皆さんこんにちは、川口です。先日のWBCの決勝戦は興奮しましたね。特に10回表にイチローがヒットを打ったシーンは歴史に残る瞬間でした。どうやらイチローのヒットによって、2ちゃんねるのサーバがいくつか停止したようです。2008年12月、フィギュアスケートの試合結果と連動した攻撃にも耐えた2ちゃんねるのサーバですが、今回のイチローのヒットでは陥落したようです。2ちゃんねるを責めるよりも、劇的なヒットを打ったイチローを称えるべきでしょう。
【参考】
【WBC】イチローの攻撃で世界最強サーバーも撃沈?【二連覇】
http://www.maido3.com/server/news/release/2009/20090324.html
BIG-server.com 2ちゃんねるのサーバー、韓国からの攻撃に勝利
http://www.maido3.com/server/news/release/2008/20081217.html
これはリアルの世界のイベントがサイバーの世界に反映する格好の例です。今回はリアル世界とサイバー世界が連動したイベントについて説明します。
から騒ぎではなかったConficker騒ぎ
昔はリアルのイベントだった4月1日の「エイプリルフール」、いまではすっかりサイバー世界のイベントとしても定着しました。ちょうどエイプリルフールの日に動き出すというConficker(別名 Downadup)の話が3月下旬に盛り上がりました。
【参考】
Conficker コンピューター ワームから身を守る| マイクロソフト セキュリティ
http://www.microsoft.com/japan/protect/computer/viruses/worms/conficker.mspx
私も「何か起きるのでは」と4月1日が心配になっていましたが、実際には大きな騒ぎにはならずほっとしていたところです。この騒ぎ自体がエイプリルフールだったのかと思うほどでした。
しかし、4月1日こそ大規模な事件は発生しませんでしたが、その後はConfickerの被害が増加しています。Confickerに感染したUSBメモリを社内で使用したことで、ほかのパソコンがConfickerに感染する事例が多数出ています。さらに感染したパソコンからConfickerを駆除しようと“ネットワークに接続したまま”管理者権限でログオンすることで、Windowsの共有サービスを経由し、ネットワーク内の他のパソコンにConfickerが感染するという事件が発生しています。
【参考】
長期化する組織内に潜入したConficker(Downadup)の駆除・対処について | LAC
http://www.lac.co.jp/info/alert/alert20090409.html
Confickerの被害は2008年12月ころから増加しています。お客様に感染原因を伺うと、USBメモリがきっかけで社内にConfickerが入ってきている事例が多いようです。特に海外出張で使用したUSBメモリが感染している傾向があるようです。ここで安易に「USBメモリの使用を禁止」とすることは簡単ですが、それでは業務の効率が落ちてしまうでしょう。
この不況の中、企業は少しでも業務効率を上げたいと思っています。安易な「USBメモリの禁止」とする前に「USBメモリの利用が必要な部門なのか?」「自動実行を無効にすることで使用を続けられないか?」「せめて海外から持って帰ってきたUSBメモリだけでも別にチェックするか?」など、USBメモリを使用することを前提とした落としどころを考えることが重要です。
参考までに、私はいつもパソコンに詳しくない人に以下のようにUSBメモリに関する注意をしています。
- 海外旅行で伝染病に感染してこないようにって注意するでしょ?
- 同じようにUSBメモリもコンピュータの病気をもらってきちゃうよ。
- よそに行ったときには気を付けてね!
セキュリティを啓発するためには、コミュニケーションが肝になります。柔らかい言葉で皆さんの周りでも被害者、加害者が出ないように注意をうながしてください。
サイバー世界とマスメディアの連動
リアル世界とサイバー世界のイベントが連動している話といえば、日本の「靖国問題」があります。皆さんもご存じのように、日本の首相が靖国神社を参拝すると、その行動について批判的なコメントが出てきます。数年前は首相の靖国参拝と連動して、アジアの国からの攻撃が増加するということもありました。
そのため、8月に入ると必ず「いつ靖国参拝が行われるか」ということがJSOCで話題になります。お客様からも「今年は攻撃増えるんですかね?」「靖国参拝のとき、攻撃増えました?」とご質問されることが多くなります。
最近では、首相の靖国参拝に連動して海外からの攻撃が増加するということはありません。むしろ、日常的な攻撃が数年前と比較して数倍に増えているため、多少攻撃が増えても日常の変化からすると誤差の範囲、という状況です。
そのほかにもこんなことがありました。あるお客様のファイアウォールのログが急増し、転送遅延が発生しました。調査の結果、80/tcpへのAcceptログが大量に増えており、そのログを見ると送信元IPアドレスが多数存在していました。即座に「DDoS攻撃では?」と疑ったのですが、ちょうどそのときにそのお客様のニュースがマスメディアに取り上げられていたことを思い出しました。ニュースを見た人が気になってホームページを参照した結果、ファイアウォールログの増加につながったのでしょう。このようなことも、リアルとサイバーがつながっていることを示すよい事例です。
このようにリアル世界とサイバー世界は連動しています。しかし、それぞれの世界が連動する確率はイチローの打率のように高くはありません。リアル社会の出来事を見張っていてもサイバー世界の動きは読めないものです。しかし、今夜だけはそんな難しいことは忘れ、WBC連覇を祝うために今日も飲みに行くのでした。
Profile
川口 洋(かわぐち ひろし)
株式会社ラック
JSOCチーフエバンジェリスト兼セキュリティアナリスト
CISSP
ラック入社後、IDSやファイアウォールなどの運用・管理業務をへて、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。
アナリストリーダとして、セキュリティイベントの分析とともに、IDS/IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。
現在、JSOCチーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。
- 「DNS通信」記録していますか?――万一に備えたDNSクエリログの保存方法
- Web広告からのマルウエア感染「Malvertising」にどう対処すべきか
- 中の人が振り返る「Hardening 10 ValueChain」――学びにつながった「トラブルの数々」とは
- 無慈悲な専門家チーム「kuromame6」の暗躍に負けず勝利をつかんだチームは?
- 外部リソースの活用もポイントに、「Hardening 10 MarketPlace」開催
- Hardening Projectから派生した「MINI Hardening Project」に行ってみた!
- 「これさえしておけば助かったのに……」を避けるため、今すぐ確認すべき7項目
- アップデート機能を悪用した攻撃に対抗セヨ!
- 工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート
- ウイルスとは言い切れない“悪意のあるソフトウェア”
- 2013年のセキュリティインシデントを振り返る
- ここが変だよ、そのWeb改ざん対応
- きっかけは不正侵入――私がセキュリティ業界に足を踏み入れたワケ
- CMSが狙われる3つの理由
- FacebookやApple、MSまで……Javaの脆弱性を狙う攻撃の手口
- Hardening One、8時間に渡る戦いの結果は?
- そのときStarBEDが動いた――「Hardening One」の夜明け前
- ロシアでわしも考えた
- 実録、「Hardening Zero」の舞台裏
- ちょっと変わったSQLインジェクション
- 官民連携の情報共有を真面目に考える
- アプリケーションサーバの脆弱性にご注意を
- IPv6、6つの悩み事
- スパムが吹けば薬局がもうかる
- JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ
- 東日本大震災、そのときJSOCは
- ペニーオークションのセキュリティを斬る
- 2010年、5つの思い出――Gumblarからキャンプまで
- 9・18事件にみる7つの誤解
- 曇りのち晴れとなるか? クラウド環境のセキュリティ
- Webを見るだけで――ここまできたiPhoneの脅威
- 不安が残る、アドビの「脆弱性直しました」
- ともだち373人できるかな――インターネットメッセンジャーセキュリティ定点観測
- 実録・4大データベースへの直接攻撃
- Gumblar、いま注目すべきは名前ではなく“事象”
- Gumblarがあぶり出す 「空虚なセキュリティ対策」
- 新春早々の「Gumblar一問一答」
- 実はBlasterやNetsky並み?静かにはびこる“Gumblar”
- ECサイトソフトウェアはなぜ更新されないのか
- 狙われるphpMyAdmin、攻撃のきっかけは?
- 学生の未来に期待する夏
- 米韓へのDoS攻撃に見る、検知と防御の考え方
- 分かっちゃいるけど難しい、アカウント情報盗用ボット対策
- 狙われる甘〜いTomcat
- 表裏一体、あっちのリアルとこっちのサイバー
- 世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
- 急増したSQLインジェクション、McColo遮断の影響は
- ○×表の真実:「検知できる」ってどういうこと?
- ところで、パッケージアプリのセキュリティは?
- レッツ、登壇――アウトプットのひとつのかたち
Copyright © ITmedia, Inc. All Rights Reserved.