拍子抜け？台風をよそに比較的平穏な1カ月：セキュリティクラスタまとめのまとめ 2013年9月版

9月は大規模な流出も攻撃も起こらず、世間もTLもおおむね平穏無事に過ぎていきました。9月18日に中国から大規模なサイバー攻撃が行われるとの予告もありましたが、ほぼ影響はなく、2度の三連休は無事に休めた人が多かったようです。

» 2013年10月08日 18時00分公開

[山本洋介山（bogus.jp），＠IT]

　9月は大規模な流出も攻撃も起こらず、世間もTLもおおむね平穏無事に過ぎていきました。9月18日に中国から大規模なサイバー攻撃が行われるとの予告もありましたが、ほぼ影響はなく、2度の三連休は無事に休めた人が多かったようです。その中でタイムライン（TL）を賑わせたのは、8月に不正アクセスを受けたロリポップの件。どうして同社だけが攻撃されてしまったのか、そして第三者がサイトを脆弱性検査することの可否についての議論が盛り上がりました。

大量の改ざんが発生したロリポップ、続く原因究明

　8月末、ロリポップなどの共用レンタルサーバで運用されているWordPressが攻撃を受けて改ざんされ、大きな騒ぎとなりました。9月に入ってもその余波は残り、TLの話題に上っていました。

　特に焦点となったのは書き換えの原因についてです。ロリポップ側は当初、WordPressプラグインの脆弱性が突かれたか、リスト型攻撃によるものとする情報を公開しましたが、果たして本当にそれだけが原因だったのかどうかがしばらく議論となりました。特に、共用レンタルサーバだけが大きな被害に遭っていたことから、原因はWordPressではなくサーバの設定にあるのではないかと、さまざまな人がツイートしました。

　推測の通り、原因はサーバ設定の問題が大きかったようです。サービスを手軽に導入できるようにする「簡単インストール」用に置かれていた未インストール状態のWordPressに不備があった上、サーバのパーミッションが不適切であり、そこに第三者からシンボリックリンクが張られたことが攻撃の原因だと発表されました。

　当初、「自社のサーバに問題はない」と強気の姿勢を見せていたロリポップ運営会社の熊谷社長は、9月9日、改ざんについて連絡した＠Isseki3さんにお詫びする投稿をブログで公開しました。ただ、その文面を読んで「本当に反省しているの？」と疑問を感じた人も多かったようです。

　今回の事件では「シンボリックリンク攻撃」が使われましたが、攻撃者がシンボリックリンクを参照できないようにするにはApacheのFollowSymlinks設定を無効にする必要があります。ロリポップもそのように設定変更を行いました。しかし、シンボリックリンクを無効にしてもまだ穴があるため、完全には防げないことが、以下のように話題になっていました。

　それでも9月は、この数カ月に比べれば大規模な流出事件はありませんでした。しかし9月20日、テレコムスクエアが過去に不正アクセスを受け、海外旅行用に携帯電話やWi-Fiルータをレンタルした顧客、約10万件のクレジットカード情報が盗まれていたことを発表し、話題となりました。残念ながらTLにも、情報が漏れてしまった人がいたようです。

【関連記事】

「ロリポップ」でWeb改ざん、8438件でデータ改ざんや不正ファイル設置

http://www.atmarkit.co.jp/ait/articles/1308/29/news102.html

XSS調査は不正アクセス？　調査者がISPに接続を止められる

　世界の有名サイトで多数の脆弱性を発見し、Googleなどから報奨金を受け取っていることでも有名な@kinugawamasato氏が、ある日、次のようなツイートを投稿しました。日本のある企業サイトでXSSを検査していたところ、攻撃と間違われたのか、ISPに連絡され、インターネット接続を停止されてしまったというのです。

　TLでは@kinugawamasato氏を心配する声とともに、自分の管理下にない他社のサイトに対する脆弱性検査についてのさまざまな意見がツイートされました。

　主な意見は次の通りです。

「海外の大手サイトでは脆弱性の報告は歓迎されているのに、日本では犯罪として扱われるのは問題ではないか」

「第三者の許可なく勝手に検査するんだから、自己責任で行うしかない」

「過去に不正アクセスで逮捕された人もいるのに、勝手に検査するのはリスクが高い」

「普通の企業から見れば、攻撃と善意による検査との区別はつかないから、接続を止められてもしょうがない」

などなど。皆さんはどう思われますか？

　中には、「IPAやJPCERT/CCといった公的な団体を経由して報告した方がいい」という意見も少なからずありました。ただ、「IPAを経由することで、報告する側もされる側も両方、手続きが面倒になる」というツイートもありました。というのも、報告を受けた側も、IPAに報告書を提出する必要があるとのことです。

　その後誤解は解け、@kinugawamasato氏のインターネット接続は無事に復活したようです。

　このように、日本では必ずしも歓迎されるとは限らない第三者による脆弱性検査ですが、24日にはサイボウズが賞金総額300万円を掲げ、クラウドの脆弱性発見コンテストを開催するとの発表がありました。この取り組みについては、好意的な意見がほとんどで、セキュリティクラスタから参加する人も多いかもしれません。

　さらに9月末には、mixiからも脆弱性報告制度を発足させるとの発表がありました。日本の企業の脆弱性報告に対する態度も、少しずつ変わってきているのかもしれません。

【関連記事】

サイボウズ、商用サービスを対象とした脆弱性発見コンテストを開催

http://www.atmarkit.co.jp/ait/articles/1309/24/news137.html

ミクシィが「脆弱性報告制度」開始、報奨金も用意

http://www.atmarkit.co.jp/ait/articles/1309/30/news141.html

柳条湖事件の日、中国からの攻撃はごく小規模

　この数年、満州事変勃発の引き金である柳条湖事件が発生した9月18日には中国から大規模な攻撃が行われてきました。今年は9月初頭から、IPAやセキュリティ各社による攻撃への注意を呼びかけるツイートや注意喚起などが、これまでになく行われていました。

　特に、DNSリフレクション攻撃が行われるという情報があったのか、オープンリゾルバに関する注意喚起が広く呼び掛けられていたことが印象的です。また、前述のように国内でしばらく続いているWordPressなどのCMSへの攻撃にも注意が呼びかけられていました。

　中国から漏れたのか、攻撃対象リストまで公開されており、例年以上の攻撃がやってくるかと身構えていた人や組織も多かったようです。

　が、当日は大規模な書き換えもDDoSもなく、適当に見つけたらしい大きな脆弱性があったサイトが数カ所書き換えられただけで、18日は終わました。攻撃を待ち構えていた防御側の担当者も拍子抜けだったかもしれません。とはいえ、何も起こらないに越したことはありません。ほっとした人も多かったのではないでしょうか。

　その他、攻撃に関する話題としては、9月27日にバンダムナムコIDが不正ログイン攻撃を受け、3万4000件のIDが不正アクセスされたことが発表されていました。このケースでは、漏洩した情報の中にはクレジットカード番号や氏名などが含まれなかったからか、セキュリティクラスタではそれほど大きな話題にはなっていませんでした。しかしTwitter全体で見ると、「『連続ログイン失敗のため、リセットをかけました』というメールが届いた」「パスワード再発行手続きのメールが届いた」という多数のツイートがTLを賑わせていました。