7月も引き続き、日本のWebサイトでは改ざんや不正ログインが続々と発生。加えてApache Struts2に重大な脆弱性が発見され、さらに多数の攻撃が起こりました。
7月も前月に続き、日本のWebサイトで改ざんや不正ログインが続々と発生しました。加えてApache Struts2に重大かつ悪用の容易な脆弱性が発見され、さらに多数の攻撃がありました。またBINDにも脆弱性が発見され、サーバ管理者はアップデート作業で大変な思いをしていたようです。
一方、国内ではQ&Aサイトの「Yahoo!知恵袋」でゼロデイ脆弱性が見つかって公開されたほか、海外でもアップルの開発者向けサイトのゼロデイ脆弱性を突いた不正アクセスが発生し、侵入者が名乗り出るといった事件が起こりました。これを機に、脆弱性公開の適切な方法や時期について考察する人が多かったようです。
また、継続的にお知らせしている遠隔操作ウイルス事件のその後ですが、いまだに直接的な証拠が公開されていません。一方で、取材目的で不正アクセスを行ったマスコミは起訴猶予処分となり、タイムライン(TL)では不満がくすぶる結果となりました。
7月16日、広く利用されているWebアプリケーションフレームワーク「Apache Struts2」に、外部から細工を施したHTTPリクエストを投げつけることによって任意のコマンドが実行できてしまう脆弱性(S2-016)が報告されました。
Apache Struts2については、2013年に入ってからすでにいくつかの脆弱性が発見されていました。加えて、今回報告された攻撃方法が非常に簡単なこともあり、世界中で多数のStruts 2を使用しているサイトが攻撃を受け、大騒ぎとなっています。
TLでは攻撃を心配する声に加え、「Struts 1を使ってるのでひとまず安心」というツイートや、簡単に攻撃が再現できてしまって驚いているツイート、さらには「どうしてStruts 2を使ってしまったのか」と後悔するツイートなど、さまざまな反応がありました。
7月18日には、Naverまとめなどで使われるNaverアカウントのサーバが攻撃を受け、169万2496件にも及ぶ大規模なアカウント情報の流出が起きました。LINEは「模倣犯の可能性があるので、詳細の公開は差し控える」と表明したそうですが、環境や時期から見てS2-016の脆弱性を突かれたのではないかと疑うツイートもありました(その後、不正アクセスの犯人が特定され、詐取された情報は削除されたとの報告がありましたが、手段は明らかになっていません)。
またほぼ同時期、大手ISP、OCNのIDサーバに不正アクセスがあり、IDに使われるメールアドレスと暗号化されたパスワードなど、最大約400万件が流出した可能性があるそうです。こちらも詳細は明らかになっていませんが、やはりS2-016の脆弱性への攻撃が疑われていました。
この数カ月続いていた、パスワードの使い回しを狙ったリスト型攻撃がまだ収まらないところにこのような攻撃が発生し、Webサイト管理者にとっては気の休まらない日々が続いているようです。
Apache Struts 2に深刻な脆弱性、国内でも攻撃を観測
http://www.atmarkit.co.jp/ait/articles/1307/18/news136.html
新たな不正アクセス判明、「OCN ID」によるログイン機能を一時停止
http://www.atmarkit.co.jp/ait/articles/1307/26/news131.html
NAVERのアカウント情報データベースに外部からの不正アクセス
http://www.atmarkit.co.jp/ait/articles/1307/19/news130.html
7月23日の早朝、Q&Aサイト「Yahoo! 知恵袋」に任意のJavaScriptを埋め込むことができるクロスサイトスクリプティング(XSS)の脆弱性を見つけたユーザーが、運営側に知らせず、質問形式で脆弱性の情報を公開しました。それも、質問本文に、アラートがポップアップされるスクリプトを埋め込んだ形での公表です。この脆弱性は同日の昼過ぎには修正されていたようです。
指摘された脆弱性は、知恵袋の質問を表示するプログラム本体ではなく、「あなたが最近見たQ&A」を表示する部分のJavaScriptに問題(DOM based XSS脆弱性)があったことが原因です。この結果、他の質問ページを見るたびにアラートがポップアップすることになっていたようです。
中には、「脆弱性の指摘と知らずにたまたまその質問を見てしまったところ、アラートが表示されてびっくりした」というツイートをいくつか見かけました。また、この件を模倣して質問を投稿したユーザーもいたようです。
まだ誰も知らず、修正方法も提示されていない脆弱性(「ゼロデイ脆弱性」ともいわれます)の情報は、どのタイミングでどのように公開すべきかについては、これまでもたびたび世界中で議論されてきました。
日本では、まずJPCERT/CCやIPAなどのしかるべき機関に届け出て、その機関が仲介してベンダが脆弱性を修正した後に、「こんな脆弱性がありました、修正方法はこうです」と公表するのが一般的な流れになっています。ですが、脆弱性の内容によってはすぐに修正されないこともあり、ベンダに早めの対応を促すため、発見者がゼロデイを公開することもあります。
今回の脆弱性に関しては、それを放置しているYahoo!の姿勢を非難するユーザーも見かけましたが、指摘された脆弱性がそれほど単純ではなかったためか、セキュリティクラスタでは、ゼロデイを公開してしまったことやその方法を問題視していたユーザーが多かったように思います。
また同日、トルコ人のセキュリティ研究者がAppleの開発者向けサイト「Developer Center」に侵入し、声明とともに盗んだデータを公開するという事件が起きました。この事件についても、修正前に脆弱性を公表すること、研究のためとはいえ脆弱性を突いて情報を入手することの是非について(日本で行うと不正アクセス禁止法違反に該当しますね)議論となっていました。
ようやく捜査が終了して裁判が始まりそうな遠隔操作ウイルス事件。7月10日には証拠の開示が行われました。ここで容疑者が犯人であることを証明できる確実な証拠が出てくるものと期待されていましたが、残念ながらそのような直接的な証拠は現れなかったようです。
先に報道された「猫に首輪を付ける映像」や「容疑者の携帯電話から復元された首輪を付けた猫の写真」といった画像も、実は存在しなかった模様です。このことから、「もしかすると、本当に証拠がないのではないか」といぶかしむツイートがありました。
一方、6月に共同通信と朝日新聞の記者が遠隔操作ウイルス事件の真犯人のメールサーバにアクセスしたことが話題になりましたが、こちらの件は起訴猶予処分となりました。これには、「遠隔操作ウイルス事件の容疑者が直接的な証拠もないのに長期に渡って拘束されているのにも関わらず、不正アクセス禁止法を明らかに犯している記者はどうして起訴されないのか」「取材目的なら不正アクセスし放題なのか」「不正アクセスしたいなら、マスコミに就職すればいいのか」という厳しい意見がほとんどでした。
なおこの時期、朝日新聞の記者を装って、国会議員にメールを送りつける標的型攻撃が発生しました。これに対し朝日新聞はコメントを発表しましたが、中には「自分がやる不正アクセスは正当化するが、自分をかたるウイルス送付は許さないのか」と皮肉る声もありました。
この他にも7月のセキュリティクラスタでは以下のようなことが話題となりました。8月はいったいどのようなことがTLを賑わせるのか、楽しみですね。
山本洋介山
猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。
Copyright © ITmedia, Inc. All Rights Reserved.