海の向こうの“セキュリティ”

第63回:韓国、オンラインストレージ事業者を登録制に ほか


 11月も日本では、国内で発生した様々なインシデントに関する報道が相次ぎ、そのために海外で起こったインシデントについてはあまり注目されなかったように思われます。そこで今回は、11月に海外で報道されたインシデントを中心に、関連する話題を紹介します。

米国イリノイ州とテキサス州の水道システムが侵入される?

 重要インフラにも用いられている産業制御システム「SCADA(Supervisory Control And Data Acquisition)」への攻撃の危険性が指摘されるようになってすでに久しいですが、昨年にはSCADAをターゲットとしたマルウェア「Stuxnet」が登場するなど、SCADAへの脅威はかなり現実的なものとなりつつあります。

 そんな中、米国イリノイ州とテキサス州の水道システムがサイバー攻撃を受けたとみられる事件が発生しました。

 イリノイ州の事件はすでに日本の一部メディアでも報道されていますが、ロシアを発信源とする攻撃によりポンプのオン/オフが繰り返され、最終的にポンプは故障。しかもこの攻撃には制御システムのソフトウェア開発企業から盗み出したIDとパスワードが使われたとされています。これが事実なら、米国の水道システムがサイバー攻撃によって物理的な被害を受けた最初の事例となります。

 今回の件が事実であれば、攻撃されたことも問題ですが、それ以上に、この攻撃が実は9月から始まっていたにもかかわらず、11月の頭にポンプが故障するまで攻撃を受けていたことに誰も気付かなかったというのは深刻です。つまり、インシデントを検知する仕組み(体制含む)がなかった、または機能しなかったわけです。

 そしてこの事件に関する米国土安全保障省のコメントがテキサス州での事件を誘発することになりました。

 国土安全保障省はイリノイ州での事件について「重要インフラ事業者や公共の安全に対する脅威を示す信頼できるデータは何もない」と発表しました。しかし、これに対し、「pr0f」と名乗る者が重要インフラシステムの脆弱性をアピールする目的で、テキサス州の水道システムに侵入し、それを示す画像データを公開したのです。

 pr0fはテキサス州の水道システムへの侵入は簡単で子供でもできるとしています。具体的には、制御システム(Siemens社SIMATIC HMI)がインターネットに直結していた上、設定されていたパスワードがたった3文字だったのだそうです。これが事実であるならば、お粗末にもほどがあります。これではどんなに他の部分で防御策を講じていても全く意味がありません。

 米国では国土安全保障省の支援の下、主に重要インフラで発生したインシデントにオンサイトで実際に対応するためのCSIRT「ICS-CERT(Industrial Control Systems Cyber Emergency Response Team)」が組織され、インシデントハンドラーの教育(訓練)を含め、積極的に活動しています。今回のイリノイ州の事件でもICS-CERTが実際に対応(調査など)をしています。

 このようにSCADAへの脅威に対応するという点で米国はかなり進んでいると言えるのですが、それでもpr0fは、ICS-CERTではこのような事態に対応するには不十分であるとも指摘しています。

 ところがその後、意外な展開がありました。

 イリノイ州での事件を捜査していた国土安全保障省(実際にはICS-CERT)とFBIは、水道システムのポンプが故障した原因がサイバー攻撃によるものであることを示す証拠は見つからなかったと発表したのです。

 それでは、当初発表された「攻撃の発信源はロシア」「制御システムのソフトウェア開発企業から盗み出したIDとパスワードが使われた」「9月から攻撃を受けていた」といったかなり具体的な情報は一体、何だったのでしょうか?

 これについて関係者らは、当初の発表はあくまで可能性を示したに過ぎないとしていますが、ここまで具体的だった情報がすべて否定されてしまった(正確には「証拠が見つからなかった」「確認できなかった」)ことに、逆に極めて不自然なものを感じます。

 今回の発表により、イリノイ州の事件については今後これ以上の情報が公表されることはなくなってしまったわけで、釈然としないものばかりが残る結末を迎えたのです。

 それでも今回の件で、米国国内において改めてSCADAへの脅威を広く知らしめる効果があったことだけは確かのようです。

URL
 US-CERT: Control Systems
 Industrial Control Systems Cyber Emergency Response Team(ICS-CERT)
 http://www.us-cert.gov/control_systems/ics-cert/
 CNET News(2011年11月18日付記事)
 Hacker says he broke into Texas water plant, others
 http://news.cnet.com/8301-27080_3-57327968-245/hacker-says-he-broke-into-texas-water-plant-others/
 時事ドットコム(2011年11月22日付記事)
 海外からサイバー攻撃か=水道施設標的、連邦当局が捜査-米
 http://www.jiji.com/jc/c?g=int_30&k=2011112200549
 Informationweek(2011年11月21日付記事)
 Hacker Apparently Triggers Illinois Water Pump Burnout
 http://www.informationweek.com/news/security/attacks/231903481
 BBC News(2011年11月21日付記事)
 Hackers 'hit' US water treatment systems
 http://www.bbc.co.uk/news/technology-15817335
 ZDNet(2011年11月21日付記事)
 SCADA systems at the Water utilities in Illinois, Houston, hacked
 http://www.zdnet.com/blog/security/scada-systems-at-the-water-utilities-in-illinois-houston-hacked/9821
 CNET News(2011年11月22日付記事)
 DHS denies report of water utility hack
 http://news.cnet.com/8301-27080_3-57330029-245/dhs-denies-report-of-water-utility-hack/
 PCMag.com(2011年11月23日付記事)
 DHS, FBI Find 'No Evidence' of Public Water Utility Hack
 http://www.pcmag.com/article2/0,2817,2396835,00.asp
 The Washington Post(2011年11月24日付記事)
 Federal officials find no proof of cyberattack on water pump in Illinois
 http://www.washingtonpost.com/world/national-security/federal-officials-find-no-proof-of-cyberattack-on-water-pump-in-illinois/2011/11/23/gIQAx2UlpN_story.html

2011年の最悪のパスワード、トップ25

 先ほど紹介したSCADAへの攻撃に関してパスワードがたった3文字だったという話がありましたが、そのような「弱いパスワード」に関連した話題です。

 米SplashDataが、侵入者らが掲示板などに投稿した、実際に盗用された数百万のパスワードから作成した「最悪(=最弱)のパスワード」一覧を発表しました。

  1. password
  2. 123456
  3. 12345678
  4. qwerty
  5. abc123
  6. monkey
  7. 1234567
  8. letmein(Let Me In)
  9. trustno1
 10. dragon
 11. baseball
 12. 111111
 13. iloveyou(I love you)
 14. master
 15. sunshine
 16. ashley(Aで始まる名前?)
 17. bailey(Bで始まる名前?)
 18. passwOrd
 19. shadow
 20. 123123
 21. 654321
 22. superman
 23. qazwsx
 24. michael
 25. football

 全体としては、これまでも散々「弱いパスワード」として挙げられていたものが占めており、特に大きな違いはないのですが、24位の「michael」だけは「なぜ?」とちょっとだけ違和感がありました(苦笑)。

URL
 DailyFinance(2011年11月15日付記事)
 Internet Insecurity: The 25 Worst Passwords of 2011
 http://www.dailyfinance.com/2011/11/15/internet-insecurity-the-25-worst-passwords-of-2011/

米国防省、サイバースペースでも積極的に攻勢に出る

 米国防省がサイバー攻撃に関して作成した報告書が公開されました。7月に国防省が発表したサイバーセキュリティ戦略が防御に重きを置いていたのに対し、今回の報告書では、米国とその同盟国を守るためであれば、より積極的に攻勢に出るとしている点が特徴です。

 米国という国を考えれば、至極当然の内容ですし、反対するつもりも無いですが、明確に「攻めに出る」と書かれると、やはり「そんな時代になったのだなぁ」という思いは抱かざるを得ません。

URL
 A Report to Congress Pursuant to the National Defense Authorization Act for Fiscal Year 2011, Section 934
 Department of Defense Cyberspace Policy Report
 http://www.defense.gov/home/features/2011/0411_cyberstrategy/docs/NDAA%20Section%20934%20Report_For%20webpage.pdf
 The Washington Post(2011年11月16日付記事)
 Pentagon: Cyber offense part of U.S. strategy
 http://www.washingtonpost.com/national/national-security/pentagon-cyber-offense-part-of-us-strategy/2011/11/15/gIQArEAlPN_story.html

ノルウェイ、エネルギー・国防関連の機密情報が海外に流出

 ノルウェイでもサイバー攻撃による深刻な情報漏えい事件が発生しました。

 11月18日、ノルウェイの国家安全保障局(NSM:National Security Authority)は国内の石油・ガスなどのエネルギー分野および国防関連のシステムがノルウェイ史上過去最大のサイバー攻撃を受けていたことを発表しました。

 発表によると、攻撃はウイルスメールによって行われ、昨年、少なくとも同様の攻撃が10件あったことが確認されていますが、実際にはもっと多くの攻撃が行われた可能性があるとしています。また、これはいわゆる「標的型攻撃」であり、一般的なアンチウイルスによる検知をすり抜けるように行われていたようです。

 このウイルスに感染した結果、盗まれた情報としては、文書をはじめ、図面、ユーザー名、パスワードなどが挙げられています。

 この手のサイバー攻撃は日本を含め世界中で行われており、この事件そのものに特に目新しいものがあったわけではないのですが、先ほど紹介した米国の水道システムに対する攻撃と発表時期が近かったため、一部の専門家の間では関連性などを含め、注目されました。

 結論から言えば、米国での攻撃とは攻撃手法が完全に異なっていますので、直接の関係はないようです。ただ、テキサス州での事件のように、ある事件がきっかけとなって別の事件が誘発されることは珍しくありません。これまで以上に注意が必要でしょう。

URL
 PCMag.com(2011年11月18日付記事)
 Norway Cyber Attack Targets Country's Oil, Gas Systems
 http://www.pcmag.com/article2/0,2817,2396611,00.asp
 BBC News(2011年11月18日付記事)
 Hackers attack Norway's oil, gas and defence businesses
 http://www.bbc.co.uk/news/technology-15790082

韓国、オンラインストレージ事業者を登録制に

 韓国では、2009年7月に発生した大規模DDoS攻撃「7・7大乱」においてボット感染拡大に悪用されたウェブハード(オンラインファイル保存・共有サービス)に関して、事業者登録制が導入されることになりました。

 韓国放送通信委員会によると、ウェブハードやP2P事業者などの特別な種類の付加通信事業者は11月21日以降、半年以内に放送通信委員会に登録する必要があるとしています。

 登録に際して事業者に求められる要件のうち、特に注目すべきポイントは以下の通り。

  • 悪意のあるプログラムをコンテンツで判別できる技術的な措置
  • 著作物等の不法な伝送を遮断する技術的措置(著作物の認識技術、検索、および送信の制限、警告文発送)
  • 違法行為を追跡するための利用者情報(ID、メールアドレスなど)の表示、および2年以上のログファイル情報の保存
  • 青少年有害媒体物(広告を含む)流通防止と表示のための措置
  • 個人、法人を含めて、資本金3億ウォン以上
  • 事業計画及び利用者保護計画書

 要は「健全な会社」であることを証明できた事業者のみがサービスを提供できるというわけです。しかし、この制度による「効果」の面では若干の疑問も残ります。

 確かに、ウェブハードやP2Pのサービスがマルウェアの配布や著作権を侵害した違法コンテンツの流通に悪用されていることが問題視されていることは事実です。しかし、今回の登録制度はあくまで韓国国内で登記している企業に対してのみ適用される制度であり、国外の事業者には当然ながら適用されません。

 つまり、国内のウェブハードサービスのみを利用している「まっとうなユーザー」をマルウェア感染から守るという意味では、今回の登録制度はそれなりの効果が期待できるかもしれませんが、著作権侵害という点ではほとんど無意味。「悪さ」をしようと思えば、違法コンテンツを流通する側も利用する側も国外のサービスを利用すればいいだけですから。

 今回の制度は、以前に導入された「インターネット実名制(制限的本人確認制)」と同様、国内企業に対する逆差別的な制度であり、今後いろいろと物議を醸しそうです。

URL
 保安ニュース(2011年11月21日付記事、韓国語)
 ウェブハード、保安強化しなければ事業できなくなる“悪性コードはもうやめて!”
 ウェブハード登録制施行...既存ウェブハード事業者6カ月以内に登録を
 http://www.boannews.com/media/view.asp?idx=28677


2011/12/1 06:00


山賀 正人
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。日本シーサート協議会専門委員。