサイトの操作方法により改ざんが行われるため、被害に気づきにくい特徴がある。
（２） FTPパスワードを攻略して改ざん
　簡単に設定されたウエッブサーバーのFTPパスワードをさまざまな手法で攻略してウエッブサーバーに侵入し、サイト操作を行って改ざんする。上記と同様に正規のウエッブサイトの操作方法により改ざんが行われるため、被害に気づきにくい特徴がある。
（３） 脆弱性を突いたによる改ざん
標的のウエッブサーバー上の脆弱性を突くことで、攻撃を実施して入り込み、最終的にウエッブサイトの改ざんを行う

ウエッブサイト改ざんの被害は、攻撃者の目的によって異なる。
単に“愉快犯”の場合には、標的となったウエッブサイト上に“いたずら的”なメッセージが表示されるだけである。最近急増しているのは、攻撃者が政治的、宗教的な主義主張を標的のウエッブサイトに掲載する攻撃である。いずれもウエッブサイトの表示が変わるだけで、閲覧したユーザに直接的な被害はない。
しかし、政府機関や公共機関では、ウエッブサイトを改ざんされ、政治的、宗教的主義主張が、堂々と掲載されたのでは、面目丸つぶれであり、信頼感失墜も甚だしいだろう。また大手企業でいえば、企業イメージへのダメージ計り知れない。
標的となったウエッブサイトにユーザーがアクセスすると、不正サイトに誘導する不正プログラムを忍ばせる攻撃も登場している。ユーザーは知らないうちに攻撃者の準備した他の不正サイトへ自動的に誘導される。不正サイト上にはマルウェアが仕掛けられていて、ユーザーはマルウェアに感染してしまう。
（“マルウェア”の章を参照）


（出典　新たな手口の追加による“ウエッブ改ざん”連鎖の拡大　情報処理推進機構）

不正ソフトウエアのダウンロード誘導
　この数年増加しているのは、マイクロソフトやAdobeの名前を語って、ソフトウエアのアップツーデートを誘い、不正なプログラムをダウンロードさせる手法である。こうしたダウンロードサイトは、巧妙に偽装され、一見、正規のダウンロードサイトと見間違うようにウエッブサイトが構築されている。URLを良く見ると正規のダウンロードサイトとは違うことが分かる。
　また、ユーザーのセキュリティに対する関心を逆手にとって、「あなたのPCは危険にさらされています。無料でスキャン・サービス」といった文言で、巧みにアクセスを誘導してマルウェアを仕掛ける手法もあるという。

DDoS攻撃
　DDoS攻撃は分散型サービス妨害(Distributed Denial of Service、DDoS)の意味。
ここ数年、最も深刻な“サービス妨害攻撃”の手法で、巧妙でかつ高度なサイバー・テクノロジーを駆使して攻撃してくるので防御が難しいといわれている。
遠隔操作ウイルスに感染させた無数のコンピューターに“指令”を出し、一斉に大量のデータや不正なパケットを送信することで、標的となるサーバーのサービスをダウンさせる攻撃（DoS攻撃）の一種。世界各地の脆弱性のあるコンピューターやウイルス対策をしていないコンピューターに、ボット（Bot）と呼ばれる“悪意のある”プログラムを感染させる。感染したコンピューターは“ゾンビPC （zombie PC）”（踏み台）と呼ばれ、攻撃者の指示で処理を実行する。“遠隔操作”一斉攻撃を開始する。
攻撃者は、攻撃元を特定されないように、“攻撃指令サーバー”（C&C Command and Control Server）を別に設け、“ゾンビPC”に“指令”を出して行うDDoS攻撃もあり、攻撃の仕方は巧妙である。
攻撃を実行させるためのツールが、インターネット上のブラックマーケットで出回っている。さらにDDoS攻撃を請け負う“闇業者”も現れている。主に東欧圏やロシアなどに存在するといわれている。
こうした問題は、DDoS攻撃の深刻さを加速している。
DDoS攻撃で送信されてくる情報は、正常なユーザーがアクセスする情報と見分けがつきにくいため、他の不正アクセスと異なり防御は極めて難しいと言われている。

＊　米韓の公的ウェブサイトへのサイバー攻撃
　２００９年７月、米国のホワイトハウス、国防総省、国土安全保障省、財務省など政府機関やニューヨーク証券取引所などの１４サイトがネット上で攻撃を受け、一時接続出来なくなるサイトもあった。韓国でも大統領府や国防省など２１サイトが攻撃され、一時接続に支障が生じた。いずれも多数のコンピューターから大量のデータが送られ、サイトの閲覧が不能になる「DDoS攻撃」（分散型サービス不能）攻撃だった。　
（2009年12月17日　朝日新聞夕刊）

＊　韓国政府機関等40 のウェブサーバに対し、サイバー攻撃（ＤＤｏＳ攻撃）
　２０１１年３月、韓国政府機関等４０のウェブサーバに対し、サイバー攻撃（ＤＤｏＳ攻撃）が行われ、一部のウェブサイトの閲覧にトラブルが発生した。
韓国当局は、捜査の結果、平成21 年７月に発生した米韓サイバー攻撃事案と同一犯（北朝鮮）による犯行と発表した。
韓国当局は、ＩＣＰＯを通じ、攻撃指令サーバとみられる４つのＩＰアドレスについて、日本所在のものだとして、警察庁に捜査協力要請を行った。
警察が攻撃元の捜査を行った結果、３台のコンピュータは攻撃の踏み台となっていた可能性が高いことが判明した。うち２台からは、外部のＩＰアドレスと不審な通信を行う不正プログラムが検出された。
“踏み台”となっていたコンピュータのうち１台は、個人が家庭用に使用していたパーソナル・コンピュータが、何者かに攻撃指令サーバとして仕立てられ、サイバー攻撃を仕掛けたものと見られている。
（出典　「３月の韓国政府機関等に対するサイバー攻撃への対応について」　警察庁）


（出典　ボット対策のしおり　情報処理推進機構）

＊　DDoS攻撃の主な種類

▼　帯域幅消費型攻撃（GET/POSTフラッド、SYNフラッド、UDPフラッドなど）
大量のリクエストを一斉に送信することにより標的になったウェブサーバをオーバーフローさせる攻撃。

▼ ICMPフラッド攻撃（スマーフ攻撃、Pingフラッドなど）
“攻撃指令サーバー”が、標的のIPアドレスに成りすまし、大量のPingリクエストを“踏み台”にした“ゾンビPC”に対して送信する。“ゾンビPC”はPingリクエストに対する応答メッセージを一斉に標的のIPアドレスへ送る。　標的のサーバーは大量の応答メッセージが殺到してハングアップする。

▼DSNフラッド攻撃（DNSアンプ攻撃、DNSリフレクション攻撃など）
　DNSサーバーのキャッシュ機能を悪用して、“踏み台”の“ゾンビPC”と呼ぶ多数のコンピューターから、一斉に大量のデータを標的に送りつけてハングアップさせる攻撃。
攻撃者は、あらかじめキャッシュ機能があるDSNサーバーの大量のデータを送り込んでキャッシュさせる。次に“攻撃指令サーバー”が、標的のIPアドレスに成りすまし、DNSサーバーのキャッシュにある大容量レコードの送信を要求するリクエストを一斉に送信させる。DNSサーバーは応答(大容量データ)が標的のコンピューターに一斉に送信する。標的のコンピュータはこれを処理できずハングアップしてしまう。

＊　ボット（Bot）
　ボットとは、コンピューターウイルスの一種で、感染したコンピューターを、ネットワーク(インターネット)を通じて外部から操ることができる“悪意のある”プログラムである。
ボットに感染したコンピューターは、外部からの指示を待ち、与えられた指示に従って処理を実行する。この動作が、ロボットに似ているところから、ボットと呼ばれている。

＊　ボットネット
　同一の指令サーバーに支配された複数(数百～数千・数万になる場合もある)のボット（コンピューター）は、指令サーバーを中心とするネットワークを組むため、“ボットネット”と呼ばれている。
“ボットネットワーク”が、スパムメールやリクエストを大量送信して、特定サイトへの“DDoS攻撃”に利用されると深刻な脅威となる。

＊　マルウェア感染させる方法
　マルウェアに感染させる方法としては下記の攻撃手法がある。
（１）ウイルスメールの添付ファイルの実行による感染
（２）不正な(ウイルスの埋め込まれた)Webページの閲覧による感染
（３）スパムメールに示されたリンク(URL)のクリックにより不正なサイトに導かれて感染
（４）コンピュータの脆弱性を突く、ネットワークを通じた不正アクセスによる感染
（５）他のウイルスに感染した際に設定されるバックドア(*5)を通じてネットワークから感染
（６）ファイル交換(PtoP)ソフトの利用による感染
（７）IM(インスタントメッセンジャ) サービスの利用による感染

これらのうち、「脆弱性を突いた」手法は、ネットワークに接続しただけで感染してしまう。被害者は、見かけ上何もしていないのに感染することになり、感染に気が付かない場合が多い。対策は、WindowsやWord、Acrobat、メールソフトなどを常に最新のバージョンにアップデートして脆弱性を解消しておくことで、ネットワークから不正なアクセスから防御する。

＊　ゾンビPC
ボットと呼ばれるウイルスに感染することで攻撃者に乗っ取られ、遠隔操作が可能な状態となっているパソコン。ゾンビコンピューターともいわれる。用いられるウイルスはバックグラウンドで起動するため、視覚的に捉えにくく、一般ユーザーは感染を知らず放置したままになるケースが多い。
ゾンビ化したパソコンは、自動的に5000～1万台のネットワークを作り上げ、スパムメールの送信、Webサイトの攻撃、ウイルスの大量配布などを行うほか、個人情報や金融情報などを盗むためのフィッシングサイト構築など、サイバー犯罪の手段として利用される。　
2005年9月時点で、迷惑メールの4～8割がゾンビネットワークから送信されており、ゾンビPCは1日平均1万5000台のペースで増加し全世界で200万台を超えたとされている。英国Sophos社が発表した14年1～3月期の「スパム送信国ワースト12」に日本は初めてランクインしたが(7位)、背景にはゾンビPCが増加している可能性があると見られている。
（出典　知恵蔵miniの解説）

＊　攻撃指令サーバー
　C&Cサーバー （command and control server）
外部から侵入して乗っ取ったコンピュータを利用したサイバー攻撃で、ゾンビPCを制御したり命令を出したりする役割を担うサーバー。
　攻撃者は、攻撃元を割り出しにくくする目的で、無関係な第三者のコンピュータをウイルスに感染させるなどして乗っ取り、に利用することがある。

政府機関等に対する主なサイバー攻撃

○ 2011年8月　三菱重工
三菱重工業の社内サーバやパソコン約80台がマルウェアに感染し、情報が流出した可能性がある。
三菱重工業株式会社がサイバー攻撃を受け、最新鋭の潜水艦やミサイル、原子力プラントを製造している工場等で、約80 台のコンピュータがマルウェアに感染したことが明らかになった。11 月、三菱重工は防衛及び原子力に関する保護すべき情報の流出は認められなかったという調査結果を発表した。

○ 2011年10月～11月　衆議院・参議院
衆議院のコンピュータが外部からのマルウェアに感染していたことが明らかになった。
全議員のＩＤ及びパスワードが流出し、最大15 日間にわたってメールが盗み見られていたおそれがあるとの報告書が公表されたいる。また、11 月には、参議院のコンピュータもマルウェアに感染していたことが明らかになった。

○ 2011年10 月　外務省在外公館
外務省の在外公館の職員が使用するコンピュータ等が、マルウェアに感染していたことが明らかになった。検出されたマルウェアは、外務省のネットワークシステムを標的にした特殊なものであった。

○ 2011年11月　総務省
総務省のパソコン23台がマルウェアに感染し、個人情報、業務上の情報が流出した可能性がある。

○ 2012年5月　原子力安全機構
過去数か月の情報流出の可能性を確認。

○ 2012年6月　政府機関・政党等
　国際ハッカー集団「アノニマス」が、改正著作権法の成立を受けて、日本の政府機関への攻撃を宣言、財務省や国交省関東整備局ウエッブサイトが改ざんされ、裁判所、自民党、民主党、日本音楽著作権協会がアクセス集中により閲覧が困難になった。

○ 2012年9月　政府機関
尖閣列島の国有化などで、中国のハッカー集団が掲示板などで日本政府機関や重要インフラ企業に攻撃を呼びかけた。裁判所や重要インフラ企業のウエッブサイトが改ざんされたり、総務省統計局や政府インターネットテレビにアクセスが集中し、閲覧が困難になった。

○ 2012年10月　大学
GhostShellを名乗るハッカーによる世界各国100大学（日本の5大学を含む）への不正アクセス及びネット上への情報掲載に関する報道

○ 2013年6月　政府機関
日本政府機関等のウェブサイトの改ざんやDDoS攻撃で、ウェブサイトの閲覧障害が発生した。

○ 2013年9月　政府機関
日本政府機関等のウェブサイトの改ざんやDDoS攻撃で、ウェブサイトの閲覧障害が発生した。

○ 2012年12月　JAEA（日本原子力研究開発機構）
JAEA（日本原子力研究開発機構）におけるウイルス感染及び情報流出の可能性に関する報道がされた。

○ 2013年1月　農林水産省
農林水産省のコンピュータが不正プログラムに感染し、平成23年から24年までの間、ＴＰＰ交渉に関係するものを含む内部文書等が外部に流出した可能性があることが、報道された。その後、同年５月には、同省が設置した第三者委員会の中間報告において、24年１月から４月までに５台のパソコンから124点の文書が流出した痕跡が確認された。

○ 2013年4月　宇宙航空研究開発機構（ＪＡＸＡ）
宇宙航空研究開発機構（ＪＡＸＡ）が管理するサーバが不正アクセスを受け、国際宇宙ステーション日本実験棟「きぼう」及び宇宙ステーション補給機「こうのとり」の運用準備に係る技術情報並びに関係者の個人メールアドレス等が流出したことがＪＡＸＡの調査により明らかになった。

○　2013年5月　国土交通省
国土交通省は、北陸地方整備局湯沢砂防事務所に設置している外部委託者用メールサーバーが、外部から不正アクセスを受けたことが判明し、当該メールサーバーが踏み台となり、大量のスパムメールが送信された可能性があると発表。

○ 2013年9月　経済産業省、外務省、財務省、農水省
経済産業省、外務省、財務省、農水省が、サイトに仕掛ける「水飲み場」攻撃を受けた。情報の漏えいは確認されていない。

○ 2013年秋ごろ　政府機関等
特定者がウエッブ閲覧によって感染するゼロディ攻撃（ソフトウエアの脆弱性を突いた攻撃）発覚した。

○ 2014年1月　原子力開発機構
ウイルス感染による情報流出の可能性が発覚した。

（出典　警察庁、NICS、各種報道）

サイバーセキュリティー立国
　２０２０年東京オリンピック・パラリンピックや国際政治の晴れ舞台、２０１６年サミットは、サイバー攻撃の恰好の標的になると思われる。。
攻撃者にとってのデモンストレーション効果は極めて大きい。
“世界最高水準のICT”をキーワードに日本は、今、一斉に動き出している。超高速ブロードバンドやワイヤレスブロードバンド（５G・WiFi）、さらに４K、８Kの高繊細放送も実施して、“世界で最高水準”の「ICT立国”を目指そうとする計画である。２０２０年2020年東京オリンピック・パラリンピックがターゲットだ。
　　こうした中で、“サイバー攻撃”をどう撃退していくのか、日本の最大の課題である。２０１６年サミットは、その“前哨戦”だろう。
　「ICT立国」を掲げるなら「サイバーセキュリティ立国」を同時に掲げなければならいことを忘れてはならない。。





2015年6月2日
Copyright(C) 2015 IMSR




**************************************************
廣谷　　徹
Toru Hiroya
国際メディアサービスシステム研究所
代表
International Media Service System Research Institute
(IMSSR)
President
E-mail thiroya@r03.itscom.net / imssr@a09.itscom.net
URL http://blog.goo.ne.jp/imssr_media_2015
**************************************************