コンピュータウイルス・不正アクセス届出状況および相談受付状況[2013年第3四半期(7月～9月)]：IPA 独立行政法人情報処理推進機構

2-1. 四半期総括

　2013年第3四半期（2013年7月～9月）のコンピュータ不正アクセス届出の総数は61件でした（2013年4月～6月：51件）。そのうち『侵入』の届出が33件（同：35件）、『なりすまし』の届出が15件（同：9件）、『不正プログラムの埋め込み』の届出が0件（同：1件）などでした。

　『侵入』33件のうち、26件は『ウェブ改ざん』に関する届出で、2013年第2四半期と同様にウェブ改ざんに関する届出の件数が顕著でした。月ごとの推移では6月の17件をピークにウェブ改ざんの届出件数は減少しており、急増していたウェブ改ざんの届出は一旦落ち着きました（図2-1参照）。
　また、ウェブ改ざんの被害の原因は、特定の原因に偏ることなく様々な原因が見受けらます（図2-1参照）。そのため、攻撃者は特定の問題があるウェブサイトを探し出して改ざんを行っているのではなく、様々な手口を用いて改ざんを行っていると推測されます。

　ウェブ改ざんによる具体的な被害は、ウェブページに国旗や文章を書き込むような目に見える改ざんの割合は少なく、ドライブ?バイ?ダウンロード攻撃^（*5）によるウイルス感染を目的とした目に見えない改ざんの割合が多い傾向にあります（図2-2参照）。ドライブ?バイ?ダウンロード攻撃により閲覧者のパソコンが感染するウイルスは様々ですが、ウェブサービス（インターネットバンキング、ネットショップ、ウェブメールなど）の認証情報を盗み取るウイルスや偽セキュリティ対策ソフトなど、感染の結果攻撃者が金銭的な利益を得ることが可能になるウイルスに感染させる傾向があると言えます,350-060。
　なお、ドライブ?バイ?ダウンロード攻撃では、閲覧者のパソコンのOSやインストールされているソフトウェアの脆弱性が悪用されるため、それらのアップデートを行うことが一番の対策になります。万が一、改ざんされてしまったウェブページを閲覧してしまっても、ドライブ?バイ?ダウンロード攻撃によるウイルスの感染を防げるように、日ごろからOSやソフトウェアのアップデートを行ってください。

(*5)	ドライブ?バイ,VCPC550?ダウンロード攻撃：ウェブサイトを閲覧した際に、パソコン利用者にそれとは気がつかせずにウイルスをダウンロードさせて感染させる攻撃。

2-2. 被害事例

(i)

不要なsnmp^（*6）サービスを有効状態に設定したために、DoS攻撃の踏み台に悪用された

事例
	本事例では、本来であれば不要であったはずのsnmpサービスを有効にしてしまい、しかもそのコミュニティ名がデフォルトのままになっていました。さらにファイアウォールでsnmpの通信が許可されていたために、DoS攻撃に悪用されてしまいました。snmpのようなUDPサービスは、その特性上、通信の送信元の偽装が容易であり、またTCPに比べて容易に大量の通信を発生させることができるため、DoS攻撃の被害を受けたり、攻撃の踏み台に悪用される可能性があります。　インターネットへサーバーを公開する際には、不要なサービスは無効にして必要最小限の機能だけを有効にして公開しましょう。また、万が一、サービスが有効になっていても、適切にファイアウォールが設定されていれば今回の被害は防げたと考えられます。事前に定めた運用ルールに従い、ファイアウォールでは必要最小限の通信だけを許可するようにしましょう。その他、snmpのコミュニティ名のような認証機能がサービスに用意されている場合には、デフォルトのパスワードを利用するのではなくて、推測されにくい複雑なものを設定しましょう。

事
例

　本事例では、本来であれば不要であったはずのsnmpサービスを有効にしてしまい、しかもそのコミュニティ名がデフォルトのままになっていました。さらにファイアウォールでsnmpの通信が許可されていたために、DoS攻撃に悪用されてしまいました。snmpのようなUDPサービスは、その特性上、通信の送信元の偽装が容易であり、またTCPに比べて容易に大量の通信を発生させることができるため、DoS攻撃の被害を受けたり、攻撃の踏み台に悪用される可能性があります。
　インターネットへサーバーを公開する際には、不要なサービスは無効にして必要最小限の機能だけを有効にして公開しましょう。また、万が一、サービスが有効になっていても、適切にファイアウォールが設定されていれば今回の被害は防げたと考えられます。事前に定めた運用ルールに従い、ファイアウォールでは必要最小限の通信だけを許可するようにしましょう。その他、snmpのコミュニティ名のような認証機能がサービスに用意されている場合には、デフォルトのパスワードを利用するのではなくて、推測されにくい複雑なものを設定しましょう。

(*6)	snmp（Simple Network Management Protocol）：TCP/IPネットワークで、ネットワーク機器やサーバーなど、ネットワークに接続された通信機器をネットワーク経由で監視?制御するためのプロトコル

(ii)

脆弱性が発見されたためアップデート行おうとしたところ、既に当該脆弱性を悪用されサーバーに侵入されていた

事例
	本事例では、アップデート作業を行うためにサーバーを確認したところ、アップデートにより修正される脆弱性が既に悪用されており、攻撃者にサーバーに侵入されていました。本事例では、不正なユーザーアカウント及びファイルは作成されてしまったものの、すぐにサーバーの侵入に気づけたため、それ以上の被害は発生していませんでした,200-001J。なお、今回の事例では、サーバー管理者は脆弱性が発見されてから約1週間後にアップデート作業に取り掛かっていました。　Apache Struts 2に限った話ではありませんが、深刻な脆弱性が新たに発見された場合には、即座にそれらの脆弱性を悪用した攻撃が行われる可能性があります。　サーバー管理者は、自分が管理しているサーバーにインストールされているソフトウェアのバージョンを把握するとともに、それらのソフトウェアの脆弱性情報を常に収集し、万が一、深刻な脆弱性が発見された場合には、早急に解決策や回避策を講じる必要があります。　また、アップデートの検証に時間がかかる場合や、他のアプリケーションとの関係でアップデートが容易に行えない場合も考えられますので、早急なアップデートが困難な場合には、サーバーやネットワーク機器などのログの確認を行い、被害の早期発見?対応が行える運用を行う必要があります。

事
例

　本事例では、アップデート作業を行うためにサーバーを確認したところ、アップデートにより修正される脆弱性が既に悪用されており、攻撃者にサーバーに侵入されていました。本事例では、不正なユーザーアカウント及びファイルは作成されてしまったものの、すぐにサーバーの侵入に気づけたため、それ以上の被害は発生していませんでした,200-001J。なお、今回の事例では、サーバー管理者は脆弱性が発見されてから約1週間後にアップデート作業に取り掛かっていました。

　Apache Struts 2に限った話ではありませんが、深刻な脆弱性が新たに発見された場合には、即座にそれらの脆弱性を悪用した攻撃が行われる可能性があります。
　サーバー管理者は、自分が管理しているサーバーにインストールされているソフトウェアのバージョンを把握するとともに、それらのソフトウェアの脆弱性情報を常に収集し、万が一、深刻な脆弱性が発見された場合には、早急に解決策や回避策を講じる必要があります。
　また、アップデートの検証に時間がかかる場合や、他のアプリケーションとの関係でアップデートが容易に行えない場合も考えられますので、早急なアップデートが困難な場合には、サーバーやネットワーク機器などのログの確認を行い、被害の早期発見?対応が行える運用を行う必要があります。

(*7)	OSコマンドインジェクション：攻撃対象サーバー上で任意のOSコマンドの実行を試みる攻撃

2-3. 届出件数

　2013年第3四半期［7月～9月］の届出件数は合計61件（前四半期比120%）であり、そのうち被害があった件数は55件（前四半期比110%）となりました。

－コンピュータ不正アクセス届出の詳細はを参照して下さい－

IT技術者に向け本格的な全真試験問題集

ktestがいろいろな認定資格について、最新の対応試験対策問題集を提供できる

コンピュータウイルス・不正アクセス届出状況および相談受付状況[2013年第3四半期(7月～9月)]：IPA 独立行政法人情報処理推進機構

2-1. 四半期総括

2-2. 被害事例

2-3. 届出件数

Related Posts

Leave a Reply Cancel reply