セキュリティ問題を引き起こすインシデントの最新実態とは？：セキュリティインシデントに立ち向かう「CSIRT」（1/2 ページ）

情報漏えいやシステム障害といった重大な問題を引き起こすサイバー攻撃などのインシデントはどのような実態にあるのか。IPAやJPCERT/CCによる2014年の調査結果から紐解いてみたい。

[國谷武史，ITmedia]

　企業や組織に不可欠な情報システムには様々なリスクが存在するが、特に情報漏えいやシステム障害などの重大な問題につながりかねないのが「セキュリティインシデント」だ。国内組織を取り巻くセキュリティインシデントの発生状況はどのようなものだろうか。JPCERT コーディネーションセンター（JPCERT/CC）や情報処理推進機構（IPA）が取りまとめた2014年の調査結果を見ていこう。

脆弱性を狙う「スキャン」

　JPCERT/CCが公開している「インシデント報告対応レポート」ではJPCERT/CCが受け付けたり、解決のための調整にあたったセキュリティインシデントの発生状況を3カ月ごとにみることができる。JPCERT/CCはインターネットを利用する組織でのインシデントの認知と対処、インシデントによる被害拡大の抑止を目的に活動しており、国際的に調整や支援が必要となるインシデントでは日本の窓口組織として関係機関との調整活動も行っている。

　まず、2011年以降にJPCERT/CCへ寄せられた報告件数とインシデント件数は、2011年から2013年まで増加し、2014年はやや減少した。一方、調整件数（※）は2013年をピークに、2014年もほぼ同水準となっている（グラフ1参照）。

※「調整件数」はインシデント拡大防止のために、JPCERT/CCがサイト管理者などに対して現状の調査と問題解決のための対応を依頼した件数を指す。

グラフ1：2011〜2014年のインシデント報告対応状況（JPCERT/CC資料より集計）

　また2013年と2014年の月別の状況をみると、2013年では第2四半期から第3四半期にかけて報告件数とインシデント件数が急増し、2014年では第4四半期がピークとなった（グラフ2参照）。

グラフ2：2013年および2014年の月別のインシデント報告対応の状況（同）

　インデントの内訳では、2013年は第2四半期から第3四半期にかけて「スキャン」と「Webサイト改ざん」の報告が目立っている（グラフ3参照）。

　2013年は通期でみてもWebサイトの改ざん被害が多く、特にApache StrutsなどWebシステムに使われるソフトウェアの脆弱性を突いたり、Webサイト管理者のFTPアカウントが悪用されたりする手口が確認された。システムの弱点を探る行為などにあたるインシデントは「スキャン」は分類されており、2013年は「スキャン」が増加した5〜6月の直後にWebサイトの改ざんが増加していることが分かる。

グラフ3：2013年の月別のインシデント件数（同）

　一方、2014年は「スキャン」が第4四半期にかけて急激に増加。「Webサイト改ざん」は第1四半期に増加したものの、それ以降は横ばい傾向で推移している（グラフ4参照）。

グラフ4：2014年の月別のインシデント件数（同）

　「スキャン」が急増した2014年第4四半期は、「ShellShock」と呼ばれるGNU bashの脆弱性が注目を集めた。GNU bashは、NASなどのネットワーク型の組み込み機器で広く利用され、脆弱性を悪用されると、影響を受けるシステムが不正に操作されるなどの恐れがあった。JPCERT/CCは同年12月、QNAPのNAS製品のログイン画面にも使われるTCP 8080番ポートへのスキャンについて注意を呼び掛けている。

　JPCERT/CCによれば、2014年12月上旬に国内外の数百のIPアドレスから「SSHブルートフォース攻撃を受けた」という報告が寄せられ、関係組織などに事実確認を依頼した結果、GNU bashの脆弱性を突いてサーバに不正ファイルが設置され、SSHスキャンを実行していることが疑われる不正なプロセスが報告された。JPCERT/CCでは、同年10月にサーバ管理ソフト「Webmin」がデフォルトで使用する10000/TCPポートへのスキャンについても注意喚起を行っている。

　「スキャン」のインシデントは、脆弱性を抱えたシステムを探索する動きである場合が多い。スキャンによって組織のシステムの弱点が攻撃者に知られると、攻撃者は様々な手口でシステムに対する攻撃を仕掛けてくる。スキャンは脆弱性が発覚した直後だけでなく、その後にも急増することがあり、インシデントに備える上でシステム管理者などが注視すべきポイントの1つとなる。