CODE BLUEにSECCONに、リアルが忙しかった12月：セキュリティクラスター まとめのまとめ 2014年12月版（2/2 ページ）

セキュリティクラスターが一堂に会したセキュリティイベントが多く開催された12月。一方、世界に目を向けると日本企業が深刻なサイバー脅威に見舞われていました。

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

ソニー・ピクチャーズ、サイバー攻撃を受けて映画の公開を中止する

　ソニー・ピクチャーズ・エンタテインメント（SPE）が「The Interviews」という、ある記者が北朝鮮の“将軍様”の暗殺を試みるといったストーリーのB級コメディ映画を公開しようとしていました（日本では劇場未公開）。このことによって北朝鮮は当たり前ながら激怒し「無慈悲な報復」を予告していました。そして、これに関連したかのような大規模なサイバー攻撃が繰り広げられ、結果、映画の公開が一時中止されるということが起こりました。

【関連記事】

ソニー・ピクチャーズ、北朝鮮パロディ映画の公開を中止（ITmedia ニュース）

http://www.itmedia.co.jp/news/articles/1412/18/news052.html

　この攻撃は「GOP（Guardians of Peace）」を名乗るグループにより行われました。攻撃の内容は多岐にわたり、社員の個人情報の流出、DDoSなど何でもありでした。そして9.11のようなテロを劇場で行うという内容の脅迫文がネット上に公開されます。

　これを受け、観客の安全が第一ということで、ソニー・ピクチャーズは映画公開の中止を決めます。ところが、オバマ大統領が記者会見でこの事件に言及するなど、「サイバー攻撃により言論の自由が侵害される事例」として大きな話題に。ソニーピクチャーズは再び公開を決定します。

　2014年12月19日には、FBIがこの攻撃の内容から「北朝鮮が攻撃に関与している」と正式に結論付けます。そして、反撃するかのようにDDoS攻撃が行われ、北朝鮮のインターネット接続が切断されます。北朝鮮のインターネット接続は中国の1拠点にのみ接続されているだけなので、簡単に接続不能にすることが可能だったようです。

　ただし、北朝鮮が攻撃に関わっているという確実な証拠はなく、事件はまだまだ闇に包まれています。現在では従業員による内部犯行説も浮上しています。

　この事件は米国では毎日トップニュースとして報道されていたようなのですが、日本企業が関わっているにもかかわらず日本国内ではあまり関心が持たれていないようで、英語のツイートに比べると日本語で事件に言及するツイートはかなり少なかったようです。それに対する不満のツイートもありました。また、映画はB級コメディで真に受けるほどの内容ではなく、実は「ステマ」ではないかというツイートも見られました。

　さらにクリスマスにはDDoSで有名なグループ「Lizard Squad」がPlayStation Network（PSN）、Xbox Liveに対してDDoS攻撃を行い、サービスを遮断していました。ソニーグループにとっては大変な12月でした。

【関連記事】

Xbox LiveとPlayStation Networkに障害発生、ハッカー集団が攻撃か（ITmedia ニュース）

http://www.itmedia.co.jp/news/articles/1412/26/news055.html

---

　この他にも12月のセキュリティクラスターはこのような話題で盛り上がっていました。2015年はどのようなことが起きるのでしょうね。

• OCNのAPOPの終了とパスワードの定期変更ってどうなの？
• 技術評論社、乗っ取られて攻撃者と制御権を奪い合う
• SSLのサイトならあってもいいはずのCookieのSecure属性がないサイトについて
• お名前.comなどが誤配信で顧客のお名前をお漏らし
• Firefox OSやHTML5のセキュリティに関する情報を発信する「にしむねあ」氏発見のFirefoxのCSPに関するの脆弱性と、「もいちどイチから！ HTTP基礎訓練中」のはるぷ氏発見のSOPをバイパスされるFlashの脆弱性が公開され注目される
• 意外と昔からあった気がしなくはない「ドメイン名ハイジャック」が話題に
• 日本はセキュリティ人材が不足しているようですが、北朝鮮も不足しているの？
• 小渕元大臣証拠隠滅のためHDD破壊！？

「セキュリティクラスター まとめのまとめ」バックナンバー

• 「Anonymousがあの組織に攻撃宣言」「俺たちが善玉ハッカーだ」――11月のセキュリティクラスターを振り返る
• 「4万人のボランティアが守る東京オリンピック」？――セキュリティクラスターの反応は
• サイバー攻撃から日本を守るのは、プロフェッショナルなトップガン
• 成長し続けるセキュリティ人材と悲嘆に暮れる情報流出被害者たち
• 技術ある17歳が牙をむく――私たちに何ができたのか
• 日本年金機構が標的型攻撃を受ける――これは対岸の火事ではない？
• 脆弱性に名前のあるなし関係なし、連休でも淡々と検証するセキュリティクラスター
• 名前はなくても危険、IISの脆弱性が注目を集める
• 日本のWebサイトがテロリストの攻撃対象になった――わけでもなさそう
• SSL通信の根本を揺るがす「SuperFish」問題をどう見るべきか
• 「GHOST」の正体見たり枯れ尾花？ 名前には踊らされなかったセキュリティクラスター
• CODE BLUEにSECCONに、リアルが忙しかった12月
• まるでCTFみたい？ 鮮やかに暴かれた「自称小学4年生」のサイト
• ちっともかわいくなかった、セキュリティ界の「POODLE」
• ShellShockに管理者はショック！ パスワード定期変更の議論どころではない？
• 「www.atmarkit.co.jp.3s3s.org」は安全？ 危険？
• ベネッセの情報漏えいがあぶり出してしまった、USBメモリ管理の穴
• LINEの盗聴疑惑にセキュリティクラスターはどう反応したか
• 急転直下の結末を迎えた遠隔操作ウイルス事件
• HeartbleedにStrutsにIE……脆弱性に振り回された1カ月
• 遠隔操作ウイルス事件でフォレンジックを考えた
• 終わらないパスワード議論と、広告に求められる誠実さと
• 安全なオンラインアップデートってどうすべきだろう？

著者プロフィール

山本洋介山

bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。