めまぐるしく変わる脅威に「早期警戒」で対処を――JPCERT/CCが活動報告

JPCERTコーディネーションセンターは11月7日、2005年第3四半期の活動報告を行った。

[ITmedia]

　JPCERTコーディネーションセンター（JPCERT/CC）は11月7日、2005年第3四半期の活動報告を行った。

　JPCERT/CCでは、システムへの不正侵入やDoSといったセキュリティインシデントに関する報告を受け付け、対応の支援を行ってきたほか、インターネット上に分散配置したセンサーの情報を元にトラフィックの動向を探る「インターネット定点観測システム」の運用やソフトウェア／ハードウェアに存在する脆弱性情報のハンドリングなどの活動を行っている。

　報告によると、2005年7月から9月の間にJPCERT/CCが受け付けたセキュリティインシデント報告件数は、対前期比21.8％増の667件。中でもSSHサービス（TCP 22番ポート）を狙った攻撃が230件と、大幅に増加しているという。

　それも「単なるスキャンで終わるのではなく、パスワードを総当りで試すブルートフォースアタックを用いた攻撃が増加している。脆弱なパスワード設定だとサーバが乗っ取られ、フィッシング詐欺に悪用されるケースもある」（JPCERT/CC運用グループマネージャ、伊藤求氏）。特筆すべきは、ブルートフォースアタックの辞書に、明らかに「日本語」が含まれるようになった点だ。

　直接的な関係性までは明らかになっていないが、フィッシングの報告件数も高水準を維持しているという。報告件数は、第2四半期の78件と比べてほぼ横ばいの75件。伊藤氏は、あくまで「印象」レベルとしながらも、SSHサービスを悪用されてサーバを乗っ取られ、フィッシング詐欺に用いられているケースがかなり多いのではないかと指摘した。

　一方、第3四半期に公表された脆弱性情報は全部で31件。うち、国内からの届出に基づくものが14件を占めた。脆弱性の内容を見ると、国内からの届出ではクロスサイトスクリプティング（XSS）やクロスサイトリクエストフォージェリ（XSRF）といったWebアプリケーションの脆弱性が、米CERT/CCや英NISCCから報告を受けたものではバックアップソフトをはじめとするシステム管理製品に関するものが複数あったという。

重要インフラに早期の情報提供

　JPCERT/CCは2005年9月より、新たに「早期警戒グループ」を立ち上げ、重要インフラの運営者に対する「早期警戒情報」の提供に取り組み始めた。

　これは、JPCERT/CCが収集しているトラフィックモニタリングの情報や脆弱性情報などを集約し、分析した上で、必要に応じて「脅威度の高い未公開の脆弱性情報に関する既知の回避策」や「大規模な範囲を対象とした攻撃予告に対する注意喚起、対策情報」などを提供する活動だ。今後は、インシデントの発生をシミュレートする「サイバーセキュリティ演習」の支援も行っていく。

　早期警戒情報の提供対象は、政府の情報セキュリティ基本問題委員会が示す「重要インフラ」に含まれる情報通信や金融、航空、鉄道、物流などの運営に携わる事業者だ。こうした分野に早い段階で情報を提供することで迅速に対応を取り、インシデント発生を未然に防いでいくことが目的である。

　「社会的に重要なインフラの情報システムへの依存度は高まっている。こうした重要インフラへの攻撃や非意図的なミスが引き起こすインシデントのインパクトは大きい」（JPCERT/CC経営企画室業務統括、早期警戒グループマネージャの伊藤友里恵氏）。

　背景には、インターネット上の脅威が出現するスピードがどんどん速くなってきている現実もある。たとえば、脆弱性情報が公開されてから攻撃コードが登場するまでの期間は明らかに短くなっているし、IRCを通じて操られるボットの手口が知られるにつれ、P2P型で直接操るような新しいボットが登場するようになった。

　「攻撃側のテクニックはどんどん、めまぐるしく変わっている。脅威の動向を分析し、次にどのような対策が必要かという情報を提供していきたい」（伊藤氏）。