目次03 06 08 09 16 16 27 36 49 57 58 59 60 60 61 63 65 67 68 70 73 78 78 80 83 84 85 90 92 95 97...

03

06

08

09

16

16

27

36

49

57

58

59

60

60

61

63

65

67

68

70

73

78

78

80

83

84

85

90

92

95

97

99

102

106

111

巻頭言

１　サイバーセキュリティの概況（エグゼクティブサマリ）

２　世の中のサイバーセキュリティ事案

　１　事案の概況（年表）

　２　事案の分析

　　 ❶ 各国政府動向

　　 ❷ 話題となった脆弱性

　　 ❸ サイバー攻撃

　　 ❹ その他の話題

３　NTT-CERTおよびNTTグループの活動

　１　CONCERT －Center of NTT-CERT

　2　問い合わせ・対応状況

　3　対応事例

　　 ❶ 2017年度に実施したパブリックモニタリングについて

　　 ❷ ランサムウェア「WannaCry」感染拡大

　　 ❸ IoTを利用したサプライチェーン攻撃

　　 ❹ 不審メールに添付されていたOfficeファイルを開いてしまった

　　 ❺ クレデンシャル情報流出について

　　 ❻ Coinhiveについて

　4　外部団体でのNTT-CERT活動状況

　5　脆弱性情報の動向

　6　NTTグループの活動

　　 ❶ NTTグループにおけるサイバーセキュリティ対策の連携

　　❷ 中部地域におけるサイバーセキュリティ演習の取り組み

　　 ❸ セキュリティ製品の評価について

4　2017年度のサイバーセキュリティ関連トピックおよび技術レポート

　１　匿名加工情報作成基準の法令・ガイドラインの読み方

　２　暗号通貨への攻撃の動向

　3　暗号通貨への攻撃方法例

　4　平昌冬季オリンピックに関するサイバー攻撃

　5　Olympic Destroyerの検証

　6　MeltdownとSpectre

　7　2017年に流行した自己拡散するランサムウェアの概要

　　　（NTTDATA-CERT寄稿）

　8　ハードウェアとそこで必要なセキュリティの未来予想図

商標について

・本レポートに記載された情報、URLなどは、2017年度のものであり、情報内容の変化、リンク先の情報削除などが行われている場合があります。

巻頭言

本レポートは、2017年度のサイバーセキュリティ動向およびNTTセキュアプラット

フォーム研究所の関連する活動状況についてまとめたものです。

セキュリティを取り巻く環境は日々変化し続けており、解決しなければならない課題は

数多くあります。NTTセキュアプラットフォーム研究所は、さまざまな観点からセキュリ

ティの研究開発に取り組んでおり、技術およびインテリジェンスの創出を持続的に行う

ことで、サイバー空間の平和の実現に向けて取り組んでいます。

本レポート読者の方々に、現在のサイバー脅威の動向をご理解いただき、ご自身が

管理または提供されているシステム、サービスなどの安心・安全に向けた取り組みの

ご参考としていただければ幸いです。

2018年5月NTTセキュアプラットフォーム研究所所長

目次

03

06

08

09

16

16

27

36

49

57

58

59

60

60

61

63

65

67

68

70

73

78

78

80

83

84

85

90

92

95

97

99

102

106

111

巻頭言

１　サイバーセキュリティの概況（エグゼクティブサマリ）

２　世の中のサイバーセキュリティ事案

　１　事案の概況（年表）

　２　事案の分析

　　 ❶ 各国政府動向

　　 ❷ 話題となった脆弱性

　　 ❸ サイバー攻撃

　　 ❹ その他の話題

３　NTT-CERTおよびNTTグループの活動

　１　CONCERT －Center of NTT-CERT

　2　問い合わせ・対応状況

　3　対応事例

　　 ❶ 2017年度に実施したパブリックモニタリングについて

　　 ❷ ランサムウェア「WannaCry」感染拡大

　　 ❸ IoTを利用したサプライチェーン攻撃

　　 ❹ 不審メールに添付されていたOfficeファイルを開いてしまった

　　 ❺ クレデンシャル情報流出について

　　 ❻ Coinhiveについて

　4　外部団体でのNTT-CERT活動状況

　5　脆弱性情報の動向

　6　NTTグループの活動

　　 ❶ NTTグループにおけるサイバーセキュリティ対策の連携

　　❷ 中部地域におけるサイバーセキュリティ演習の取り組み

　　 ❸ セキュリティ製品の評価について

4　2017年度のサイバーセキュリティ関連トピックおよび技術レポート

　１　匿名加工情報作成基準の法令・ガイドラインの読み方

　２　暗号通貨への攻撃の動向

　3　暗号通貨への攻撃方法例

　4　平昌冬季オリンピックに関するサイバー攻撃

　5　Olympic Destroyerの検証

　6　MeltdownとSpectre

　7　2017年に流行した自己拡散するランサムウェアの概要

　　　（NTTDATA-CERT寄稿）

　8　ハードウェアとそこで必要なセキュリティの未来予想図

商標について

・本レポートに記載された情報、URLなどは、2017年度のものであり、情報内容の変化、リンク先の情報削除などが行われている場合があります。

巻頭言

本レポートは、2017年度のサイバーセキュリティ動向およびNTTセキュアプラット

フォーム研究所の関連する活動状況についてまとめたものです。

セキュリティを取り巻く環境は日々変化し続けており、解決しなければならない課題は

数多くあります。NTTセキュアプラットフォーム研究所は、さまざまな観点からセキュリ

ティの研究開発に取り組んでおり、技術およびインテリジェンスの創出を持続的に行う

ことで、サイバー空間の平和の実現に向けて取り組んでいます。

本レポート読者の方々に、現在のサイバー脅威の動向をご理解いただき、ご自身が

管理または提供されているシステム、サービスなどの安心・安全に向けた取り組みの

ご参考としていただければ幸いです。

2018年5月NTTセキュアプラットフォーム研究所所長

03

04

NTTセキュアプラットフォーム研究所では、N TTグループのセキュリティ強化に向け、NT T グループのC S I RT（Computer Security Incident Response Team）であるNTT-CERTおよびセキュリティ研究成果・知見により、技術的な支援を進めている。

NTT-CERTの紹介

NTTグループのCSIRTとして、2004年に発足した。セキュリティ情報をいち早くキャッチし、NTTグループ全体の被害の極小化、未然防止を図る。

NTT-CERT活動概要

セキュリティ研究活動概要

未然防止

予防検知事後対応

被害極小化

事業環境における検証設備構築や実施手順などに関わる技術支援

セキュリティ診断結果に基づく事業での対応やブラックリストおよびログ分析手法などの導入に関わる技術支援

分析対象取得、技術対策適用におけるオンサイトでの技術支援

事業会社のセキュリティ運用

フィールドサポート

Ｒ＆Ｄミッション

予防から検知、事後対応までの一貫したセキュリティ運用強化を図る技術確立と事業会社支援を実施する。

NTTセキュアプラットフォーム研究所

セキュリティ情報発信脆弱性情報配信

インシデント･ハンドリング脆弱性ハンドリング

セキュリティ教育・訓練セキュリティ･コンサルなど

①検知・防御技術 ②暗号プロトコル ③可視化・証跡



国内外研究機関

未然防止

被害極小化

セキュリティ診断

OSINT（セキュリティ情報分析）

ブラックリスト提供

セキュリティ製品評価運用ガイド策定

フォレンジックマルウェア解析

技術開発

予防

検知

事後対応

セキュリティ診断グループ各社のWebサイトについて、改ざん、脆弱性、要塞化不備を定期的に検査／分析し、問題があれば対策などを立案

運用ガイド策定政府や業界によるガイドライン策定の動向を見据え、グループでの遵守に向けた技術検証や手順書策定を実施

ブラックリスト提供研究所で構築したブラックリスト

（AVベンダなどが所有するものとの差分）をグループ会社に情報展開し、攻撃ブロックに寄与

セキュリティ情報分析インターネット上のセキュリティに関わる情報およびセキュリティベンダからの非公開情報を収集、総合的な分析を行い、最新の状況を共有

フォレンジックマルウェア解析セキュリティ事案へ対応する中、事業サイドでは実施が難しい深い部分（AP／システムログ、悪性プログラムなど）の分析手法の確立および技術変化に追随する継続的な維持・高度化

セキュリティ製品評価新たな技術／製品などの機能、性能、脆弱性を評価するとともに、適切に技術／製品を利用するために必要な対策などをレポート（nicter）

・・・etc.

セキュリティベンダ

ＮＴＴグループ社内情報システム

ＮＴＴグループ公衆／インフラ

ＮＴＴグループ法人／ソリューション

フィードバック

NTTグループ各社リスク管理

被害の未然防止／被害の極小化

セキュリティ運用ノウハウ集積・活用

攻撃の検知通常対応

警戒・緊急対応

ＮＴＴーＣＥＲＴの

グループ支援施策例

公開セキュリティ情報、インテリジェンス情報収集、

SNS風評調査など外部機関

（FIRST、NCAなど）

事件事件被害発生時の対応

被害発生時の対応防止脆弱性などの

収集・共有攻撃の検知防止脆弱性などの収集・共有

内外の適材適所への迅速な情報伝達と専門的対応支援


脆弱性・攻撃などに関する情報の収集分析と早期検知

CSIRTがやること

情報共有　分析・調査トレーニングなど相談受付対応支援

・脆弱性検証情報提供・公開前脆弱性情報提供

・インシデント通知・情報漏えい検知

・インシデント対応支援・事例共有

・セキュリティSE・セキュリティ教育・セキュリティSE・セキュリティ教育




各フェーズでNTTグループを支援

セキュリティ研究活動

05

サイバーセキュリティ

アニュアルレポート

NTTセキュアプラットフォーム研究所では、N TTグループのセキュリティ強化に向け、NT T グループのC S I RT（Computer Security Incident Response Team）であるNTT-CERTおよびセキュリティ研究成果・知見により、技術的な支援を進めている。

NTT-CERTの紹介

NTTグループのCSIRTとして、2004年に発足した。セキュリティ情報をいち早くキャッチし、NTTグループ全体の被害の極小化、未然防止を図る。

NTT-CERT活動概要

セキュリティ研究活動概要

未然防止

予防検知事後対応

被害極小化

事業環境における検証設備構築や実施手順などに関わる技術支援

セキュリティ診断結果に基づく事業での対応やブラックリストおよびログ分析手法などの導入に関わる技術支援

分析対象取得、技術対策適用におけるオンサイトでの技術支援

事業会社のセキュリティ運用


Ｒ＆Ｄミッション

予防から検知、事後対応までの一貫したセキュリティ運用強化を図る技術確立と事業会社支援を実施する。

NTTセキュアプラットフォーム研究所

セキュリティ情報発信脆弱性情報配信

インシデント･ハンドリング脆弱性ハンドリング

セキュリティ教育・訓練セキュリティ･コンサルなど

①検知・防御技術 ②暗号プロトコル ③可視化・証跡



国内外研究機関

未然防止

被害極小化

セキュリティ診断

OSINT（セキュリティ情報分析）

ブラックリスト提供

セキュリティ製品評価運用ガイド策定

フォレンジックマルウェア解析

技術開発

予防

検知

事後対応

セキュリティ診断グループ各社のWebサイトについて、改ざん、脆弱性、要塞化不備を定期的に検査／分析し、問題があれば対策などを立案

運用ガイド策定政府や業界によるガイドライン策定の動向を見据え、グループでの遵守に向けた技術検証や手順書策定を実施

ブラックリスト提供研究所で構築したブラックリスト

（AVベンダなどが所有するものとの差分）をグループ会社に情報展開し、攻撃ブロックに寄与

セキュリティ情報分析インターネット上のセキュリティに関わる情報およびセキュリティベンダからの非公開情報を収集、総合的な分析を行い、最新の状況を共有

フォレンジックマルウェア解析セキュリティ事案へ対応する中、事業サイドでは実施が難しい深い部分（AP／システムログ、悪性プログラムなど）の分析手法の確立および技術変化に追随する継続的な維持・高度化

セキュリティ製品評価新たな技術／製品などの機能、性能、脆弱性を評価するとともに、適切に技術／製品を利用するために必要な対策などをレポート（nicter）

・・・etc.

セキュリティベンダ

ＮＴＴグループ社内情報システム

ＮＴＴグループ公衆／インフラ

ＮＴＴグループ法人／ソリューション

フィードバック

NTTグループ各社リスク管理

被害の未然防止／被害の極小化


攻撃の検知通常対応

警戒・緊急対応

ＮＴＴーＣＥＲＴの

グループ支援施策例

公開セキュリティ情報、インテリジェンス情報収集、

SNS風評調査など外部機関

（FIRST、NCAなど）

事件事件被害発生時の対応

被害発生時の対応防止脆弱性などの

収集・共有攻撃の検知防止脆弱性などの収集・共有

内外の適材適所への迅速な情報伝達と専門的対応支援


脆弱性・攻撃などに関する情報の収集分析と早期検知

CSIRTがやること

情報共有　分析・調査トレーニングなど相談受付対応支援




・セキュリティSE・セキュリティ教育・セキュリティSE・セキュリティ教育




各フェーズでNTTグループを支援

セキュリティ研究活動

2017年度は国際銀行間金融通信協会（SWIFT）への攻撃の継続、大規模なランサムウェアや仮想通貨をターゲット

とする攻撃、CEOメール被害の拡大など、経済利益目的のインシデントが連続した。脆弱性については従来通りの

アプリ、ミドルウェアだけではなく、CPUやWi-Fi脆弱性などICT機器全般に影響する脆弱性が報告された。また、

IoTに対する攻撃が拡大し、Mirai亜種による被害が発生した。国際的なイベントとしては平昌2018大会において

組織委員会への本格的な標的型攻撃による被害が顕在化した。

さらに、国際間の競争、紛争に関連してサイバー攻撃が多発したほか、国家主導が疑われるフェイクニュースや各種

サイバー攻撃への報復宣言など、サイバー空間の活動が国際情勢に大きく影響を与える年となった。

その他、米国におけるネットワーク中立性の撤廃、中国やロシアなどにおける情報規制の強化、Facebook

個人情報の不正利用など、インターネット上のサービスの在り方が問われる年でもあった。

日本国内のセキュリティ動向に目を向けてみると、前年度以上に重大かつ、さまざまな種類のサイバー攻撃が多発

した年度となった。

①日本国内でのランサムウェアの被害拡大

②日本国内でのばらまき型メール攻撃多発

③Struts2、Weblogicの脆弱性を突いた攻撃によるサイト改ざん、情報流出の多発

④仮想通貨に関するさまざまなインシデント

（交換所への不正アクセスおよび仮想通貨窃取、仮想通貨に便乗した攻撃や偽仮想通貨など）

⑤IoT機器の脆弱性報告および脆弱性を突いたと思われる攻撃の発生

⑥サイバー犯罪低年齢化、少年などによるマルウェア配布、偽サイト開設

NTTグループについては、社内マルウェア感染の報告やばら撒き型メールの注意喚起が行われたほか、IP電話への

移行方針の発表に伴う不審なメールの注意喚起、2020大会に向けた各社の体制整備、IoT向けサービスの拡大が

行われた。

本ドキュメント第2章では、これらの状況をセキュリティインシデントに関わる報告、記事情報などをもとに動向を

整理、分析する。

続いて、第3章ではNTT-CERTの活動状況やNTTグループ内のCSIRT連携の取り組みについて紹介する。

第4章では、2017年度のサイバーセキュリティ関連トピックおよび技術レポートとして、個人情報保護法改正における

匿名加工情報についての技術解説、仮想通貨への攻撃やワーム機能を有するランサムウェア、平昌2018大会への攻撃

についての報告、2018年1月に発表されたCPUの脆弱性Meltdown/Spectreについての分析、そして今後ますます

注目されると予想されるハードウェアに起因する脆弱性について報告する。

06

1 サイバーセキュリティの概況（エグゼクティブサマリ）第１章では、2017年度のセキュリティ動向および本レポートの概要について説明する。

2017年度は国際銀行間金融通信協会（SWIFT）への攻撃の継続、大規模なランサムウェアや仮想通貨をターゲット

とする攻撃、CEOメール被害の拡大など、経済利益目的のインシデントが連続した。脆弱性については従来通りの

アプリ、ミドルウェアだけではなく、CPUやWi-Fi脆弱性などICT機器全般に影響する脆弱性が報告された。また、

IoTに対する攻撃が拡大し、Mirai亜種による被害が発生した。国際的なイベントとしては平昌2018大会において

組織委員会への本格的な標的型攻撃による被害が顕在化した。

さらに、国際間の競争、紛争に関連してサイバー攻撃が多発したほか、国家主導が疑われるフェイクニュースや各種

サイバー攻撃への報復宣言など、サイバー空間の活動が国際情勢に大きく影響を与える年となった。

その他、米国におけるネットワーク中立性の撤廃、中国やロシアなどにおける情報規制の強化、Facebook

個人情報の不正利用など、インターネット上のサービスの在り方が問われる年でもあった。

日本国内のセキュリティ動向に目を向けてみると、前年度以上に重大かつ、さまざまな種類のサイバー攻撃が多発

した年度となった。

①日本国内でのランサムウェアの被害拡大

②日本国内でのばらまき型メール攻撃多発

③Struts2、Weblogicの脆弱性を突いた攻撃によるサイト改ざん、情報流出の多発

④仮想通貨に関するさまざまなインシデント

（交換所への不正アクセスおよび仮想通貨窃取、仮想通貨に便乗した攻撃や偽仮想通貨など）

⑤IoT機器の脆弱性報告および脆弱性を突いたと思われる攻撃の発生

⑥サイバー犯罪低年齢化、少年などによるマルウェア配布、偽サイト開設

NTTグループについては、社内マルウェア感染の報告やばら撒き型メールの注意喚起が行われたほか、IP電話への

移行方針の発表に伴う不審なメールの注意喚起、2020大会に向けた各社の体制整備、IoT向けサービスの拡大が

行われた。

本ドキュメント第2章では、これらの状況をセキュリティインシデントに関わる報告、記事情報などをもとに動向を

整理、分析する。

続いて、第3章ではNTT-CERTの活動状況やNTTグループ内のCSIRT連携の取り組みについて紹介する。

第4章では、2017年度のサイバーセキュリティ関連トピックおよび技術レポートとして、個人情報保護法改正における

匿名加工情報についての技術解説、仮想通貨への攻撃やワーム機能を有するランサムウェア、平昌2018大会への攻撃

についての報告、2018年1月に発表されたCPUの脆弱性Meltdown/Spectreについての分析、そして今後ますます

注目されると予想されるハードウェアに起因する脆弱性について報告する。

07



・7/12

・8/1・8/25・9/8

・9/13・9/22

ICANNがルートゾーンKSKロールオーバーを発表（その後、対応が進まず9/28延期発表後、2/1に2018.10.11へ再延期発表）Bitcoin分裂、取引所では一時取り扱い停止なども発生米Googleの誤った経路情報配信により、OCNなどの通信インフラで大規模な混乱が発生米国消費者信用情報会社Equifaxで大量の個人情報が流出した。その後、インシデント発表前に幹部が株を売却するインサイダー取引も発覚した。米国政府がロシア政府の関与が疑われるとしてKaspersky製品の禁止通達国内のネット金融を狙うDDoS攻撃多発、攻撃停止と引き換えに金銭要求メール

第１四半期

第２四半期

１. 事案の概況（年表）

トピック日 URL

4,172名の「情報処理安全確保支援士（登録セキスペ）」が誕生！

東京五輪・パラ安全確保の基本戦略まとめる

Windows VistaとExchange Server 2007のサポートが終了

総務省発表地図による小地域分析（iSTAT MAP）における不正アクセス

重要インフラのサイバー対策へ政府が新計画

情報搾取型マルウェア「Ursnif」の亜種を使い多種の日本語メールによる攻撃が再開（ばら撒き型メール攻撃）

3

3

7

11

11

13

19

4月

「パスワード解読は無罪」判決確定　無線LAN無断使用

大規模な暗号化型ランサムウェア「WannaCry/Wcry」の攻撃、世界各国で影響

日立製作所発表ランサムウェアによる被害および復旧状況について

改正民法が成立　契約ルール、120年ぶり抜本見直し

IPA情報セキュリティ早期警戒パートナーシップガイドライン（2017年版）

改正個人情報保護法きょう施行

10

13

17

26

30

30

5月

中国サイバーセキュリティ法施行

CFO狙った「ビジネスメール詐欺」横行

Stuxnet以来のインフラ攻撃が懸念されるマルウェアに警鐘－ESET

英国会にサイバー攻撃、議員メールアカウント狙う

Petya亜種による世界サイバー攻撃、65カ国に拡大　会計ソフト更新の仕組みを悪用か

1

14

16

25

29

6月

【参考記事】

http://www.ipa.go.jp/about/press/20170403.html

http://www3.nhk.or.jp/news/html/20170403/k10010934791000.html

https://eset-info.canon-its.jp/malware_info/news/detail/170407.html

http://itpro.nikkeibp.co.jp/atcl/news/17/041101095/

https://japan.zdnet.com/article/35099559/

http://www.soumu.go.jp/menu_news/s-news/01toukei09_01000023.html

http://www.sankei.com/politics/news/170419/plt1704190012-n1.html

WikiLeaksが暴露したCIAのハッキングツールの使用実態が明らかに－シマンテック

http://business.nikkeibp.co.jp/atcl/opinion/15/218009/060500104/

http://www.nikkei.com/article/DGXMZO17617280T10C17A6XV3000/

http://news.mynavi.jp/news/2017/06/16/099/

http://www.nikkei.com/article/DGXLASGM25H21_V20C17A6000000/

http://www.itmedia.co.jp/news/articles/1706/29/news057.html

http://www.asahi.com/articles/ASK5B5GM4K5BUTIL028.html

http://blog.trendmicro.co.jp/archives/14873

http://www.hitachi.co.jp/New/cnews/month/2017/05/0517a.html

http://www.nikkei.com/article/DGXLASFS26H06_W7A520C1MM0000/

http://www.ipa.go.jp/files/000059694.pdf


・4/1 ・5/13

・5/26・5/30・6/29

情報処理安全確保支援士（登録セキスペ）の初回登録実施、4,172名が登録された。ワーム機能による感染拡大機能を有するランサムウェア「WannaCry」による世界規模の攻撃発生、日本でも被害報告120年ぶりの民法改正が成立、利用規約や約款についてのルールが明確化改正個人情報保護法全面施行ランサムウェアを偽装した破壊型マルウェアNotPetyaによる攻撃発生

2 世の中のサイバーセキュリティ事案第2章では、2017年度のセキュリティ事案の概況について説明し、さらにトピックとなる事案の分析を行った結果について報告する。

08

・7/12

・8/1・8/25・9/8

・9/13・9/22

ICANNがルートゾーンKSKロールオーバーを発表（その後、対応が進まず9/28延期発表後、2/1に2018.10.11へ再延期発表）Bitcoin分裂、取引所では一時取り扱い停止なども発生米Googleの誤った経路情報配信により、OCNなどの通信インフラで大規模な混乱が発生米国消費者信用情報会社Equifaxで大量の個人情報が流出した。その後、インシデント発表前に幹部が株を売却するインサイダー取引も発覚した。米国政府がロシア政府の関与が疑われるとしてKaspersky製品の禁止通達国内のネット金融を狙うDDoS攻撃多発、攻撃停止と引き換えに金銭要求メール

第１四半期

第２四半期


トピック日 URL

4,172名の「情報処理安全確保支援士（登録セキスペ）」が誕生！

東京五輪・パラ安全確保の基本戦略まとめる

Windows VistaとExchange Server 2007のサポートが終了

総務省発表地図による小地域分析（iSTAT MAP）における不正アクセス

重要インフラのサイバー対策へ政府が新計画

情報搾取型マルウェア「Ursnif」の亜種を使い多種の日本語メールによる攻撃が再開（ばら撒き型メール攻撃）

3

3

7

11

11

13

19

4月

「パスワード解読は無罪」判決確定　無線LAN無断使用

大規模な暗号化型ランサムウェア「WannaCry/Wcry」の攻撃、世界各国で影響

日立製作所発表ランサムウェアによる被害および復旧状況について

改正民法が成立　契約ルール、120年ぶり抜本見直し

IPA情報セキュリティ早期警戒パートナーシップガイドライン（2017年版）

改正個人情報保護法きょう施行

10

13

17

26

30

30

5月

中国サイバーセキュリティ法施行

CFO狙った「ビジネスメール詐欺」横行

Stuxnet以来のインフラ攻撃が懸念されるマルウェアに警鐘－ESET

英国会にサイバー攻撃、議員メールアカウント狙う

Petya亜種による世界サイバー攻撃、65カ国に拡大　会計ソフト更新の仕組みを悪用か

1

14

16

25

29

6月

【参考記事】

http://www.ipa.go.jp/about/press/20170403.html


https://eset-info.canon-its.jp/malware_info/news/detail/170407.html



http://www.soumu.go.jp/menu_news/s-news/01toukei09_01000023.html

http://www.sankei.com/politics/news/170419/plt1704190012-n1.html

WikiLeaksが暴露したCIAのハッキングツールの使用実態が明らかに－シマンテック

http://business.nikkeibp.co.jp/atcl/opinion/15/218009/060500104/

http://www.nikkei.com/article/DGXMZO17617280T10C17A6XV3000/

http://news.mynavi.jp/news/2017/06/16/099/

http://www.nikkei.com/article/DGXLASGM25H21_V20C17A6000000/


http://www.asahi.com/articles/ASK5B5GM4K5BUTIL028.html

http://blog.trendmicro.co.jp/archives/14873

http://www.hitachi.co.jp/New/cnews/month/2017/05/0517a.html

http://www.nikkei.com/article/DGXLASFS26H06_W7A520C1MM0000/

http://www.ipa.go.jp/files/000059694.pdf


・4/1 ・5/13

・5/26・5/30・6/29

情報処理安全確保支援士（登録セキスペ）の初回登録実施、4,172名が登録された。ワーム機能による感染拡大機能を有するランサムウェア「WannaCry」による世界規模の攻撃発生、日本でも被害報告120年ぶりの民法改正が成立、利用規約や約款についてのルールが明確化改正個人情報保護法全面施行ランサムウェアを偽装した破壊型マルウェアNotPetyaによる攻撃発生

09



10


・1/4・1/26

・2/9・3/1・3/19・3/20

Spectre/Meltdownの報告。その後、類似したCPUの脆弱性が多数報告された。コインチェックへの不正アクセスによる仮想通貨の大規模盗難発生、仮想通貨交換所への規制強化や業界団体設立が進められた。平昌大会開会式へ本格的な標的型攻撃が発生した。memcachedの脆弱な設定を利用した1.3Tb/sのDDoS攻撃、翌週には1.7Tb/s日本年金機構から委託を受けた会社が契約に違反して中国に再委託、処理ミスによる6万件の支払い漏れも発生Facebookの個人情報を英データ分析会社が不正に利用、大統領選に利用の疑い

第4四半期

トピック日 URL

1月

2月

1

4

5

16

19

20

23

3月

・10/3・10/16・10/31

・11/16・11/30・12/1・12/4・12/20

総務省『IoTセキュリティ総合対策』を発表、その後も各種ガイドライン乱立WPA2脆弱性KRACKs（Key Reinstallation Attacks）報告（その後WPA3検討始まる）P2P調査サービスを提供していたセキュリティ会社員がウイルス保管容疑で逮捕

（その後、3/30京都地検が不起訴処分）経産省サイバーセキュリティ経営ガイドラインを改訂仮想通貨の悪用状況発表警察庁統計国税庁仮想通貨売却益を雑所得とする見解発表長野県の高校生が不正アクセス容疑で逮捕JAL ビジネスメール詐欺で3.8億円被害

第３四半期

8月

9月

1

4

16

21

27

30

トピック日

総務省「IoTセキュリティ総合対策」の公表

米ヤフー、30億アカウントの個人情報流出　過去最大

総務省無線LAN（Wi-Fi）暗号化における脆弱性について（注意喚起）

ウイルス保管容疑｠情報セキュリティー社員逮捕　京都府警

GMOインターネットから漏えいの個人情報、Amazonの電子書籍として販売される

狙われたIP転送電話　発信元を偽装｠不正防止の対策急務

経産省サイバーセキュリティ経営ガイドラインを改訂

「るろうに剣心」作者、児童ポルノ所持容疑　連載は休止

マルウェア「Mirai」の新型亜種が急増－日本でも感染被害か

仮想通貨悪用、半年で170件　資金洗浄疑いなど｠警察庁初統計

3

4

16

17

18

31

10月

11月

トピック日 URL

URL

ランサムウェア「Oni」出現、日本が標的の可能性

Apache Struts 2の脆弱性 (S2-048) に関する注意喚起

防衛省　サイバー部隊1,000人規模へ攻撃手段も研究

「スマート水槽」がハッカーの侵入口に、北米のカジノで被害

総務省発表 DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性

数百台のMacに感染しているのに数年間気づかれなかったマルウェア「FruitFly」

7

10

17

20

21

25

7月

【参考記事】

【参考記事】トピック日 URL

【参考記事】

仮想通貨の所得算定でQ&A＝相場急騰、適正申告呼び掛け－国税庁

高校生が偽サイト開設疑い、長野 2人を書類送検

一部のHP製ノートPCにキー入力を記録するバグ、緊急パッチで対応

JALが「信じ込んでしまった」手口とは、振り込め詐欺で3.8億円被害

仮想通貨が狙われている　北の攻撃増加「制裁逃れへ完璧な資産」

1

4

8

12

20

21

31

12月

JVNVU#93823979　投機的実行機能を持つCPUに対するサイドチャネル攻撃

Wi-Fi Alliance WPA3の計画発表

「Intel AMT」にセキュリティ上の問題、ノートPCが遠隔操作される恐れ－F-Secure

コインチェック、仮想通貨580億円流出＝不正アクセス、出金を停止

仮想通貨を盗むウイルス作成容疑の高校生逮捕、掲示板に本人らしき弁明も

4

8

15

17

27

30

http://jvn.jp/vu/JVNVU93823979/index.html

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/011901279/

https://japan.cnet.com/article/35113125/

https://www.ipa.go.jp/security/ciadr/vul/20180115_WebLogicServer.html

https://www.jiji.com/jc/article?k=2018012700014&g=eco


【平昌五輪】ウイルス「五輪破壊者」を発見と米３企業　開会式へのサイバー攻撃

宇宙・サイバー空間で司令塔　防衛省「陸海空に次ぐ戦場」｠

ソフトバンク携帯、大規模障害「03」へ発信しにくく

仮想通貨、ゼロ円で一時取得可能に　交換サイト不具合

米「ネット中立性」撤廃を連邦官報に公示－60日のカウントダウン始まる。

電子入札が使えなくなる恐れ、波紋呼ぶJavaサポート打ち切り

memcached のアクセス制御に関する注意喚起

https://www.nikkei.com/article/DGXMZO27056650X10C18A2EA3000/

https://www.asahi.com/articles/ASL2M5TP2L2MULFA02Q.html

https://www.asahi.com/articles/ASL2P324FL2PULFA002.html


http://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/00081/

https://www.jpcert.or.jp/at/2018/at180009.html

GitHubに過去最大級のDDoS攻撃　Akamaiの協力により約8分で復旧

IoTサイバー対策の改正法案概要判明　接続業者間で情報共有、NICTが脆弱な機器を調査

出荷時点で「トロイの木馬」に感染　40モデル以上のAndroidデバイスで確認

ロシア政府のハッカー、米インフラにサイバー攻撃－FBIなど警告

500万人分の個人情報が中国業者に年金情報入力を再委託

FBの5,000万人余の個人情報不正に米大統領選に使われたか

流出NEM「完売」　資金洗浄完了か　販売サイトに金正恩氏の写真と「Thank you!!!」


http://www.sankei.com/economy/news/180304/ecn1803040005-n1.html


https://www.bloomberg.co.jp/news/articles/2018-03-15/P5NL6F6KLVR501

https://www3.nhk.or.jp/news/html/20180319/k10011371391000.html


http://www.yomiuri.co.jp/national/20180320-OYT1T50080.html

13

17

19

21

23

23

28http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000126.html

http://www.asahi.com/articles/ASKB42RC7KB4UHBI00D.html


http://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000274.html

https://mainichi.jp/articles/20171101/k00/00m/040/145000c


https://www.nikkei.com/article/DGXMZO23056340S7A101C1SHA000/

http://www.meti.go.jp/press/2017/11/20171116003/20171116003.html

http://www.asahi.com/articles/ASKCP5CR9KCPUTIL04D.html


https://www.nikkei.com/article/DGXMZO24069120Q7A131C1CC0000/


http://www.jpcert.or.jp/at/2017/at170025.html

https://mainichi.jp/articles/20170717/k00/00e/010/140000c

https://www.cnn.co.jp/tech/35104512.html

http://www.soumu.go.jp/menu_news/s-news/02kiban04_04000212.html

http://gigazine.net/news/20170725-mac-malware-fruitfly/

仮想通貨ビットコインシステム変更めぐり分裂

世界的サイバー攻撃止めた研究者逮捕　別ウイルス拡散か

「ファイルレス」見えないサイバー攻撃急増　政府・金融機関など標的

米シカゴの有権者180万人の有権者情報が露呈、AWSの設定ミスに警鐘

グーグルの経路情報誤配信、OCNなどで大規模なネットワーク障害発生

北朝鮮による深刻な脅威として「電磁パルス攻撃」の可能性が指摘

1

4

20

21

25

30


http://www.asahi.com/articles/ASK8425YSK84UHBI002.html

http://www.sankei.com/affairs/news/170820/afr1708200002-n1.html

http://www.itmedia.co.jp/enterprise/articles/1708/21/news054.html



スマホ14万台乗っ取りサイバー攻撃新たな手口に警戒を

ハッカー集団が欧米の送配電網を掌握か、ロシアとのつながりも

米個人情報機関最大手Equifax、1億4,300万人の社会保障番号など漏えい

Bluetoothの実装における複数の脆弱性について

米、ロシアのセキュリティー大手製品の使用中止　情報機関との結び付き懸念

ネット金融狙うDDoS攻撃が続く、脅迫型による被害も明らかに

4

5

7

8

12

13

22



http://www.afpbb.com/articles/-/3141993


http://www.ipa.go.jp/security/ciadr/vul/20170914_blueborne.html

http://www.sankei.com/world/news/170914/wor1709140008-n1.html


https://www.jiji.com/jc/article?k=2017120101180&g=soc

https://this.kiji.is/310344325375427681

https://gigazine.net/news/20171208-wordpress-keylogger/



https://internet.watch.impress.co.jp/docs/news/1098201.html


大規模「Locky」ランサムウェアキャンペーン、再び猛威－24時間にメール2,300万通

閲覧者のPCを無断でマイニングに利用するサイトが多数－5億台に影響の可能性もNTT東西、固定電話網のIP化確定　25年1月完了、移行に伴う悪質な販売に注意喚起

https://www.nikkei.com/article/DGXMZO22357760X11C17A0X1F000http://itpro.nikkeibp.co.jp/atcl/news/17/101702456/

キーロガー＆マイニング用スクリプト入りのマルウェアがWordPressで流行中、5,500近いサイトに感染

Office数式エディタの脆弱性を突く攻撃が日本に集中、偽「Windows Movie Maker」の検出も世界で増加

Oracle WebLogic Server の脆弱性（CVE-2017-10271）を悪用する攻撃事例について

http://www.sankei.com/pyeongchang2018/news/180213/pye1802130071-n1.html

世の中のサイバーセキュリティ事案

2

11




・1/4・1/26

・2/9・3/1・3/19・3/20

Spectre/Meltdownの報告。その後、類似したCPUの脆弱性が多数報告された。コインチェックへの不正アクセスによる仮想通貨の大規模盗難発生、仮想通貨交換所への規制強化や業界団体設立が進められた。平昌大会開会式へ本格的な標的型攻撃が発生した。memcachedの脆弱な設定を利用した1.3Tb/sのDDoS攻撃、翌週には1.7Tb/s日本年金機構から委託を受けた会社が契約に違反して中国に再委託、処理ミスによる6万件の支払い漏れも発生Facebookの個人情報を英データ分析会社が不正に利用、大統領選に利用の疑い

第4四半期

トピック日 URL

1月

2月

1

4

5

16

19

20

23

3月

・10/3・10/16・10/31

・11/16・11/30・12/1・12/4・12/20

総務省『IoTセキュリティ総合対策』を発表、その後も各種ガイドライン乱立WPA2脆弱性KRACKs（Key Reinstallation Attacks）報告（その後WPA3検討始まる）P2P調査サービスを提供していたセキュリティ会社員がウイルス保管容疑で逮捕

（その後、3/30京都地検が不起訴処分）経産省サイバーセキュリティ経営ガイドラインを改訂仮想通貨の悪用状況発表警察庁統計国税庁仮想通貨売却益を雑所得とする見解発表長野県の高校生が不正アクセス容疑で逮捕JAL ビジネスメール詐欺で3.8億円被害

第３四半期

8月

9月

1

4

16

21

27

30

トピック日

総務省「IoTセキュリティ総合対策」の公表

米ヤフー、30億アカウントの個人情報流出　過去最大

総務省無線LAN（Wi-Fi）暗号化における脆弱性について（注意喚起）

ウイルス保管容疑｠情報セキュリティー社員逮捕　京都府警

GMOインターネットから漏えいの個人情報、Amazonの電子書籍として販売される

狙われたIP転送電話　発信元を偽装｠不正防止の対策急務

経産省サイバーセキュリティ経営ガイドラインを改訂

「るろうに剣心」作者、児童ポルノ所持容疑　連載は休止

マルウェア「Mirai」の新型亜種が急増－日本でも感染被害か

仮想通貨悪用、半年で170件　資金洗浄疑いなど｠警察庁初統計

3

4

16

17

18

31

10月

11月

トピック日 URL

URL

ランサムウェア「Oni」出現、日本が標的の可能性

Apache Struts 2の脆弱性 (S2-048) に関する注意喚起

防衛省　サイバー部隊1,000人規模へ攻撃手段も研究

「スマート水槽」がハッカーの侵入口に、北米のカジノで被害

総務省発表 DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性

数百台のMacに感染しているのに数年間気づかれなかったマルウェア「FruitFly」

7

10

17

20

21

25

7月

【参考記事】

【参考記事】トピック日 URL

【参考記事】

仮想通貨の所得算定でQ&A＝相場急騰、適正申告呼び掛け－国税庁

高校生が偽サイト開設疑い、長野 2人を書類送検

一部のHP製ノートPCにキー入力を記録するバグ、緊急パッチで対応

JALが「信じ込んでしまった」手口とは、振り込め詐欺で3.8億円被害

仮想通貨が狙われている　北の攻撃増加「制裁逃れへ完璧な資産」

1

4

8

12

20

21

31

12月

JVNVU#93823979　投機的実行機能を持つCPUに対するサイドチャネル攻撃

Wi-Fi Alliance WPA3の計画発表

「Intel AMT」にセキュリティ上の問題、ノートPCが遠隔操作される恐れ－F-Secure

コインチェック、仮想通貨580億円流出＝不正アクセス、出金を停止

仮想通貨を盗むウイルス作成容疑の高校生逮捕、掲示板に本人らしき弁明も

4

8

15

17

27

30

http://jvn.jp/vu/JVNVU93823979/index.html



https://www.ipa.go.jp/security/ciadr/vul/20180115_WebLogicServer.html

https://www.jiji.com/jc/article?k=2018012700014&g=eco


【平昌五輪】ウイルス「五輪破壊者」を発見と米３企業　開会式へのサイバー攻撃

宇宙・サイバー空間で司令塔　防衛省「陸海空に次ぐ戦場」｠

ソフトバンク携帯、大規模障害「03」へ発信しにくく

仮想通貨、ゼロ円で一時取得可能に　交換サイト不具合

米「ネット中立性」撤廃を連邦官報に公示－60日のカウントダウン始まる。

電子入札が使えなくなる恐れ、波紋呼ぶJavaサポート打ち切り

memcached のアクセス制御に関する注意喚起

https://www.nikkei.com/article/DGXMZO27056650X10C18A2EA3000/

https://www.asahi.com/articles/ASL2M5TP2L2MULFA02Q.html

https://www.asahi.com/articles/ASL2P324FL2PULFA002.html


http://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/00081/

https://www.jpcert.or.jp/at/2018/at180009.html

GitHubに過去最大級のDDoS攻撃　Akamaiの協力により約8分で復旧

IoTサイバー対策の改正法案概要判明　接続業者間で情報共有、NICTが脆弱な機器を調査

出荷時点で「トロイの木馬」に感染　40モデル以上のAndroidデバイスで確認

ロシア政府のハッカー、米インフラにサイバー攻撃－FBIなど警告

500万人分の個人情報が中国業者に年金情報入力を再委託

FBの5,000万人余の個人情報不正に米大統領選に使われたか

流出NEM「完売」　資金洗浄完了か　販売サイトに金正恩氏の写真と「Thank you!!!」


http://www.sankei.com/economy/news/180304/ecn1803040005-n1.html


https://www.bloomberg.co.jp/news/articles/2018-03-15/P5NL6F6KLVR501



http://www.yomiuri.co.jp/national/20180320-OYT1T50080.html

13

17

19

21

23

23

28http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000126.html

http://www.asahi.com/articles/ASKB42RC7KB4UHBI00D.html


http://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000274.html

https://mainichi.jp/articles/20171101/k00/00m/040/145000c


https://www.nikkei.com/article/DGXMZO23056340S7A101C1SHA000/

http://www.meti.go.jp/press/2017/11/20171116003/20171116003.html

http://www.asahi.com/articles/ASKCP5CR9KCPUTIL04D.html


https://www.nikkei.com/article/DGXMZO24069120Q7A131C1CC0000/


http://www.jpcert.or.jp/at/2017/at170025.html

https://mainichi.jp/articles/20170717/k00/00e/010/140000c

https://www.cnn.co.jp/tech/35104512.html

http://www.soumu.go.jp/menu_news/s-news/02kiban04_04000212.html

http://gigazine.net/news/20170725-mac-malware-fruitfly/

仮想通貨ビットコインシステム変更めぐり分裂

世界的サイバー攻撃止めた研究者逮捕　別ウイルス拡散か

「ファイルレス」見えないサイバー攻撃急増　政府・金融機関など標的

米シカゴの有権者180万人の有権者情報が露呈、AWSの設定ミスに警鐘

グーグルの経路情報誤配信、OCNなどで大規模なネットワーク障害発生

北朝鮮による深刻な脅威として「電磁パルス攻撃」の可能性が指摘

1

4

20

21

25

30


http://www.asahi.com/articles/ASK8425YSK84UHBI002.html

http://www.sankei.com/affairs/news/170820/afr1708200002-n1.html

http://www.itmedia.co.jp/enterprise/articles/1708/21/news054.html



スマホ14万台乗っ取りサイバー攻撃新たな手口に警戒を

ハッカー集団が欧米の送配電網を掌握か、ロシアとのつながりも

米個人情報機関最大手Equifax、1億4,300万人の社会保障番号など漏えい

Bluetoothの実装における複数の脆弱性について

米、ロシアのセキュリティー大手製品の使用中止　情報機関との結び付き懸念

ネット金融狙うDDoS攻撃が続く、脅迫型による被害も明らかに

4

5

7

8

12

13

22



http://www.afpbb.com/articles/-/3141993


http://www.ipa.go.jp/security/ciadr/vul/20170914_blueborne.html



https://www.jiji.com/jc/article?k=2017120101180&g=soc

https://this.kiji.is/310344325375427681

https://gigazine.net/news/20171208-wordpress-keylogger/



https://internet.watch.impress.co.jp/docs/news/1098201.html


大規模「Locky」ランサムウェアキャンペーン、再び猛威－24時間にメール2,300万通

閲覧者のPCを無断でマイニングに利用するサイトが多数－5億台に影響の可能性もNTT東西、固定電話網のIP化確定　25年1月完了、移行に伴う悪質な販売に注意喚起

https://www.nikkei.com/article/DGXMZO22357760X11C17A0X1F000http://itpro.nikkeibp.co.jp/atcl/news/17/101702456/

キーロガー＆マイニング用スクリプト入りのマルウェアがWordPressで流行中、5,500近いサイトに感染

Office数式エディタの脆弱性を突く攻撃が日本に集中、偽「Windows Movie Maker」の検出も世界で増加

Oracle WebLogic Server の脆弱性（CVE-2017-10271）を悪用する攻撃事例について

http://www.sankei.com/pyeongchang2018/news/180213/pye1802130071-n1.html


2017年のサイバーセキュリティ関連タイムライン（NTTDATA-CERT寄稿）

出来事

脆弱性

ランサムウェア

メール

政府機関向け

攻撃

金融機関向け

攻撃

企業向け

攻撃

ＩｏＴ機器の

セキュリティ

仮想通貨

その他

仮想通貨値上がり傾向

1/16 US-CERTがSMBv1に対するセキュリティアドバイザリ

ホテルがランサムウェア被害、宿泊客締め出し

米ロ間、選挙関連サイバー攻撃に関する対立

4/10 MS Office脆弱性CVE-2017-0199

インターコンチネンタルホテルPoSシステムがマルウェア感染

Twitterのアカウントハッキング

WordPressサイト改ざん

Struts2サイト改ざん

BBC マクドナルド

Youbitハッキング1回目

2/1 WordPress脆弱性

2/24 SHA-1衝突攻撃成功

3/14 MS17-010公開

3/7 Struts2脆弱性

3/8 CIAのハッキングやマルウェアによる諜報活動がWikiLeaksに掲載される

5/30 改正個人情報保護法施行

モバイルデバイスを標的としたランサムウェアの流行

ランサムウェアCerberに機械学習機能を確認

5/12 WannaCry流行

6/21 ホンダに被害、一時操業停止

6/27 Petya亜種流行

ビジネスメール詐欺

Google、Facebookなど複数企業に被害

PDFにWordマクロを埋め込む、メールばらまき攻撃

Locky

Mirai亜種 Brickerbot拡大 Persirai出現

4/17 マルウェアMirai、Hajimeが拡散

仮想通貨採掘マルウェアの隆興

Jaff Trickbot

MS社をかたる不審メールの流通

Amazonをかたる不審メール流通

イタリア

インターコンチネンタルホテルPoSシステムがマルウェア感染（再）

金融機関に対するDDoS、脅迫

Ursnif流行

1/23サウジアラビア向け攻撃「Shamoon 2」の第三波攻撃が発生

韓国

モンゴル

ディズニー

国際政治に関連した攻撃フランス大統領選挙

カタール政府関連

ドイツ政党シンクタンク

4/3 カスペルスキーが北朝鮮とLazarusグループの関係を示唆

ポーランドなどの金融機関を標的にしたWeb待ち伏せ攻撃

朝鮮総連

3/23 警察庁などサイバー犯罪グループ壊滅作戦OpAvalancheに参加

OpKillingBayによるDDoS攻撃国内複数標的へ（2018年1月～3月にも発生）

IoTマルウェアの活動活発化

バンキングマルウェアDreamBot注意喚起

注意喚起

標的型攻撃 menuPass サイバー脅迫

標的型攻撃の発生

2017年1月 2月 3月 4月 5月 6月

出来事

脆弱性


メール

政府機関向け

攻撃

金融機関向け

攻撃

企業向け

攻撃

ＩｏＴ機器の

セキュリティ

仮想通貨

その他

Struts2脆弱性CVE-2017-9791

9/12 Bluetoothの脆弱性BlueBorne

Chromeの拡張機能侵害

9/7 Equifax情報漏えい

Copyfish侵害 Web Developer侵害

Struts2脆弱性CVE-2017-9805CVE-2017-12611

MSオフィス数式エディタの脆弱性CVE-2017-11882Flashの脆弱性

CVE-2017-11292

RSAライブラリ脆弱性 CVE-2017-15361

10/15 WPA2脆弱性KRACKs

7/25 Adobe社 2020年末にFlash Player更新停止を宣言

10/3 総務省 IoTセキュリティ総合対策を公表

EMOTET辞書攻撃拡散機能

Trickbot機能拡張

Cryptomix亜種AzerLocky亜種

東芝メモリで感染

10/24 BadRabbit流行

スマホをロックするLokibot

Spider

LockCrypt RDP総当たり攻撃

メール本文に不正URL

DDEを悪用したメールばらまき

Lockyばらまき

IoTroopの拡大

セシールベビータウン東京ガス東邦ガス

Mirai亜種 Mirai亜種

EirGridへの不正アクセス

Svpengキーロガー

The Dark Overloadによる攻撃

ランサムウェアの多様化

重要インフラへの攻撃

Dragonflyによるエネルギー部門を標的とした攻撃

政府関連組織を標的とした攻撃

マルウェアTriton スウェーデン交通システムへDDoS

ポイント狙いのリスト型攻撃

ディノスセシール

パスワードリスト型攻撃

IoTボットネット

バンキングマルウェアの機能追加

Trickbot機能拡張銀行のハッキング、SWIFT経由の不正送金


Cobaltによるトルコ金融機関を狙った攻撃

マネーパートナーズ、Zaif、bitFlyerなどへのサイバー脅迫

NetSarang社

12/19 Youbitハッキング2回目、破産

Etherparty IOCハッキング

NiceHashハッキング

9/18 CCleanerにマルウェア仕込み

Bithumbハッキング

Coindash ICOハッキング

ソフトウェアのサプライチェーン侵害サイバー脅迫

DreamBot TrickbotCerber

仮想通貨を窃取する攻撃

MineCrunchを配布するマルバタイジング Coinhive埋め込み

仮想通貨マイニングの流行

Verizon シカゴ市 Time Warner Cable 継続発生中S3設定誤りによる情報漏えい

JCB 楽天カード Apple

7月 8月 9月 10月 11月 12月

12/20 JALビジネスメール詐欺被害

出来事の関連：

一連の出来事：凡例

グローバル

脆弱性脅威インシデント

国内

5/24 Sambaの脆弱性CVE-2017-7494

12


2


2017年のサイバーセキュリティ関連タイムライン（NTTDATA-CERT寄稿）

出来事

脆弱性


メール

政府機関向け

攻撃

金融機関向け

攻撃

企業向け

攻撃

ＩｏＴ機器の

セキュリティ

仮想通貨

その他

仮想通貨値上がり傾向

1/16 US-CERTがSMBv1に対するセキュリティアドバイザリ

ホテルがランサムウェア被害、宿泊客締め出し

米ロ間、選挙関連サイバー攻撃に関する対立

4/10 MS Office脆弱性CVE-2017-0199

インターコンチネンタルホテルPoSシステムがマルウェア感染

Twitterのアカウントハッキング

WordPressサイト改ざん

Struts2サイト改ざん

BBC マクドナルド

Youbitハッキング1回目

2/1 WordPress脆弱性

2/24 SHA-1衝突攻撃成功

3/14 MS17-010公開

3/7 Struts2脆弱性

3/8 CIAのハッキングやマルウェアによる諜報活動がWikiLeaksに掲載される

5/30 改正個人情報保護法施行

モバイルデバイスを標的としたランサムウェアの流行

ランサムウェアCerberに機械学習機能を確認

5/12 WannaCry流行

6/21 ホンダに被害、一時操業停止

6/27 Petya亜種流行

ビジネスメール詐欺

Google、Facebookなど複数企業に被害

PDFにWordマクロを埋め込む、メールばらまき攻撃

Locky

Mirai亜種 Brickerbot拡大 Persirai出現

4/17 マルウェアMirai、Hajimeが拡散

仮想通貨採掘マルウェアの隆興

Jaff Trickbot

MS社をかたる不審メールの流通

Amazonをかたる不審メール流通

イタリア

インターコンチネンタルホテルPoSシステムがマルウェア感染（再）

金融機関に対するDDoS、脅迫

Ursnif流行

1/23サウジアラビア向け攻撃「Shamoon 2」の第三波攻撃が発生

韓国

モンゴル

ディズニー

国際政治に関連した攻撃フランス大統領選挙

カタール政府関連

ドイツ政党シンクタンク

4/3 カスペルスキーが北朝鮮とLazarusグループの関係を示唆

ポーランドなどの金融機関を標的にしたWeb待ち伏せ攻撃

朝鮮総連

3/23 警察庁などサイバー犯罪グループ壊滅作戦OpAvalancheに参加

OpKillingBayによるDDoS攻撃国内複数標的へ（2018年1月～3月にも発生）

IoTマルウェアの活動活発化

バンキングマルウェアDreamBot注意喚起

注意喚起

標的型攻撃 menuPass サイバー脅迫


2017年1月 2月 3月 4月 5月 6月

出来事

脆弱性


メール

政府機関向け

攻撃

金融機関向け

攻撃

企業向け

攻撃

ＩｏＴ機器の

セキュリティ

仮想通貨

その他

Struts2脆弱性CVE-2017-9791

9/12 Bluetoothの脆弱性BlueBorne

Chromeの拡張機能侵害

9/7 Equifax情報漏えい

Copyfish侵害 Web Developer侵害

Struts2脆弱性CVE-2017-9805CVE-2017-12611

MSオフィス数式エディタの脆弱性CVE-2017-11882Flashの脆弱性

CVE-2017-11292

RSAライブラリ脆弱性 CVE-2017-15361

10/15 WPA2脆弱性KRACKs

7/25 Adobe社 2020年末にFlash Player更新停止を宣言

10/3 総務省 IoTセキュリティ総合対策を公表

EMOTET辞書攻撃拡散機能

Trickbot機能拡張

Cryptomix亜種AzerLocky亜種

東芝メモリで感染

10/24 BadRabbit流行

スマホをロックするLokibot

Spider

LockCrypt RDP総当たり攻撃

メール本文に不正URL

DDEを悪用したメールばらまき

Lockyばらまき

IoTroopの拡大

セシールベビータウン東京ガス東邦ガス

Mirai亜種 Mirai亜種

EirGridへの不正アクセス

Svpengキーロガー

The Dark Overloadによる攻撃

ランサムウェアの多様化


Dragonflyによるエネルギー部門を標的とした攻撃

政府関連組織を標的とした攻撃

マルウェアTriton スウェーデン交通システムへDDoS

ポイント狙いのリスト型攻撃

ディノスセシール

パスワードリスト型攻撃

IoTボットネット

バンキングマルウェアの機能追加

Trickbot機能拡張銀行のハッキング、SWIFT経由の不正送金


Cobaltによるトルコ金融機関を狙った攻撃

マネーパートナーズ、Zaif、bitFlyerなどへのサイバー脅迫

NetSarang社

12/19 Youbitハッキング2回目、破産

Etherparty IOCハッキング

NiceHashハッキング

9/18 CCleanerにマルウェア仕込み

Bithumbハッキング

Coindash ICOハッキング

ソフトウェアのサプライチェーン侵害サイバー脅迫

DreamBot TrickbotCerber

仮想通貨を窃取する攻撃

MineCrunchを配布するマルバタイジング Coinhive埋め込み

仮想通貨マイニングの流行

Verizon シカゴ市 Time Warner Cable 継続発生中S3設定誤りによる情報漏えい

JCB 楽天カード Apple

7月 8月 9月 10月 11月 12月

12/20 JALビジネスメール詐欺被害

出来事の関連：

一連の出来事：凡例

グローバル

脆弱性脅威インシデント

国内

5/24 Sambaの脆弱性CVE-2017-7494

13




2017年度の主なNTTグループのセキュリティ関連報道発表・2017年度のインシデントとしては、社内システムのマルウェア感染やNTTグループが販売するネットワーク機器の脆弱性などが報告された。

・昨年度から引き続き、NTTグループのサイトまたはサービス利用者をターゲットとするフィッシングサイト攻撃や攻撃メールが多発し、グループ各社から注意喚起が行われた。

・IoTやクラウド、フィンテックなどの新たなICTの発展に対応し、NTTグループ各社からさまざまなセキュリティサービスが提案されたほか、2020大会に向けた体制整備も発表された。

掲載日掲載元見出し URL

2017/4/27 NTT西日本弊社システムの不具合による各種通信サービスの開通工事への影響について http://www.ntt-west.co.jp/newscms/info2/6390/oshirase170427_1100.pdf

2017/5/16 NTTセキュリティ・ジャパン RIGエクスプロイトキット解析レポート https://www.nttsecurity.com/-/media/nttsecurity/files/

resource-center/what-we-think/rigek-analysis-report.pdf2017/5/17 NTTデータ大規模ランサムウエア感染に関する緊急調査レポートを公開 http://www.nttdata.com/jp/ja/news/information/2017/2017051701.html2017/5/18 NTTデータ交通系電子マネーにおける二重引去りの発生について http://www.nttdata.com/jp/ja/news/information/2017/2017051801.html2017/5/19 NTT西日本 NTT西日本の名前をかたった不審な商法にご注意 http://www.ntt-west.co.jp/info/support/attention170519.html2017/6/29 NTTデータランサムウエア「Petya」亜種の大規模感染に関する緊急調査レポートを公開 http://www.nttdata.com/jp/ja/news/information/2017/2017062901.html

2017/7/3 NTTデータ先端技術 NotPetyaランサムウェア攻撃の詳細分析 http://www.intellilink.co.jp/article/column/security-NotPetya.html

2017/7/10 NTTドコモ「Wi-Fi STATION L-02F」をご利用のお客様へ、ソフトウェアアップデート実施のお願い https://www.nttdocomo.co.jp/info/notice/page/170710_01_m.html

2017/7/13 NTTデータグローバルセキュリティ動向四半期レポート（2017年度第1四半期） http://www.nttdata.com/jp/ja/news/information/2017/pdf/NTTDATA_FY2017_1Q_SecurityReport.pdf

2017/7/21 NTT西日本お客様情報の一時紛失について http://www.ntt-west.co.jp/newscms/hyogo/6680/20170721_1500.pdf2017/8/7 NTT東日本お客さま各位BizBoxルータ「N1200」等をご利用のお客さまへ http://web116.jp/ced/support/news/contents/2017/20170807.html2017/8/7 NTT西日本 Biz Boxルータ「RTX1210」「N1200」「RTX810」「NVR700W」をご利用のお客様へ http://flets-w.com/solution/kiki_info/info/170807.html2017/8/30 OCN OCN モバイル ONEにおける全国瞬時警報システム（Jアラート）情報の受信について http://www.ocn.ne.jp/info/announce/2017/08/30_1.html2017/8/31 NTT西日本 NTT西日本の名前をかたった不審な電話や販売勧誘にご注意 http://www.ntt-west.co.jp/info/support/attention170831.html2017/9/5 NTT東日本お客様各位　ホームファクス「でんえもん」シリーズをご利用のお客さまへ http://web116.jp/ced/support/news/contents/2017/20170905.html2017/9/7 NTT-AT 2016年5月27日に発覚したセキュリティインシデントに関するご報告 http://www.ntt-at.co.jp/news/2017/detail/release170907.html2017/9/12 JPCERT/CC NTTドコモ Wi-Fi STATION L-02F の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170034.html

2017/9/12 NTTドコモ報道発表資料　北海道の一部地域でのエリアメールが未達だった事象について＜2017年9月12日＞

https://www.nttdocomo.co.jp/info/news_release/2017/09/12_00.html

2017/9/14 NTTドコモセキュリティ方式変更に伴う、ドコモスマートフォンのGPS機能への影響について https://www.nttdocomo.co.jp/info/notice/pages/170914_00.html2017/9/21 NTTレゾナント「NTT-X Store」からの「商品発送のお知らせ」を装うスパムメールにご注意ください https://help.goo.ne.jp/help/article/2230/2017/10/4 NTTデータ Apache Tomcatに含まれる脆弱性（CVE-2017-12617）に関する脆弱性検証レポート http://www.intellilink.co.jp/article/vulner/171004.html

2017/10/5 NTTレゾナント【ご報告】本日午後17時30分頃から、当店の「商品発送のお知らせ」の文面を模したスパムメールの配信が、再度報告されております。 https://twitter.com/i/web/status/915864393467883520

2017/10/17 NTT西日本固定電話のIP網移行に便乗した悪質な販売行為にご注意ください／NTT西日本 http://www.ntt-west.co.jp/info/support/attention171017.html2017/10/17 NTT東日本固定電話のIP網移行に便乗した悪質な販売行為にご注意ください http://www.ntt-east.co.jp/info/detail/171017_01.html

2017/10/19 NTTデータ先端技術

【緊急レポート】KRACKs（key reinstallation attacks：鍵再インストール攻撃）について http://www.intellilink.co.jp/article/vulner/171019.html

2017/10/19 NTT西日本無線 LAN（Wi-Fi 通信）対応機器等をご利用のお客様へ（WPA2 の脆弱性関連）

http://www.ntt-west.co.jp/newscms/notice/6944/ 【お知らせ】無線LAN（Wi-Fi通信）対応機器等をご利用のお客様へ.pdf

2017/10/19 NTT東日本お客様各位　無線LAN（Wi-Fi通信）対応機器をご利用のお客様へ http://web116.jp/ced/support/news/contents/2017/20171019.html

2017/10/23 NTTデータサイバーセキュリティに関するグローバル動向四半期レポート（2017年7月～9月）を公開

http://www.nttdata.com/jp/ja/news/information/2017/2017102301.html

2017/10/25 NTTぷららぷららを騙る詐欺メール（フィッシングメール）にご注意ください https://www.plala.or.jp/support/info/2017/1025/2017/10/27 NTTデータランサムウエア「BadRabbit」の大規模感染に関する緊急調査レポートを公開 http://www.nttdata.com/jp/ja/news/information/2017/2017102702.html

2017/11/17 NTT西日本お客様各位　無線LAN（Wi-Fi通信）対応機器をご利用のお客様へ／情報更新日：2017年11月17日 http://www.ntt-west.co.jp/kiki/support/wpa2/171120/index.html

2017/11/17 NTT東日本無線LAN（Wi-Fi通信）対応機器をご利用のお客様へ http://web116.jp/ced/support/news/contents/2017/20171019.html

2017/12/5 NTTコミュニケーションズ Windowsアップデートのエラーに関するお問い合わせ先について https://support.ntt.com/ocn/information/detail/pid2500000h2

o?parentGoodsCode=5112017/12/7 NTT西日本ファームウェアバージョン1.06.14(光BOX+ WPA2に関する脆弱性対応) http://www.ntt-west.co.jp/kiki/hikaribox/hb-2000/versionup/2017/12/15 NTTデータ証券取引等監視委員会の勧告について http://www.nttdata.com/jp/ja/news/information/2017/2017121501.html

2017/12/21 NTT東日本お客さま各位　セキュリティ証明書の切り替えに伴う弊社フレッツ・ミルエネ対応通信機器への影響について

http://web116.jp/ced/support/news/contents/2017/20171221.html

2018/1/9 NTTPC SuitePRO V4 CPUの脆弱性に関するお知らせ(meltdown/spectre関連) https://web.arena.ne.jp/news/2018/0109.html2018/1/9 NTTPC VPSクラウド CPUの脆弱性に関するお知らせ(meltdown/spectre関連) https://web.arena.ne.jp/news/2018/0109_2.html2018/1/10 NTTPC 専用サーバー CPUの脆弱性に関するお知らせ(meltdown/spectre関連) https://web.arena.ne.jp/news/2018/0110.html

2018/1/10 NTTスマートコネクト【重要】CPUの脆弱性（MeltdownおよびSpectre）による当社サービスへの影響について https://www.nttsmc.com/info/h30/20180110.html

2018/1/16 NTTスマートコネクト緊急サーバメンテナンス工事のお知らせ（1月23日実施）(meltdown/spectre関連) http://support.mngsv.jp/info/mtn/1665/

2018/1/19 NTTドコモ【お詫び】「緊急警報」の誤送信について https://www.nttdocomo.co.jp/info/notice/page/180119_01_m.html2018/1/22 NTTデータ当社社内システムにおけるランサムウェア感染と対処完了について http://www.nttdata.com/jp/ja/news/information/2018/2018012201.html2018/2/6 NTTドコモドコモからのお知らせ　ドコモを装ったメール、ウェブサイトにご注意ください https://www.nttdocomo.co.jp/info/notice/page/180206_01_m.html2018/2/26 NTT東日本 VoIPルーター「Netcommunity OG2300Xi」をご利用のお客さまへ http://web116.jp/ced/support/news/contents/2018/20180226.html


2017/4/5 NTT-AT マクニカネットワークスとNTTアドバンステクノロジ、McAfee SIEMの販売・監視サービスにおいて協業を開始 http://www.ntt-at.co.jp/news/2017/detail/release170405.html

2017/4/5 NTT東日本法人向けクラウド型ウイルス対策サービス「おまかせアンチウイルス」の提供開始について http://www.ntt-east.co.jp/release/detail/20170405_01.html

2017/4/12 NTTネオメイト「AQStage メールセキュリティアドバンス」の提供開始について http://www.ntt-neo.com/news/2017/170412.html

2017/4/18 NTTコミュニケーションズ

「Multi-Cloud Connect」が、日本の通信キャリアで初めてVPNによる「Oracle Cloud」への接続を開始

http://www.ntt .com/about -us/press - re leases/news/article/2017/0418.html

2017/4/19 NTTPC SuitePRO V4『UTM』オプションのWAF機能追加について http://web.arena.ne.jp/news/2017/0419.html2017/5/9 NTTテクノクロスメール誤送信防止ソフトウェア「CipherCraft®/Mail」新バージョンを6月30日から発売 https://www.ntt-tx.co.jp/whatsnew/2017/170509.html

14

インシデント、脆弱性情報、攻撃情報・攻撃レポート、その他注意喚起

サービス、製品、研究開発


2


2017年度の主なNTTグループのセキュリティ関連報道発表・2017年度のインシデントとしては、社内システムのマルウェア感染やNTTグループが販売するネットワーク機器の脆弱性などが報告された。

・昨年度から引き続き、NTTグループのサイトまたはサービス利用者をターゲットとするフィッシングサイト攻撃や攻撃メールが多発し、グループ各社から注意喚起が行われた。

・IoTやクラウド、フィンテックなどの新たなICTの発展に対応し、NTTグループ各社からさまざまなセキュリティサービスが提案されたほか、2020大会に向けた体制整備も発表された。


2017/5/16 NTTデータ先端技術

国内初、NTTデータ先端技術がP2PEアプリケーションのセキュリティ評価機関PA-QSA (P2PE)として認定 http://www.intellilink.co.jp/all/topics/20170516/PA-QSA.html

2017/5/19 NTTセキュリティ・ジャパン

NTTセキュリティ・ジャパンとサイバーリーズン・ジャパンが未知のランサムウェア対策にも有効なEDR（EndpointDetection and Response）製品をトータルセキュリティソリューションとして共同展開

https://www.nttsecurity.com/-/media/nttsecurity/pdfs/20170519-press-release.pdf

2017/5/25 NTTPC 専用サーバーサービス『セキュリティ監視』の新メニュー『DDoS対策サービス』提供開始について https://web.arena.ne.jp/news/2017/0525.html

2017/6/7 NTT東日本セキュリティインシデント監視・復旧支援サービス「おまかせサイバーみまもり」を提供開始 http://www.ntt-east.co.jp/release/detail/20170607_01.html

2017/6/12 NTTレゾナント goo防災アプリ、プッシュ通知機能をバージョンアップ Jアラート通知はアプリDLのみで対応可能に https://pr.goo.ne.jp/goo/2017/20691/

2017/6/15 NTT-AT 標的型攻撃やランサムウェア対策のシステム運用を代行 http://www.ntt-at.co.jp/news/2017/detail/release170615.html2017/6/26 NTTスマートコネクトレンタルサーバサービス「スマイルサーバ（共用サーバ）SSLセットプラン」の提供開始について http://www.nttsmc.com/news/h29/20170626.html

2017/6/27 NTTデータ四国地方公共団体で初、徳島県がマイナンバーカードとパスワードを組み合わせた二要素認証システムを導入 http://www.nttdata-shikoku.co.jp/news/2017/06/post_48.html

2017/6/28 NTTレゾナント NTTレゾナント、オープンソースベースのシングルサインオンソリューションを提供開始 https://pr.goo.ne.jp/other/2017/20950/

2017/6/29 NTTPC メールプレミアム『迷惑メールフィルター（ホワイトリスト／ブラックリスト）』と『添付ファイル自動暗号化』仕様変更について https://web.arena.ne.jp/news/2017/0629_2.html

2017/7/3 NTTコミュニケーションズセキュアなIoT向け低価格SIMを提供開始 http://www.ntt.com/about-us/press-releases/news/

article/2017/0703.html2017/7/3 NTTドコモドコモ提供Androidアプリの一部サービス提供条件の変更について(SHA-2移行関連) https://www.nttdocomo.co.jp/info/notice/pages/170703_00.html

2017/7/3 NTT西日本アカデミック向け新プラン登場！ SINET経由によるMicrosoft Azureへのマネージド閉域網ソリューションの提供開始について https://www.ntt-west.co.jp/news/1707/170703a.html


サイバーセキュリティに関する情報分析など専門性の高い業務を支援する「アドバイザリーサポート」を提供開始

http://www.ntt.com/about-us/press-releases/news/article/2017/0719_2.html

2017/7/27 NTT 世界初、高い安全性と相互接続性を両立するディジタル署名を実現 http://www.ntt.co.jp/news2017/1707/170727a.html2017/8/3 NTTドコモ「あんしんナンバーチェック」のご利用条件の変更について https://www.nttdocomo.co.jp/info/notice/page/170803_00_m.html

2017/9/1 NTT西日本幅広い規模・業種の企業ニーズに応える新たなセキュリティサービスの提供開始について～ICT環境のセキュリティ対策から運用まで一元的にサポート～ http://www.ntt-west.co.jp/info/support/sec_service.html

2017/9/1 NTT-AT DDoS 攻撃対策強化に向け、Arbor Networks 製品の提供を開始～各種セキュリティ対策商材とのソリューション化で付加価値を提供～ http://www.ntt-at.co.jp/news/2017/detail/release170901.html

2017/9/1 NTTPC メールセキュリティ機能を強化したOffice 365のパートナー向け卸サービス開始 http://www.nttpc.co.jp/press/2017/09/201709011500.html

2017/9/4NTTコミュニケーションズ／NTTPC

「IoTセキュリティ基盤を活用した安心安全な社会の実現に向けた実証実験」に参画～「カーモビリティ」「スマートホーム」「エデュケーション」分野における「IoTセキュリティ基盤」の有用性を検証～

http://www.ntt.com/about-us/press-releases/news/article/2017/0904.html

2017/9/11 NTT （ニュースリリース）安全かつ有用な「匿名加工情報」の作成を支援するソフトウェアを開発～データの特性や利用目的に応じた最適な加工方法の選択・評価環境を実現～ http://www.ntt.co.jp/news2017/1709/170911a.html

2017/9/12 NTTテクノクロスプレスリリース　国内唯一！専用機器を使わずカメラで手のひら認証！安全なモバイルワークを実現する生体認証ソリューション「BioPassport™」販売決定 https://www.ntt-tx.co.jp/whatsnew/2017/170912.html

2017/9/14 NTTぷららサポートアプリ「マイぷらら」の新機能、「安心サービス」の提供について https://www.plala.or.jp/support/info/2017/0914/2017/9/21 OCN OCN IDのセキュリティ強化（リスクベース認証の導入）について http://www.ocn.ne.jp/info/announce/2017/09/21_1.html


高精度な悪性サイト情報サービス「Active Blacklist Threat Intelligence」の提供を開始～日本で今起きているサイバー攻撃情報を活用した防御力の強化～


2017/10/4 NTT東日本クラウドゲートウェイクロスコネクト」で「Microsoft Azure」の閉域接続が利用可能に～2018年1月31日までにお申し込みのお客さまは月額利用料を3ヶ月間割引き～ http://www.ntt-east.co.jp/release/detail/20171004_01.html

2017/10/11 NTTデータ／NTT東日本

セキュアな閉域ネットワーククラウドプラットフォームを活用送金代行サービス「Bankur（バンクル）」の通信回線を高セキュリティ化

http://www.nttdata.com/jp/ja/news/release/2017/101101.html

2017/10/12 NTTテクノクロスクラウドサービス利用者の行動をリアルタイムで可視化　情報持ち出し対策を強化する唯一の国産CASBソリューション「TrustBind/Cloud Daemon」を販売開始 https://www.ntt-tx.co.jp/whatsnew/2017/171012.html

2017/10/23 NTT 秘密分散技術の初の国際標準にNTTの秘密分散技術が採択 http://www.ntt.co.jp/news2017/1710/171023a.html

2017/10/24 NTT東日本「フレッツ・VPNゲート」における｢ユーザ認証代行機能｣の利用対象に1G、10Gメニューが追加～お客さまのプライベートネットワークの構築・運用をより手軽に～

http://www.ntt-east.co.jp/release/detail/20171024_01.html


「Multi-Cloud Connect」が、世界で初めて「cybozu.com」へのVPN接続に対応～セキュアで安定したネットワーク環境からの利用を実現～


2017/11/14 NTTデータ「3-D Secure本人認証サービス」にリスクベース認証機能を導入～三井住友カードで採用決定、拡大するクレジットカード決済における成りすまし不正使用対策を強化～


2017/11/29 NTTテクノクロス

累計導入社数6,000社のリモートアクセスサービス「マジックコネクト」に勤務管理やマルチモニター利用といった働き方改革に有効な新機能を追加 https://www.ntt-tx.co.jp/whatsnew/2017/171129.html

2017/12/4 NTTドコモ（お知らせ）「あんしんネットセキュリティ」に危険Wi-Fi対策を追加－公衆無線LAN利用者の83％がセキュリティに不安－


2018/1/10 NTTスマートコネクトビジュアル分析ツール「Tableau」を活用したデータ分析ソリューションの提供～セキュア・低遅延なデータ分析基盤を活用したデータ分析ビジネスの推進～ https://www.nttsmc.com/news/h30/20180110.html

2018/1/17 NTTデータビジネスシステムズ

【ニュースリリース】既存ノウハウにAI・顔認証などの新技術を融合させるintra-mart専門開発センターの正式運用を中国で開始 https://www.nttdata-bizsys.co.jp/topics/2018/000396.html

2018/1/23 NTT-AT Trusona#NoPasswordsソリューションを日本で展開～パスワードを必要としないセキュアなID認証サービスを実現～ http://www.ntt-at.co.jp/news/2018/detail/release180123.html

2018/1/31 NTT-AT 通信相手とのホスト識別技術によりTCP/IPの弱点を克服 http://www.ntt-at.co.jp/news/2018/detail/release180131.html


ICT環境のセキュリティ上の欠陥を速やかに特定する「脆弱性見える化ソリューション」を提供開始～セキュリティリスクを可視化し、事業継続の判断をサポート～


掲載日掲載元見出し URL2017/4/6 NTTデータ群馬大学と次世代モビリティ社会実装研究に関する産学連携協定の締結 http://www.nttdata.com/jp/ja/news/release/2017/040601.html2017/6/20 NTTドコモ組織の新設 https://www.nttdocomo.co.jp/info/news_release/2017/06/20_01.html

2017/6/20 NTT東日本 NTT東日本の「トータルセキュリティ対策の推進」が「MM総研大賞2017 スマートソリューション部門セキュリティ分野最優秀賞」を受賞 http://www.ntt-east.co.jp/info/detail/170620_01.html

2017/6/23 ITPro NTTがセキュリティ人材を3万人育成、2020年までの目標値の3倍達成 http://itpro.nikkeibp.co.jp/atcl/news/17/062201735/2017/7/10 NTTドコモ「スマホ・ケータイ安全教室」の累計受講者数が1,000万人を突破 https://www.nttdocomo.co.jp/info/news_release/2017/07/10_00.html

2017/7/10 NTTデータシンクライアントリモートデスクトップ環境を全社3万名規模で導入 http://www.nttdata.com/jp/ja/news/services_info/2017/2017071001.html

2017/7/12 NTT-AT NTTアドバンステクノロジとディアイティ　サイバーセキュリティ分野において協業を開始 http://www.ntt-at.co.jp/news/2017/detail/release170712.html

2017/8/7 NTTデータ NTTデータ、ミラクル・リナックス、サイバートラストがIoT×エッジコンピューティング分野で協業


2017/9/8 NTTドコモ警視庁と合同で「～みんなで学ぶ～TOKYOネット教室」を開始－児童・生徒がインターネットを介したトラブルに巻き込まれないために－


2017/11/13 NTTコミュニケーションズ米国の大手ITマネージドサービス事業者Secure-24の株式取得について http://www.ntt.com/about-us/press-releases/news/

article/2017/1113.html

2017/11/14 NTTドコモ・ベンチャーズ ThreatQuotient,Incへの出資について https://www.nttdocomo-v.com/release/fsmmp725dz/

2017/12/18 NTTPC クレジットカード支払いの仕様変更のお知らせ　～カード情報の非保持化など～ http://www.nttpc.co.jp/topics/info/2017/12/20171215150000.html2017/12/20 NTTドコモ冬休み・新学期に向けたフィルタリングサービス普及啓発の取組みについて https://www.nttdocomo.co.jp/info/notice/page/171220_00_m.html2018/1/15 NTTドコモ「ドコモメール」のセキュリティ強化について https://www.nttdocomo.co.jp/info/notice/page/180115_00_m.html2018/1/30 NTTスマートコネクト暗号化通信のセキュリティ対策工事について http://support.mngsv.jp/info/mtn/1679/

2018/2/15 NTTドコモ／ NTTドコモ・ベンチャーズ

ドコモ、APIのオープン化をセキュアに実現～NTTドコモ・ベンチャーズを通じ出資した、株式会社Authleteと協創～ https://www.nttdocomo-v.com/release/863osb1hgr/

2018/2/20 NTT-AT NTT-ATの「ICT-24クラウドサービス」が、クラウドセキュリティの国際規格「ISO/IEC 27017」の認証を取得 http://www.ntt-at.co.jp/news/2018/detail/release180220.html

2018/2/26 NTT-ME オンライン会員サポートの「2段階認証」導入について https://www.wakwak.com/files/information/20180226.pdf

15



組織、対外連携、セキュリティの取り組み

概要

ネット中立性廃止

2017年に特に話題となった政府系の動きについて紹介する。

❶ 各国政府動向

●ネット中立性廃止　●サイバー空間は陸海空宇宙に次ぐ新戦域に●国家による諜報活動に関する動向●中国、規制強化●暗号通貨、各国規制を検討

① FCCがゼロレーティングに関する考え方を変更●オバマ政権とトランプ政権では、米FCCのモバイルキャリアのゼロレーティングサービスに関する考え方が

変わっている。・ゼロレーティングとは特定のデータの通信量をカウントしないことである。・アメリカにおいては、複数のモバイルキャリアが自社の動画配信サービスに対してゼロレーティングを適用している。

① 軍事演習、サイバーが重要要素に●2017年開催のアメリカ欧州軍や英国海軍の大規模軍事演習において、 “サイバー”が重要なキーワードとして取り上げられている。

・米国防情報システム局DISAの欧州チーム「DISA Europe」が2017年2月上旬、アメリカ欧州軍（EUCOM）の大規模軍事演習に参加し、さまざまな戦域での通信を担当した。

・演習シナリオでは通信とサイバー空間における作戦が重要な要素だった。・DISA Europeは、サイバーセキュリティサービスプロバイダとして防衛サイ

バー作戦を遂行した。・チームメンバーは24時間体制でEUCOMの作戦司令室などに所属して

演習に参加・DISAがEUCOMをサポートできることを確認した。

・英国海軍、3月の大規模軍事演習の実施項目にAIとサイバー戦争を追加・3月末に2週間予定している大規模軍事演習“Information Warrior 17”で、

AIとサイバー攻撃を利用すると発表した。・海軍が、新時代の戦争がもたらす課題への確実な対応力を身に付けることが

演習の目的・情報化時代における海上および沿岸の戦争に焦点を当てる。・戦艦や潜水艦、海軍が、現実の危機のさなかに起こるサイバーインシデ

ントに効果的に対応できるかどうかをテストする。・AIやロボット、自動化、量子コンピューティングなどを、将来に向けた

不確定要素と想定し訓練・防衛だけではなく攻撃面も視野に

・AIなどの技術を積極的に利用して脅威への対応戦略を改善・武器化することも視野に入れている。

② 米ISP企業に対する規制が撤廃●Verizon社などの米国ISPに対して、消費者の同意なしにブラウザ履歴情報などの販売を禁じる規則が不平

などと見なされ廃止された。・2016年10月27日に、オバマ政権下のFCCがプライバシー保全のためにISPに対する規則を制定した。・ISP企業がユーザのブラウザ履歴や位置情報などを広告やマーケティングに利用する際に、許可を得ることを義務付けた。

③ FCCがネット中立性に関する規制廃止を承認●ネット中立性に関する規制の廃止案が2017年12月14日にFCCで承認された。これに伴い、ISPの管轄権

をFCCからFTCに引き継ぐ計画が発表された。

・2017年3月1日に、FCCはこの規則の施行を一旦停止すると発表・Googleなどのテック企業はこの規制対象外のため、ISP企業より

多くの顧客データを収集してオンライン広告に利用しており不平等だ、とトランプ政権下のFCC委員長Ajit Pai氏は主張していた。

・2017年4月3日に大統領が同規則の廃止法案に署名・The Hacker Newsによると、今回の規制撤回は議会評価法に基づいて

投票が行われたため、今後FCCは同様の規制を制定できなくなる。

ネット中立性廃止－ブロードバンドは公共サービスからマーケティングの場へ

・トランプ大統領就任（2017年1月20日）の後、FCC議長にAjit Pai氏が指名されたことで（2017年1月23日）、インターネットの在り方に関する米国政府の姿勢が大きく転換した。

・Pai氏は就任後、オバマ政権が制定したネット中立性規則を廃止し、インターネットの管轄をFCC＊1（連邦通信委員会）からFTC＊2（連邦取引委員会）に移すことを計画するなど、大規模な改革を進めている。

①FCCがゼロレーティングに関する考え方を変更②米ISP企業に対する規制が撤廃③FCCがネット中立性に関する規制廃止を承認

サイバー空間は陸海空宇宙に次ぐ新戦域に

サイバー空間を、従来の陸、海、空、宇宙に次ぐ、第5の新たな戦域と見なす動きが数多く見られた。

・サイバー攻撃が国家に与える影響が大きくなり、戦域の一つと見なす国や組織が増加・軍事演習の要素としても、積極的に取り組む事例が見られた。・サイバー空間を主眼においた軍事拠点の建設計画も明らかにされた。

①軍事演習、サイバーが重要要素に②政治をめぐるロシアと欧州の動き③EU・NATO、相次ぎサイバー攻撃対応方針

●Ajit Pai氏参照：http://thehackernews.com/2017/03/fcc-

ajit-pai-net-neutrality.html

2. 事案の分析本節では2017年の重要なトピックとして、以下の4テーマについて分析を行う。

① 各国政府動向② 話題となった脆弱性

③ サイバー攻撃④ その他の話題

＊1 FCC: Federal Communications Commission（連邦通信委員会）＊2 FTC: Federal Trade Commission（連邦取引委員会）

発表

類似点

相違点

オバマ政権トランプ政権

2017年1月11日にFCCが調査レポートを発行

モバイルキャリアの契約者にはメリットがある。モバイルキャリアの契約者（特に低所得者）に人気がある。

ほかの動画配信事業者の契約者や、その事業者との競争の害となる可能性がある。

今後、FCCはゼロレーティング規制に焦点を当てず、ブロードバンドの拡大と革新的なサービス提供を推進する。

2017年2月3日にFCCのチェアマンが声明を発表

・2017年11月22日に提出されたネット中立性規制の廃止案「Proposal to Restore Internet Freedom」が、賛成3、反対2で承認された。・ネット中立性はネット上のデータを等しく扱うよう定めたポリシーであり、

オバマ政権下ではISPによるトラフィックの制限や優遇を禁止していた。・トランプ政権でのFCC委員長Pai氏は同規制の撤廃をめざしていた。

・ネット中立性に関する規制の廃止に伴う変更点・ブロードバンドサービスの分類が「通信」から「情報サービス」に戻る。・ISPによるトラフィックのブロックや制限、有料での優遇が可能となるが、

ISPはその情報の開示を義務付けられる。・ISPの管轄権はFTCが引き継ぎ、ISPが正確に情報開示しているかを監査する。

●DISA Europe参照：

●Information Warrior 17参照：

●FTCのロゴ参照：https://www.ftc.gov/about-ftc/

office-inspector-general

http://www.disa.mil/~/media/Images/DISA/Services/Logo/logo_europe_seal.gif?w=205&h=220&as=1

http://www.royalnavy.mod.uk/-/media/royal-navy-responsive/images/operations/information-warrior/blocks/info-warrior-logo-med-block.jpg?h=490&la=en-GB&w=490&hash=C84A5B81D8A1570BEE4401B6585E815780446036

16


2

概要

ネット中立性廃止

2017年に特に話題となった政府系の動きについて紹介する。

❶ 各国政府動向

●ネット中立性廃止　●サイバー空間は陸海空宇宙に次ぐ新戦域に●国家による諜報活動に関する動向●中国、規制強化●暗号通貨、各国規制を検討

① FCCがゼロレーティングに関する考え方を変更●オバマ政権とトランプ政権では、米FCCのモバイルキャリアのゼロレーティングサービスに関する考え方が

変わっている。・ゼロレーティングとは特定のデータの通信量をカウントしないことである。・アメリカにおいては、複数のモバイルキャリアが自社の動画配信サービスに対してゼロレーティングを適用している。

① 軍事演習、サイバーが重要要素に●2017年開催のアメリカ欧州軍や英国海軍の大規模軍事演習において、 “サイバー”が重要なキーワードとして取り上げられている。

・米国防情報システム局DISAの欧州チーム「DISA Europe」が2017年2月上旬、アメリカ欧州軍（EUCOM）の大規模軍事演習に参加し、さまざまな戦域での通信を担当した。

・演習シナリオでは通信とサイバー空間における作戦が重要な要素だった。・DISA Europeは、サイバーセキュリティサービスプロバイダとして防衛サイ

バー作戦を遂行した。・チームメンバーは24時間体制でEUCOMの作戦司令室などに所属して

演習に参加・DISAがEUCOMをサポートできることを確認した。

・英国海軍、3月の大規模軍事演習の実施項目にAIとサイバー戦争を追加・3月末に2週間予定している大規模軍事演習“Information Warrior 17”で、

AIとサイバー攻撃を利用すると発表した。・海軍が、新時代の戦争がもたらす課題への確実な対応力を身に付けることが

演習の目的・情報化時代における海上および沿岸の戦争に焦点を当てる。・戦艦や潜水艦、海軍が、現実の危機のさなかに起こるサイバーインシデ

ントに効果的に対応できるかどうかをテストする。・AIやロボット、自動化、量子コンピューティングなどを、将来に向けた

不確定要素と想定し訓練・防衛だけではなく攻撃面も視野に

・AIなどの技術を積極的に利用して脅威への対応戦略を改善・武器化することも視野に入れている。

② 米ISP企業に対する規制が撤廃●Verizon社などの米国ISPに対して、消費者の同意なしにブラウザ履歴情報などの販売を禁じる規則が不平

などと見なされ廃止された。・2016年10月27日に、オバマ政権下のFCCがプライバシー保全のためにISPに対する規則を制定した。・ISP企業がユーザのブラウザ履歴や位置情報などを広告やマーケティングに利用する際に、許可を得ることを義務付けた。

③ FCCがネット中立性に関する規制廃止を承認●ネット中立性に関する規制の廃止案が2017年12月14日にFCCで承認された。これに伴い、ISPの管轄権

をFCCからFTCに引き継ぐ計画が発表された。

・2017年3月1日に、FCCはこの規則の施行を一旦停止すると発表・Googleなどのテック企業はこの規制対象外のため、ISP企業より

多くの顧客データを収集してオンライン広告に利用しており不平等だ、とトランプ政権下のFCC委員長Ajit Pai氏は主張していた。

・2017年4月3日に大統領が同規則の廃止法案に署名・The Hacker Newsによると、今回の規制撤回は議会評価法に基づいて

投票が行われたため、今後FCCは同様の規制を制定できなくなる。

ネット中立性廃止－ブロードバンドは公共サービスからマーケティングの場へ

・トランプ大統領就任（2017年1月20日）の後、FCC議長にAjit Pai氏が指名されたことで（2017年1月23日）、インターネットの在り方に関する米国政府の姿勢が大きく転換した。

・Pai氏は就任後、オバマ政権が制定したネット中立性規則を廃止し、インターネットの管轄をFCC＊1（連邦通信委員会）からFTC＊2（連邦取引委員会）に移すことを計画するなど、大規模な改革を進めている。

①FCCがゼロレーティングに関する考え方を変更②米ISP企業に対する規制が撤廃③FCCがネット中立性に関する規制廃止を承認

サイバー空間は陸海空宇宙に次ぐ新戦域に

サイバー空間を、従来の陸、海、空、宇宙に次ぐ、第5の新たな戦域と見なす動きが数多く見られた。

・サイバー攻撃が国家に与える影響が大きくなり、戦域の一つと見なす国や組織が増加・軍事演習の要素としても、積極的に取り組む事例が見られた。・サイバー空間を主眼においた軍事拠点の建設計画も明らかにされた。

①軍事演習、サイバーが重要要素に②政治をめぐるロシアと欧州の動き③EU・NATO、相次ぎサイバー攻撃対応方針

●Ajit Pai氏参照：http://thehackernews.com/2017/03/fcc-

ajit-pai-net-neutrality.html

2. 事案の分析本節では2017年の重要なトピックとして、以下の4テーマについて分析を行う。

① 各国政府動向② 話題となった脆弱性

③ サイバー攻撃④ その他の話題

＊1 FCC: Federal Communications Commission（連邦通信委員会）＊2 FTC: Federal Trade Commission（連邦取引委員会）

発表

類似点

相違点

オバマ政権トランプ政権

2017年1月11日にFCCが調査レポートを発行

モバイルキャリアの契約者にはメリットがある。モバイルキャリアの契約者（特に低所得者）に人気がある。

ほかの動画配信事業者の契約者や、その事業者との競争の害となる可能性がある。

今後、FCCはゼロレーティング規制に焦点を当てず、ブロードバンドの拡大と革新的なサービス提供を推進する。

2017年2月3日にFCCのチェアマンが声明を発表

・2017年11月22日に提出されたネット中立性規制の廃止案「Proposal to Restore Internet Freedom」が、賛成3、反対2で承認された。・ネット中立性はネット上のデータを等しく扱うよう定めたポリシーであり、

オバマ政権下ではISPによるトラフィックの制限や優遇を禁止していた。・トランプ政権でのFCC委員長Pai氏は同規制の撤廃をめざしていた。

・ネット中立性に関する規制の廃止に伴う変更点・ブロードバンドサービスの分類が「通信」から「情報サービス」に戻る。・ISPによるトラフィックのブロックや制限、有料での優遇が可能となるが、

ISPはその情報の開示を義務付けられる。・ISPの管轄権はFTCが引き継ぎ、ISPが正確に情報開示しているかを監査する。

●DISA Europe参照：

●Information Warrior 17参照：

●FTCのロゴ参照：https://www.ftc.gov/about-ftc/

office-inspector-general

http://www.disa.mil/~/media/Images/DISA/Services/Logo/logo_europe_seal.gif?w=205&h=220&as=1

http://www.royalnavy.mod.uk/-/media/royal-navy-responsive/images/operations/information-warrior/blocks/info-warrior-logo-med-block.jpg?h=490&la=en-GB&w=490&hash=C84A5B81D8A1570BEE4401B6585E815780446036

17



2. 事案の分析　－　❶ 各国政府動向

② 政治をめぐるロシアと欧州の動き●欧州各国がロシアによると見られるサイバー攻撃を受けたと報じられる中、NATOとEU諸国が脅威に対抗

するための中核的研究拠点を設立した。・ロシア政府関連のハッカーと見られているFancy Bear（別名APT28、Pawn Stormなど）が、欧州諸国に攻撃を仕掛

けている。

③ EU・NATO、相次ぎサイバー攻撃対応方針●EUとNATOが相次いで、加盟国に対するサイバー攻撃に対して、加盟国全体で制裁や防衛などを含む対応

に臨む姿勢を明らかにした。

・NATOとEU諸国が、複合的脅威に対抗するため、欧州の中核的研究拠点を設立・複合的脅威（Hybrid Threats）

・政治、外交、経済、サイバー、偽情報などと軍事侵略が組み合わされた脅威・今回設立した拠点で、ロシアによる複合的脅威（プロパガンダやフェイクニュース拡散）に対抗していく。

・2017年4月11日、米英とEU・NATO諸国＊1が拠点設立のMoU（了解覚書）に署名・ロシアと国境を接するフィンランドのヘルシンキに設立・予算150万ユーロ。半分はフィンランドが負担・年内に加盟国のネットワーク専門家10名が配属・EUとNATOは協調し、積極的に活動に参加する。

・2017年6月19日、欧州理事会が、EU加盟国に対する悪意あるサイバー攻撃へのEU共同の外交上の対応を定めたフレームワーク、「CYBER DIPLOMACY TOOLBOX」の草案を公表した。

・サイバー攻撃に対し、制限措置も含めた「共通外交・安全保障政策」＊2で定めたすべての対応が可能としている。

・紛争防止・脅威緩和・国際関係安定化が目的・2017年6月28日、 NATO事務総長が、陸海空への攻撃と同様に、

1加盟国へのサイバー攻撃で「北大西洋条約第5条」の発動もありうると述べた。

・全加盟国への攻撃と見なし、兵力の使用も含む行動により、共同で攻撃を受けた国を援助

デンマーク

ドイツ

フランス

時期国名 Fancy Bearの活動

2015年、2016年

2017年3月、4月ドイツの連立政権に関係のある2つのシンクタンクを、フィッシング攻撃（トレンドマイクロ調べ）

2017年4月 Macron氏の政党En MarcheとそのオフィシャルWebサイトen-marche.frと非常によく似たドメインを最低でも4つのドメインを作成した（トレンドマイクロ調べ）。

防衛省のメール・アカウントを不正アクセス（2017年4月23日　防衛大臣発表）

2016年夏

2017年 3月26日

2017年 3月27日

独仏内相、警察が暗号データへアクセスするために、メッセージングアプリに「暗号バックドア設置」を義務付ける法改正を要求

英内相、3月22日のロンドンのテロを受けて、暗号メッセージングサービス各社は強制的に警察に情報へのアクセスを提供すべきと発言

独仏内相、電話事業者と同様にインターネット事業者やVoIP事業者（メッセージングサービス含む）もデータ提供義務を負うべきと発言

＊1 フィンランド、フランス、ドイツ、ラトビア、リトアニア、ポーランド、スウェーデン、米国、英国。近く複数カ国が加わる見込み

＊2 CFSP: Common Foreign and Security Policy●EUとNATOの加盟国(mapchart.netにて作成)参照：https://mapchart.net/

国家による諜報活動に関する動向

国家による諜報活動の在り方を問う動きのほか、具体的な活動として他国による自国選挙への介入に対する対策が各国で講じられた。

・国家による諜報活動について推進派・反対派双方で動きがあった。・2016年11月の米大統領選に対するロシアのサイバー攻撃による干渉が疑われる中、各国の総選挙でさまざまな

サイバー攻撃対策が講じられた。

①NSA傍受生データ、情報機関で共有へ②欧州委員会、暗号データにアクセス確保へ③オランダで政府の通信傍受を拡大する法案④ドイツで国際電話メタデータ蓄積を禁ずる判決⑤選挙へのサイバー攻撃に対する警戒⑥オランダ選挙、手作業による開票を決定⑦ロシアの選挙介入を示すNSA調査文書リーク⑧米政府でKaspersky社製品の使用禁止措置⑨米上院がKaspersky社製品利用禁止を可決⑩Kaspersky社が内部調査結果を発表

① NSA傍受生データ、情報機関で共有へ●米司法省（DOJ）は2017年1月3日、米国家安全保障局（NSA）の傍受した諜報データをほかの16の情報

機関と共有することを認める規則を制定した。

●NSAエンブレム参照：

・NSAが大統領令12333号に基づいて国内外で実施する、主に外国人を対象とした以下の通信などのSIGINT（傍受による諜報活動）で得られた生データを、CIAや軍も含むほかの16の情報機関が令状なしに共有可能になった。・衛星通信・外国の交換機を経由する通信（電話・メール）・国内交換機を経由する外国間の通信

・対外国諜報活動で取得された一般の米国民の個人情報が、プライバシーの考慮なく国内捜査に利用される可能性がある点が、人権団体などから問題視されている。・従来は、米国民のプライバシーに関わる部分などは、ほかの情報機関に渡す前

に除外していた。

② 欧州委員会、暗号データにアクセス確保へ●2017年3月28日、法執行機関がメッセージングアプリの暗号データを事業者に要求する仕組みを、欧州

委員会が2017年6月に提案する計画が報じられた。・計画公表の背景には、各国のデータアクセス要求の高まりがある。

・事業者の自主性に依存する現状を改善し、法執行機関がメッセージングアプリ事業者に情報を要求しやすくすることを目的に、メッセージ提供の方法を複数パターン提案する計画を、欧州司法委員のJourová氏が公表した。

・例：提供を強制する規則を制定する、両者で提供に関する協定を結ぶ。

https://www.nsa.gov/about/cryptologic-heritage/center-cryptologic-history/insignia/assets/img/nsa-insignia-sm.png

18


2


② 政治をめぐるロシアと欧州の動き●欧州各国がロシアによると見られるサイバー攻撃を受けたと報じられる中、NATOとEU諸国が脅威に対抗

するための中核的研究拠点を設立した。・ロシア政府関連のハッカーと見られているFancy Bear（別名APT28、Pawn Stormなど）が、欧州諸国に攻撃を仕掛

けている。

③ EU・NATO、相次ぎサイバー攻撃対応方針●EUとNATOが相次いで、加盟国に対するサイバー攻撃に対して、加盟国全体で制裁や防衛などを含む対応

に臨む姿勢を明らかにした。

・NATOとEU諸国が、複合的脅威に対抗するため、欧州の中核的研究拠点を設立・複合的脅威（Hybrid Threats）

・政治、外交、経済、サイバー、偽情報などと軍事侵略が組み合わされた脅威・今回設立した拠点で、ロシアによる複合的脅威（プロパガンダやフェイクニュース拡散）に対抗していく。

・2017年4月11日、米英とEU・NATO諸国＊1が拠点設立のMoU（了解覚書）に署名・ロシアと国境を接するフィンランドのヘルシンキに設立・予算150万ユーロ。半分はフィンランドが負担・年内に加盟国のネットワーク専門家10名が配属・EUとNATOは協調し、積極的に活動に参加する。

・2017年6月19日、欧州理事会が、EU加盟国に対する悪意あるサイバー攻撃へのEU共同の外交上の対応を定めたフレームワーク、「CYBER DIPLOMACY TOOLBOX」の草案を公表した。

・サイバー攻撃に対し、制限措置も含めた「共通外交・安全保障政策」＊2で定めたすべての対応が可能としている。

・紛争防止・脅威緩和・国際関係安定化が目的・2017年6月28日、 NATO事務総長が、陸海空への攻撃と同様に、

1加盟国へのサイバー攻撃で「北大西洋条約第5条」の発動もありうると述べた。

・全加盟国への攻撃と見なし、兵力の使用も含む行動により、共同で攻撃を受けた国を援助

デンマーク

ドイツ

フランス

時期国名 Fancy Bearの活動

2015年、2016年

2017年3月、4月ドイツの連立政権に関係のある2つのシンクタンクを、フィッシング攻撃（トレンドマイクロ調べ）

2017年4月 Macron氏の政党En MarcheとそのオフィシャルWebサイトen-marche.frと非常によく似たドメインを最低でも4つのドメインを作成した（トレンドマイクロ調べ）。

防衛省のメール・アカウントを不正アクセス（2017年4月23日　防衛大臣発表）

2016年夏

2017年 3月26日

2017年 3月27日

独仏内相、警察が暗号データへアクセスするために、メッセージングアプリに「暗号バックドア設置」を義務付ける法改正を要求

英内相、3月22日のロンドンのテロを受けて、暗号メッセージングサービス各社は強制的に警察に情報へのアクセスを提供すべきと発言

独仏内相、電話事業者と同様にインターネット事業者やVoIP事業者（メッセージングサービス含む）もデータ提供義務を負うべきと発言

＊1 フィンランド、フランス、ドイツ、ラトビア、リトアニア、ポーランド、スウェーデン、米国、英国。近く複数カ国が加わる見込み

＊2 CFSP: Common Foreign and Security Policy●EUとNATOの加盟国(mapchart.netにて作成)参照：https://mapchart.net/

国家による諜報活動に関する動向

国家による諜報活動の在り方を問う動きのほか、具体的な活動として他国による自国選挙への介入に対する対策が各国で講じられた。

・国家による諜報活動について推進派・反対派双方で動きがあった。・2016年11月の米大統領選に対するロシアのサイバー攻撃による干渉が疑われる中、各国の総選挙でさまざまな

サイバー攻撃対策が講じられた。

①NSA傍受生データ、情報機関で共有へ②欧州委員会、暗号データにアクセス確保へ③オランダで政府の通信傍受を拡大する法案④ドイツで国際電話メタデータ蓄積を禁ずる判決⑤選挙へのサイバー攻撃に対する警戒⑥オランダ選挙、手作業による開票を決定⑦ロシアの選挙介入を示すNSA調査文書リーク⑧米政府でKaspersky社製品の使用禁止措置⑨米上院がKaspersky社製品利用禁止を可決⑩Kaspersky社が内部調査結果を発表

① NSA傍受生データ、情報機関で共有へ●米司法省（DOJ）は2017年1月3日、米国家安全保障局（NSA）の傍受した諜報データをほかの16の情報

機関と共有することを認める規則を制定した。

●NSAエンブレム参照：

・NSAが大統領令12333号に基づいて国内外で実施する、主に外国人を対象とした以下の通信などのSIGINT（傍受による諜報活動）で得られた生データを、CIAや軍も含むほかの16の情報機関が令状なしに共有可能になった。・衛星通信・外国の交換機を経由する通信（電話・メール）・国内交換機を経由する外国間の通信

・対外国諜報活動で取得された一般の米国民の個人情報が、プライバシーの考慮なく国内捜査に利用される可能性がある点が、人権団体などから問題視されている。・従来は、米国民のプライバシーに関わる部分などは、ほかの情報機関に渡す前

に除外していた。

② 欧州委員会、暗号データにアクセス確保へ●2017年3月28日、法執行機関がメッセージングアプリの暗号データを事業者に要求する仕組みを、欧州

委員会が2017年6月に提案する計画が報じられた。・計画公表の背景には、各国のデータアクセス要求の高まりがある。

・事業者の自主性に依存する現状を改善し、法執行機関がメッセージングアプリ事業者に情報を要求しやすくすることを目的に、メッセージ提供の方法を複数パターン提案する計画を、欧州司法委員のJourová氏が公表した。

・例：提供を強制する規則を制定する、両者で提供に関する協定を結ぶ。

https://www.nsa.gov/about/cryptologic-heritage/center-cryptologic-history/insignia/assets/img/nsa-insignia-sm.png

19




③ オランダで政府の通信傍受を拡大する法案

＊1 秘密は不可侵と定めた第10条(1)を制限し介入を認めること

＊2 仏大統領選は、2017年の4 ～ 5月に実施された。

＊3 ロシアの軍事諜報機関

●オランダ上院議事堂参照：https://en.wikipedia.org/wiki/Senate_(Netherlands)

●Le Drian国防大臣参照：

●オランダ上院で、情報機関による通信傍受やネットワーク監視をより広範囲で認める情報セキュリティ法案が、2017年7月12日に可決された。

・情報セキュリティ法案は「盗聴法」とも呼ばれ、人権団体から多くの批判を受けていたが、上院を通過したことで、国王の署名をもって公布される見込み。

・新法により、オランダの情報機関はより広範囲の監視権限を有する。・テロリストや重犯罪の容疑者本人だけでなく、その関係者につい

ても捜査対象として、通信傍受などの監視下に置くことが可能・NSAやGCHQなど他国の情報機関との情報共有が許可される。・ISPに3年間のデータ保持を要求できる。

・Plasterk内務大臣は、テロやサイバー攻撃から国家やハイテク産業を守るために必要な法律だと述べた。

・オンライン人権団体Bits of Freedomは、情報機関が明確な理由も制限もなくして、大量のネットトラフィックを盗聴できるようになったと警告している。

⑥ オランダ選挙、手作業による開票を決定

●手作業による開票イメージ参照：

●オランダは2017年3月15日の下院選挙で、開票集計に脆弱なソフトウェアは使わず、手作業による開票を行う決定をした。

・開票集計ソフトウェア「OSV」の脆弱性を、2017年1月30日に専門家らが指摘し、開票結果への懸念が広まった（The Register 2017年2月2日）。

・集計システムの一部でWindows XPを使用、SHA-1を使用、投票データの持ち運びにセキュアでないUSBメモリを使用、など

・2017年2月1日、プラステルク内相が手作業での開票を決定・「他国が、オランダの政治決定や世論に影響を与えることで利益を得よう

とする恐れを排除できない」と述べた。・NATOの次官補代理は、米国の事例を挙げ、投票結果の信憑性にリスクが伴う

ため、電子集計見送りは注目に値する、と評価した。

⑦ ロシアの選挙介入を示すNSA調査文書リーク

●リークされた文書の一部参照：https://theintercept.com/2017/06/05/

top-secret-nsa-report-details-russian-hacking-effort-days-before-2016-election/

●米大統領選挙前に、選挙関連組織にサイバー攻撃を行ったGRU＊3に関する、NSAの最高機密に分類される調査文書がリークされた。

・匿名で提供された文書として、The Interceptが2017年6月5日に公開・文書は2017年5月5日付で、2016年の米大統領選挙前に、GRUがどの

ようにサイバー攻撃を行ったのか、詳細な調査結果を記載・2016年8月、投票システムのソフトウェア業者VR Systemsにサイ

バー攻撃を実施・それにより得た、投票者の登録管理を行う職員122名のメールアドレス

に対し、選挙日前にフィッシングメールを送付・この干渉が投票結果に影響を及ぼしたかについては結論付けていない。

・ロシア政府は2017年6月6日、報道内容を否定したと報じられた。

④ ドイツで国際電話メタデータ蓄積を禁ずる判決

●ドイツ連邦行政裁判所参照：

●ドイツ連邦行政裁判所は2017年12月14日、ドイツ連邦情報局（BND）が諜報目的で国際電話のメタデータを蓄積することを認めない判決を下した。

・BNDは2002年より、VERAS（トラヒックデータ解析システム）を利用して諜報活動を目的に国際電話メタデータの収集・蓄積・利用を行ってきた。

・国境なき記者団（RSF）は2015年6月、BNDによる国際電話の詳細な通話記録の収集には法的根拠がないとして訴訟を起こしていた。

・ドイツ連邦行政裁判所は判決で、電話のメタデータ（電話番号など）はドイツ基本法第10条で「不可侵」と定める「通信の秘密」に当たり、BNDが「収集・蓄積・利用」するには法律に基づき「不可侵」の定めを「制限」することが必要だが、現時点ではそのような法規制が欠如している、との見方を示した。

・ドイツ基本法第10条［通信の秘密］ (1) 信書の秘密ならびに郵便および電気通信の秘密は不可侵である。 (2) 制限＊1は法律に基づいてのみ命ずることができる。

⑤ 選挙へのサイバー攻撃に対する警戒

●ODNIのレポート参照：

●ロシアがサイバー攻撃を用いて米大統領選に干渉したという調査結果を、アメリカがまとめた。フランスでも仏大統領選への警戒感が高まっている。

・2017年1月6日、米ODNI（国家情報長官室）は、米大統領選に対するロシアの活動を評価したレポートを発行した。

・ODNIは、プーチン大統領が、トランプ氏が大統領になるように影響を与えるよう命じたと評価している。

・CIAとFBIはこの判断に高い信頼を、NSA（米国家安全保障局）は中程度の信頼を置いている。

・WikiLeaksがヒラリー氏のメールを公開した件に、ロシアの軍事諜報機関が関与していることを確信

・ロシアの諜報機関は、複数の米国の州または地方の選挙委員会へアクセスを確立した。

・米DHS（国土安全保障省）は、これによる開票への影響はなかっただろうとしている。

・2017年1月6日（ODNIのレポートと同日）、米DHSのJeh Johnson長官が、選挙インフラを重要インフラのサブセクターとする声明を出した。

・州と地方自治体が選挙を管理し、実行するというプロセスは変わらないが、DHSが提供するサイバーセキュリティ保護の優先対象となる。

・2 0 1 7 年 1 月 8 日、フランスの Jean -Yves Le Dr i an 国防大臣が、Le Journal du Dimancheのインタビューで仏大統領選＊2への懸念を示した。

・2016年にはフランスの国防省に対して外部からの攻撃が24,000回発生した。・大統領選をターゲットにした不安定化工作は現在のところ確認できていない。・しかし、アメリカで発生したことが、フランスの選挙を混乱させることは

否定できない。

⑧ 米政府でKaspersky社製品の使用禁止措置

●国防権限法の草案参照：https://www.armed-services.

senate.gov/imo/media/doc/FY18%20NDAA%20Summary6.pdf

●米上院軍事委員会は、Kaspersky 社とロシア政府との関係を懸念しており、次年度より同社セキュリティ製品の国防総省への導入を禁止する動きがある。

・2018年度の国防権限法（National Defense Authorization Act）の法案に、国防総省でKaspersky社製品の使用を禁ずる条項が盛り込まれた。

・Kaspersky社CEOのカスペルスキー氏が、過去にKGBの訓練を受けて旧ソ連の諜報機関で従事していたことに基づく懸念がある。

・カスペルスキー氏自身も旧ソ連時代のことに関しては口を閉ざし、これまでにもロシア政府との関係が度々疑われている。

・FBIが、米国各地のKaspersky社の従業員に対して任意で事情聴取を実施したことが報じられた。

・Kaspersky社は、ロシア政府のスパイ容疑を晴らすため、セキュリティ製品のソースコード開示を申し出ている。

・カスペルスキー氏は議会で証言する準備があると主張

https://upload.wikimedia.org/wikipedia/commons/thumb/b/be/Federal_Administrative_Court_Leipzig_at_night_2_%28aka%29.jpg/330px-Federal_Administrative_Court_Leipzig_at_night_2_%28aka%29.jpg

http://www.dw.com/en/dutch-to-hand-count-ballots-in-march-vote-due-to-hacking-fears/a-37375137

http://www.bbc.com/news/world-europe-38546415

https://www.dni.gov/files/documents/ICA_2017_01.pdf

20


2


③ オランダで政府の通信傍受を拡大する法案

＊1 秘密は不可侵と定めた第10条(1)を制限し介入を認めること

＊2 仏大統領選は、2017年の4 ～ 5月に実施された。

＊3 ロシアの軍事諜報機関

●オランダ上院議事堂参照：https://en.wikipedia.org/wiki/Senate_(Netherlands)

●Le Drian国防大臣参照：

●オランダ上院で、情報機関による通信傍受やネットワーク監視をより広範囲で認める情報セキュリティ法案が、2017年7月12日に可決された。

・情報セキュリティ法案は「盗聴法」とも呼ばれ、人権団体から多くの批判を受けていたが、上院を通過したことで、国王の署名をもって公布される見込み。

・新法により、オランダの情報機関はより広範囲の監視権限を有する。・テロリストや重犯罪の容疑者本人だけでなく、その関係者につい

ても捜査対象として、通信傍受などの監視下に置くことが可能・NSAやGCHQなど他国の情報機関との情報共有が許可される。・ISPに3年間のデータ保持を要求できる。

・Plasterk内務大臣は、テロやサイバー攻撃から国家やハイテク産業を守るために必要な法律だと述べた。

・オンライン人権団体Bits of Freedomは、情報機関が明確な理由も制限もなくして、大量のネットトラフィックを盗聴できるようになったと警告している。

⑥ オランダ選挙、手作業による開票を決定

●手作業による開票イメージ参照：

●オランダは2017年3月15日の下院選挙で、開票集計に脆弱なソフトウェアは使わず、手作業による開票を行う決定をした。

・開票集計ソフトウェア「OSV」の脆弱性を、2017年1月30日に専門家らが指摘し、開票結果への懸念が広まった（The Register 2017年2月2日）。

・集計システムの一部でWindows XPを使用、SHA-1を使用、投票データの持ち運びにセキュアでないUSBメモリを使用、など

・2017年2月1日、プラステルク内相が手作業での開票を決定・「他国が、オランダの政治決定や世論に影響を与えることで利益を得よう

とする恐れを排除できない」と述べた。・NATOの次官補代理は、米国の事例を挙げ、投票結果の信憑性にリスクが伴う

ため、電子集計見送りは注目に値する、と評価した。

⑦ ロシアの選挙介入を示すNSA調査文書リーク

●リークされた文書の一部参照：https://theintercept.com/2017/06/05/

top-secret-nsa-report-details-russian-hacking-effort-days-before-2016-election/

●米大統領選挙前に、選挙関連組織にサイバー攻撃を行ったGRU＊3に関する、NSAの最高機密に分類される調査文書がリークされた。

・匿名で提供された文書として、The Interceptが2017年6月5日に公開・文書は2017年5月5日付で、2016年の米大統領選挙前に、GRUがどの

ようにサイバー攻撃を行ったのか、詳細な調査結果を記載・2016年8月、投票システムのソフトウェア業者VR Systemsにサイ

バー攻撃を実施・それにより得た、投票者の登録管理を行う職員122名のメールアドレス

に対し、選挙日前にフィッシングメールを送付・この干渉が投票結果に影響を及ぼしたかについては結論付けていない。

・ロシア政府は2017年6月6日、報道内容を否定したと報じられた。

④ ドイツで国際電話メタデータ蓄積を禁ずる判決

●ドイツ連邦行政裁判所参照：

●ドイツ連邦行政裁判所は2017年12月14日、ドイツ連邦情報局（BND）が諜報目的で国際電話のメタデータを蓄積することを認めない判決を下した。

・BNDは2002年より、VERAS（トラヒックデータ解析システム）を利用して諜報活動を目的に国際電話メタデータの収集・蓄積・利用を行ってきた。

・国境なき記者団（RSF）は2015年6月、BNDによる国際電話の詳細な通話記録の収集には法的根拠がないとして訴訟を起こしていた。

・ドイツ連邦行政裁判所は判決で、電話のメタデータ（電話番号など）はドイツ基本法第10条で「不可侵」と定める「通信の秘密」に当たり、BNDが「収集・蓄積・利用」するには法律に基づき「不可侵」の定めを「制限」することが必要だが、現時点ではそのような法規制が欠如している、との見方を示した。

・ドイツ基本法第10条［通信の秘密］ (1) 信書の秘密ならびに郵便および電気通信の秘密は不可侵である。 (2) 制限＊1は法律に基づいてのみ命ずることができる。

⑤ 選挙へのサイバー攻撃に対する警戒

●ODNIのレポート参照：

●ロシアがサイバー攻撃を用いて米大統領選に干渉したという調査結果を、アメリカがまとめた。フランスでも仏大統領選への警戒感が高まっている。

・2017年1月6日、米ODNI（国家情報長官室）は、米大統領選に対するロシアの活動を評価したレポートを発行した。

・ODNIは、プーチン大統領が、トランプ氏が大統領になるように影響を与えるよう命じたと評価している。

・CIAとFBIはこの判断に高い信頼を、NSA（米国家安全保障局）は中程度の信頼を置いている。

・WikiLeaksがヒラリー氏のメールを公開した件に、ロシアの軍事諜報機関が関与していることを確信

・ロシアの諜報機関は、複数の米国の州または地方の選挙委員会へアクセスを確立した。

・米DHS（国土安全保障省）は、これによる開票への影響はなかっただろうとしている。

・2017年1月6日（ODNIのレポートと同日）、米DHSのJeh Johnson長官が、選挙インフラを重要インフラのサブセクターとする声明を出した。

・州と地方自治体が選挙を管理し、実行するというプロセスは変わらないが、DHSが提供するサイバーセキュリティ保護の優先対象となる。

・2 0 1 7 年 1 月 8 日、フランスの Jean -Yves Le Dr i an 国防大臣が、Le Journal du Dimancheのインタビューで仏大統領選＊2への懸念を示した。

・2016年にはフランスの国防省に対して外部からの攻撃が24,000回発生した。・大統領選をターゲットにした不安定化工作は現在のところ確認できていない。・しかし、アメリカで発生したことが、フランスの選挙を混乱させることは

否定できない。

⑧ 米政府でKaspersky社製品の使用禁止措置

●国防権限法の草案参照：https://www.armed-services.

senate.gov/imo/media/doc/FY18%20NDAA%20Summary6.pdf

●米上院軍事委員会は、Kaspersky 社とロシア政府との関係を懸念しており、次年度より同社セキュリティ製品の国防総省への導入を禁止する動きがある。

・2018年度の国防権限法（National Defense Authorization Act）の法案に、国防総省でKaspersky社製品の使用を禁ずる条項が盛り込まれた。

・Kaspersky社CEOのカスペルスキー氏が、過去にKGBの訓練を受けて旧ソ連の諜報機関で従事していたことに基づく懸念がある。

・カスペルスキー氏自身も旧ソ連時代のことに関しては口を閉ざし、これまでにもロシア政府との関係が度々疑われている。

・FBIが、米国各地のKaspersky社の従業員に対して任意で事情聴取を実施したことが報じられた。

・Kaspersky社は、ロシア政府のスパイ容疑を晴らすため、セキュリティ製品のソースコード開示を申し出ている。

・カスペルスキー氏は議会で証言する準備があると主張

https://upload.wikimedia.org/wikipedia/commons/thumb/b/be/Federal_Administrative_Court_Leipzig_at_night_2_%28aka%29.jpg/330px-Federal_Administrative_Court_Leipzig_at_night_2_%28aka%29.jpg

http://www.dw.com/en/dutch-to-hand-count-ballots-in-march-vote-due-to-hacking-fears/a-37375137

http://www.bbc.com/news/world-europe-38546415

https://www.dni.gov/files/documents/ICA_2017_01.pdf

21




⑨ 米上院がKaspersky社製品利用禁止を可決

＊1 その他、StrongVPN社、Golden Frog社

＊2 CAC: Cyberspace Administration of China（中国サイバースペース管理局）

＊4 別名「Smoke Bot」「Smoke Loader」2011年にロシアのハッカーが製作し、ロシアの地下フォーラムで販売開始されたトロイの木馬

⑩ Kaspersky社が内部調査結果を発表

●Kaspersky社の発表参照：https://securelist.com/investigation-report-

for-the-september-2014-equation-malware-detection-incident-in-the-us/83210/

●Kaspersky社が、NSAの機密情報流出に関して内部調査結果を発表した。複数のマルウェア感染により、未知の攻撃者に侵害された可能性を主張した。

・Kaspersky 社が 2017年11月16 日、「2014 年9 月の米国におけるEquationマルウェア検知インシデントに関する調査レポート」を発表した。

・同年10月5日、同社製品を介しNSAの機密情報がロシアに流出していたとWall Street Journalが報じたことを受け、調査を行っていた。

・調査レポートの主な内容・Wall Street Journalが情報の流出元だと指摘したNSA請負契約者

の自宅端末で、Equationマルウェアが含まれた圧縮ファイルが検知されたため、製品本来の動作通り、同社サーバに送信された（2014年9月11日から11月17日）。

・検知された圧縮ファイルの中には、同マルウェアのソースコードや機密と記載された文書も含まれていたため、CEOの指示で削除した。

・同マルウェアの検知後、NSA請負契約者は、MS Office 2013の海賊版アクティベーションツールをインストールし、当該ツール実行のため、同社製品を無効にしたと思われる。

・2014年9月から11月の2カ月間で、バックドア（Mokes＊4）を含む121のマルウェアの感染が確認されていることから、未知の攻撃者によって端末が侵害された可能性が高いと結論付けた。

・一方、2017年11月28日には、DHSがNextgovに語った内容として、連邦政府機関からの同社製品排除に向け、第二段階が完了したと報じられた。

・第一段階 : 同社製品の導入有無の確認・第二段階 : 同社製品の削除および置き換え計画の策定・第三段階（最終段階）：同社製品の削除（期限：2017年12月19日）

●米上院で2017年9月18日、 Kaspersky社製品の連邦政府での利用禁止を盛り込んだ法案が可決された。・米政府は、Kaspersky社とロシア政府との関係を懸念し、同社製品の利用禁止要請を進めている。

●Nextgovによる報道参照：http://www.nextgov.com/cybersecurity/

2017/11/government-has-completed-phase-two-kaspersky-ban/142836/

・一方で、9月20日には、ブラジル軍に、Kaspersky社のサイバーセキュリティ・ツールが提供されると報じられた。・Kaspersky社は、「いかなる政府とも非倫理的な関係はない」と主張

Kaspersky社製品をめぐる米国の対応2017年 9月8日

2017年 9月13日

2017年 9月18日

米大手家電量販店Best Buyが、Kaspersky製品の取り扱いを停止したことを認める。

米DHSが、連邦政府機関に対して、90日以内にKaspersky社製品の削除をする要求を行ったと発表

米上院が、Kaspersky社製品の連邦政府での利用禁止を盛り込んだ年次防衛政策費法案の修正案を可決

中国、規制強化

2017年、中国では政府による通信に対するさまざまな規制が強化された。

・国外へのデータ持ち出しが厳しく規制されるようになった。・ネット上の情報規制が始まり、投稿にも実名が求められるようになった。

①中国でのVPN提供に規制②中国が国外データ持ち出しに監査法案③中国でネット上の情報規制強化④中国でオンライン投稿に実名を求める法律⑤中国のサイバーセキュリティ法に対する反応

① 中国でのVPN提供に規制

●Great Firewallイメージ参照：https://www.vpnanswers.com/bypass-

great-firewall-hide-openvpn-in-china-2015/

●中国でVPNを提供する事業者は、中国政府の承認が必要となる。・中国政府が2017年1月22日に声明

・Great Firewallを回避するVPNサービス提供者に対して、政府による承認制とする。

・ISP、クラウド・サービス提供者、VPN再販事業者・健全で秩序ある発展を促進する目的

・地方政府への事業許可申請が必要・実際に2017年1月中旬に、中国本土におけるAstrill社など＊1のユーザが

VPNを利用できなくなったとChina.org.cnが報道

●規制公開サイト参照：http://www.cac.gov.cn/2017-05/02/c_

1120902760.htm

② 中国が国外データ持ち出しに監査法案●企業が中国国外にデータを持ち出す際の新たな監査法案が公表された。・中国のサイバースペース管理局（CAC＊2）が、2017年4月11日に監査法案

を公表したとロイター通信が報じた。・データを国外に持ち出す企業に年次のセキュリティ監査を義務付け

・条件：1,000GB以上か50万ユーザを超えるデータを持ち出す場合・対象：その企業のセキュリティ対策と、持ち出されるデータ

・国外に持ち出すデータ（経済データ、技術データ、科学データ）が安全保障上の懸念を生じさせたり、公共の利益に反するような場合は、国外に持ち出すことが禁止される。

・国外に持ち出すにはユーザの同意を義務付け・2017年5月11日まで意見公募が受け付けられていた。

●CACロゴ参照：http://www.cac.gov.cn/english/

cyber.htm

③ 中国でネット上の情報規制強化●2017 年 5 月 2 日に発表されたインターネットニュースサービスに

関する規制に基づき、 CACが大手ニュースメディア5サイトの一部サービス停止を命じた。

・中国でインターネット上のニュースサービスに関する規制が2017年5月2日に発表された。

・規制では、情報収集・ニュース作成とニュース提供・サービス運用を行う組織を分離することなどを定めている。

・国家資本を受けない組織は情報収集・ニュース作成は行えない。・上記規制に基づき中国大手ニュースメディア5サイトに対し、ライブスト

リーミング形式のニュースサービスの停止をCACが命じたと、2017年5月9日に中国メディアが報じた。

・独自でニュースを作成し、その内容を報道したことが命令の理由とされている。

22


2


⑨ 米上院がKaspersky社製品利用禁止を可決

＊1 その他、StrongVPN社、Golden Frog社

＊2 CAC: Cyberspace Administration of China（中国サイバースペース管理局）

＊4 別名「Smoke Bot」「Smoke Loader」2011年にロシアのハッカーが製作し、ロシアの地下フォーラムで販売開始されたトロイの木馬

⑩ Kaspersky社が内部調査結果を発表

●Kaspersky社の発表参照：https://securelist.com/investigation-report-

for-the-september-2014-equation-malware-detection-incident-in-the-us/83210/

●Kaspersky社が、NSAの機密情報流出に関して内部調査結果を発表した。複数のマルウェア感染により、未知の攻撃者に侵害された可能性を主張した。

・Kaspersky 社が 2017年11月16 日、「2014 年9 月の米国におけるEquationマルウェア検知インシデントに関する調査レポート」を発表した。

・同年10月5日、同社製品を介しNSAの機密情報がロシアに流出していたとWall Street Journalが報じたことを受け、調査を行っていた。

・調査レポートの主な内容・Wall Street Journalが情報の流出元だと指摘したNSA請負契約者

の自宅端末で、Equationマルウェアが含まれた圧縮ファイルが検知されたため、製品本来の動作通り、同社サーバに送信された（2014年9月11日から11月17日）。

・検知された圧縮ファイルの中には、同マルウェアのソースコードや機密と記載された文書も含まれていたため、CEOの指示で削除した。

・同マルウェアの検知後、NSA請負契約者は、MS Office 2013の海賊版アクティベーションツールをインストールし、当該ツール実行のため、同社製品を無効にしたと思われる。

・2014年9月から11月の2カ月間で、バックドア（Mokes＊4）を含む121のマルウェアの感染が確認されていることから、未知の攻撃者によって端末が侵害された可能性が高いと結論付けた。

・一方、2017年11月28日には、DHSがNextgovに語った内容として、連邦政府機関からの同社製品排除に向け、第二段階が完了したと報じられた。

・第一段階 : 同社製品の導入有無の確認・第二段階 : 同社製品の削除および置き換え計画の策定・第三段階（最終段階）：同社製品の削除（期限：2017年12月19日）

●米上院で2017年9月18日、 Kaspersky社製品の連邦政府での利用禁止を盛り込んだ法案が可決された。・米政府は、Kaspersky社とロシア政府との関係を懸念し、同社製品の利用禁止要請を進めている。

●Nextgovによる報道参照：http://www.nextgov.com/cybersecurity/

2017/11/government-has-completed-phase-two-kaspersky-ban/142836/

・一方で、9月20日には、ブラジル軍に、Kaspersky社のサイバーセキュリティ・ツールが提供されると報じられた。・Kaspersky社は、「いかなる政府とも非倫理的な関係はない」と主張

Kaspersky社製品をめぐる米国の対応2017年 9月8日

2017年 9月13日

2017年 9月18日

米大手家電量販店Best Buyが、Kaspersky製品の取り扱いを停止したことを認める。

米DHSが、連邦政府機関に対して、90日以内にKaspersky社製品の削除をする要求を行ったと発表

米上院が、Kaspersky社製品の連邦政府での利用禁止を盛り込んだ年次防衛政策費法案の修正案を可決

中国、規制強化

2017年、中国では政府による通信に対するさまざまな規制が強化された。

・国外へのデータ持ち出しが厳しく規制されるようになった。・ネット上の情報規制が始まり、投稿にも実名が求められるようになった。

①中国でのVPN提供に規制②中国が国外データ持ち出しに監査法案③中国でネット上の情報規制強化④中国でオンライン投稿に実名を求める法律⑤中国のサイバーセキュリティ法に対する反応

① 中国でのVPN提供に規制

●Great Firewallイメージ参照：https://www.vpnanswers.com/bypass-

great-firewall-hide-openvpn-in-china-2015/

●中国でVPNを提供する事業者は、中国政府の承認が必要となる。・中国政府が2017年1月22日に声明

・Great Firewallを回避するVPNサービス提供者に対して、政府による承認制とする。

・ISP、クラウド・サービス提供者、VPN再販事業者・健全で秩序ある発展を促進する目的

・地方政府への事業許可申請が必要・実際に2017年1月中旬に、中国本土におけるAstrill社など＊1のユーザが

VPNを利用できなくなったとChina.org.cnが報道

●規制公開サイト参照：http://www.cac.gov.cn/2017-05/02/c_

1120902760.htm

② 中国が国外データ持ち出しに監査法案●企業が中国国外にデータを持ち出す際の新たな監査法案が公表された。・中国のサイバースペース管理局（CAC＊2）が、2017年4月11日に監査法案

を公表したとロイター通信が報じた。・データを国外に持ち出す企業に年次のセキュリティ監査を義務付け

・条件：1,000GB以上か50万ユーザを超えるデータを持ち出す場合・対象：その企業のセキュリティ対策と、持ち出されるデータ

・国外に持ち出すデータ（経済データ、技術データ、科学データ）が安全保障上の懸念を生じさせたり、公共の利益に反するような場合は、国外に持ち出すことが禁止される。

・国外に持ち出すにはユーザの同意を義務付け・2017年5月11日まで意見公募が受け付けられていた。

●CACロゴ参照：http://www.cac.gov.cn/english/

cyber.htm

③ 中国でネット上の情報規制強化●2017 年 5 月 2 日に発表されたインターネットニュースサービスに

関する規制に基づき、 CACが大手ニュースメディア5サイトの一部サービス停止を命じた。

・中国でインターネット上のニュースサービスに関する規制が2017年5月2日に発表された。

・規制では、情報収集・ニュース作成とニュース提供・サービス運用を行う組織を分離することなどを定めている。

・国家資本を受けない組織は情報収集・ニュース作成は行えない。・上記規制に基づき中国大手ニュースメディア5サイトに対し、ライブスト

リーミング形式のニュースサービスの停止をCACが命じたと、2017年5月9日に中国メディアが報じた。

・独自でニュースを作成し、その内容を報道したことが命令の理由とされている。

23




＊3 CNITSEC: China National Information Technology Security Evaluation Center（中国情報技術安全性認証センター）

＊4 MSS: Ministry of State Security（国家安全部、中国の情報機関）

＊1 IRS: Internal Revenue Service（アメリカ合衆国内国歳入庁）＊2 ICO: Initial Coin Offering（暗号通貨を用いた資金調達方法）

暗号通貨、各国規制を検討

暗号通貨の人気が高まる中、各国は資金洗浄などの悪用を防ぐための動きを見せた。

・資金洗浄に絡んで、複数暗号通貨取引所が閉鎖された。・ICO（Initial Coin Offering）を規制する動きが各国で起こった。

①暗号通貨交換所の設立者逮捕②（米、露、中、韓）暗号通貨規制③欧州の暗号通貨規制

●IRSのビル参照：https://themerkle.com/us-government-

files-a-stern-response-to-ongoing-irs-coinbase-case/

② （米、露、中、韓）暗号通貨規制 ●暗号通貨が一般社会に浸透する中、各国で暗号通貨に対する管理が

始められている。・米国IRS＊1は、脱税調査のため暗号通貨取引所Coinbaseに情報開示請求

・2016年11月、2013年から2015年までの利用者情報の提出を要求・これに反対するBitcoin利用者は集団訴訟を行っている。・米政府は2017年9月1日、 IRSの要求は正当な目的のためだとした上で、

Coinbaseに情報の開示を求めた。・ロシア、暗号通貨の利用者が制限される可能性

・ロシアのMoiseev副財務大臣が、暗号通貨の購入を認可を受けた投資家のみに制限する計画を発表（The Merkle紙）

・ロシア政府が金融リテラシー向上施策に暗号通貨教育を含める予定（タス通信）

・中国政府は同国内でのICO＊2を全面禁止すると発表したと、2017年9月4日にBBCほか各メディアが報じた。

・中国人民銀行は、ICOの多くが投機目的で、金融秩序を乱す恐れがあるためと明らかにした。

・なお、米国でも証券取引委員会（SEC）が2017年7月にICOに対する監督の必要性を示唆した。

・中国政府は国内のBitcoin取引所の一旦閉鎖を決定したと、2017年9月19日にBBCが報じた。

・取引所は、業務終了計画を9月20日までに提出するよう求められた。・中国の中央銀行が設置したWebサイトでは、暗号通貨について「資金

洗浄、薬物取引、密輸、違法集金などの犯罪行為のツールとして使用されるようになっている」と説明

・ライセンス制度や資金洗浄の防止システムなどの監督方法を定めた上で、暗号通貨の取引の規制緩和を行う予定である。

・韓国政府が暗号通貨を通じた資金調達を禁止すると、2017年9月29日にロイターほか各メディアが報じた。

・金融監督委員会（FSC）が暗号通貨の取引を厳重に管理し監視する必要があり、あらゆる種類のICOが禁止されると述べた。

・取引の透明性の確保や、消費者保護のための暗号通貨取引時のユーザ認証手続きや銀行の不正な取引報告体系の強化などが今後検討されるとのこと

・JP MorganのCEOがBitcoinを“詐欺である”と発言したとロイターが報じた。・「暗号通貨はバブルだ。オランダのチューリップ球根バブルよりも悪い。

そのうちはじける。社員が Bitcoin を扱ったら即座に解雇する、規則違反である上に、愚かだからだ」と語った。

・発言を受けBitcoinの評価額が10%減じた。

③ 欧州の暗号通貨規制●英、EUで資金洗浄やテロ資金の流通の取り締まり強化の一環として、

暗号通貨利用者本人の特定を強化する規制が検討された。・英財務省経済担当副大臣が暗号通貨の利用者を明確化する規制を検討中

であると「The Telegraph」に語った。・資金洗浄やテロ資金の流通の取り締まりが目的・同省はまた暗号通貨に対するリスクを明らかにするため、GCHQへ技術

的な協力を要請した。・2017年12月15日に欧州議会の経済通貨委員会（ECON）が、暗号通貨の

取引所とWalletサービスに対して顧客の特定を義務付ける、「改訂第4次反マネーロンダリング指令」を発表した。

・暗号通貨が犯罪やテロ活動に利用されることを防ぐことが目的・ロイターの報道によると、2018年4月開催予定のG20にてBitcoinの規制

を議題として提案することを、仏財務大臣が現地メディア「LCI」に語った。

●暗号通貨相場確認ページ参照：https://coinmarketcap.com/all/views/all/

●JPMorganのJames Dimon CEO参照：https://commons.wikimedia.org/wiki/File:

The_Global_Financial_Context_James_Dimon.jpg

●ECONの発表参照：http://ec.europa.eu/newsroom/just/

document.cfm?action=display&doc_id=48935

④ 中国でオンライン投稿に実名を求める法律

●CACの公式発表参照：http://www.cac.gov.cn/2017-08/25/c_1121541921.htm

●CAC が、オンライン投稿に実名を求める法律を施行すると「The Diplomat」が報じた。

・中国のサイバースペース管理局（CAC）が 2017 月 8 月 25 日に新たな法律を発表した。

・インターネット企業、サービス・プロバイダに以下を要求した。・オンライン投稿をするユーザの身元確認・ユーザが投稿する内容の厳正な管理

・健全で秩序あるオンライン・コミュニティの発展を目的としている。・この法律は、2017月10月1日から施行される。

・また、CACは投稿内容を検閲する方針も明らかにした。・国家の名誉、利得を損ねる内容、民族差別、国家統一を損ねる内容など・「The Diplomat」は、曖昧で広範囲にわたると報道した。

① 暗号通貨交換所の設立者逮捕

●2016年に被害額が急増参照：https://www.blackhat.com/docs/us-17/

wednesday/us-17-Invernizzi-Tracking-Ransomware-End-To-End.pdf

●暗号通貨交換所「BTC-e」設立者のAlexander Vinnik（38歳）容疑者が逮捕された。この交換所で、多額の資金洗浄が行われていた。

・Alexander Vinnik容疑者が逮捕されたと2017年7月27日に報道された。・Vinnik容疑者は、暗号通貨交換所「BTC-e」の設立者の一人・米国において21件の容疑で起訴された。

・約40億米ドル分に及ぶ資金洗浄、無許可の金融サービス・Bitcoin換金所「Mt Gox」より窃取された資金の受け入れなど

・「Black Hat USA 2017」でGoogleがランサムウェア関連の調査を発表・Bitcoinは犯罪者に好まれて使われる。

・取引の不可逆性、現金化が容易・34種類 154,227個のランサムウェアを調査

・その内95%が「BTC-e」で現金化されていた。

⑤ 中国のサイバーセキュリティ法に対する反応

●CNITSECとMSS参照：https://www.recordedfuture.com/

china-cybersecurity-law/

●2017年6月に施行された中国のサイバーセキュリティ法について、米国が反発した。

・同法では、中国でビジネスを行う企業は政府によるコードレビューが義務付けられ、また中国ユーザのデータは同国内に保存することが求められる。

・Recorded Future社は、レビュー権限を持つCNITSEC＊3がMSS＊4の組織であり、MSSと脅威グループAPT3の関連が疑われていることを挙げ、レビュー過程で見つかった脆弱性が公開されず脅威グループの活動に活用される可能性を指摘した。

・中国のサイバーセキュリティ法は、国境を越えてサービスを展開するグローバル企業のビジネス活動を阻害するとして、米国は同法の施行中止に向けた議論を進めることを世界貿易機構(WTO)に対し求めた。

24


2


＊3 CNITSEC: China National Information Technology Security Evaluation Center（中国情報技術安全性認証センター）

＊4 MSS: Ministry of State Security（国家安全部、中国の情報機関）

＊1 IRS: Internal Revenue Service（アメリカ合衆国内国歳入庁）＊2 ICO: Initial Coin Offering（暗号通貨を用いた資金調達方法）

暗号通貨、各国規制を検討

暗号通貨の人気が高まる中、各国は資金洗浄などの悪用を防ぐための動きを見せた。

・資金洗浄に絡んで、複数暗号通貨取引所が閉鎖された。・ICO（Initial Coin Offering）を規制する動きが各国で起こった。

①暗号通貨交換所の設立者逮捕②（米、露、中、韓）暗号通貨規制③欧州の暗号通貨規制

●IRSのビル参照：https://themerkle.com/us-government-

files-a-stern-response-to-ongoing-irs-coinbase-case/

② （米、露、中、韓）暗号通貨規制 ●暗号通貨が一般社会に浸透する中、各国で暗号通貨に対する管理が

始められている。・米国IRS＊1は、脱税調査のため暗号通貨取引所Coinbaseに情報開示請求

・2016年11月、2013年から2015年までの利用者情報の提出を要求・これに反対するBitcoin利用者は集団訴訟を行っている。・米政府は2017年9月1日、 IRSの要求は正当な目的のためだとした上で、

Coinbaseに情報の開示を求めた。・ロシア、暗号通貨の利用者が制限される可能性

・ロシアのMoiseev副財務大臣が、暗号通貨の購入を認可を受けた投資家のみに制限する計画を発表（The Merkle紙）

・ロシア政府が金融リテラシー向上施策に暗号通貨教育を含める予定（タス通信）

・中国政府は同国内でのICO＊2を全面禁止すると発表したと、2017年9月4日にBBCほか各メディアが報じた。

・中国人民銀行は、ICOの多くが投機目的で、金融秩序を乱す恐れがあるためと明らかにした。

・なお、米国でも証券取引委員会（SEC）が2017年7月にICOに対する監督の必要性を示唆した。

・中国政府は国内のBitcoin取引所の一旦閉鎖を決定したと、2017年9月19日にBBCが報じた。

・取引所は、業務終了計画を9月20日までに提出するよう求められた。・中国の中央銀行が設置したWebサイトでは、暗号通貨について「資金

洗浄、薬物取引、密輸、違法集金などの犯罪行為のツールとして使用されるようになっている」と説明

・ライセンス制度や資金洗浄の防止システムなどの監督方法を定めた上で、暗号通貨の取引の規制緩和を行う予定である。

・韓国政府が暗号通貨を通じた資金調達を禁止すると、2017年9月29日にロイターほか各メディアが報じた。

・金融監督委員会（FSC）が暗号通貨の取引を厳重に管理し監視する必要があり、あらゆる種類のICOが禁止されると述べた。

・取引の透明性の確保や、消費者保護のための暗号通貨取引時のユーザ認証手続きや銀行の不正な取引報告体系の強化などが今後検討されるとのこと

・JP MorganのCEOがBitcoinを“詐欺である”と発言したとロイターが報じた。・「暗号通貨はバブルだ。オランダのチューリップ球根バブルよりも悪い。

そのうちはじける。社員が Bitcoin を扱ったら即座に解雇する、規則違反である上に、愚かだからだ」と語った。

・発言を受けBitcoinの評価額が10%減じた。

③ 欧州の暗号通貨規制●英、EUで資金洗浄やテロ資金の流通の取り締まり強化の一環として、

暗号通貨利用者本人の特定を強化する規制が検討された。・英財務省経済担当副大臣が暗号通貨の利用者を明確化する規制を検討中

であると「The Telegraph」に語った。・資金洗浄やテロ資金の流通の取り締まりが目的・同省はまた暗号通貨に対するリスクを明らかにするため、GCHQへ技術

的な協力を要請した。・2017年12月15日に欧州議会の経済通貨委員会（ECON）が、暗号通貨の

取引所とWalletサービスに対して顧客の特定を義務付ける、「改訂第4次反マネーロンダリング指令」を発表した。

・暗号通貨が犯罪やテロ活動に利用されることを防ぐことが目的・ロイターの報道によると、2018年4月開催予定のG20にてBitcoinの規制

を議題として提案することを、仏財務大臣が現地メディア「LCI」に語った。

●暗号通貨相場確認ページ参照：https://coinmarketcap.com/all/views/all/

●JPMorganのJames Dimon CEO参照：https://commons.wikimedia.org/wiki/File:

The_Global_Financial_Context_James_Dimon.jpg

●ECONの発表参照：http://ec.europa.eu/newsroom/just/

document.cfm?action=display&doc_id=48935

④ 中国でオンライン投稿に実名を求める法律

●CACの公式発表参照：http://www.cac.gov.cn/2017-08/25/c_1121541921.htm

●CAC が、オンライン投稿に実名を求める法律を施行すると「The Diplomat」が報じた。

・中国のサイバースペース管理局（CAC）が 2017 月 8 月 25 日に新たな法律を発表した。

・インターネット企業、サービス・プロバイダに以下を要求した。・オンライン投稿をするユーザの身元確認・ユーザが投稿する内容の厳正な管理

・健全で秩序あるオンライン・コミュニティの発展を目的としている。・この法律は、2017月10月1日から施行される。

・また、CACは投稿内容を検閲する方針も明らかにした。・国家の名誉、利得を損ねる内容、民族差別、国家統一を損ねる内容など・「The Diplomat」は、曖昧で広範囲にわたると報道した。

① 暗号通貨交換所の設立者逮捕

●2016年に被害額が急増参照：https://www.blackhat.com/docs/us-17/

wednesday/us-17-Invernizzi-Tracking-Ransomware-End-To-End.pdf

●暗号通貨交換所「BTC-e」設立者のAlexander Vinnik（38歳）容疑者が逮捕された。この交換所で、多額の資金洗浄が行われていた。

・Alexander Vinnik容疑者が逮捕されたと2017年7月27日に報道された。・Vinnik容疑者は、暗号通貨交換所「BTC-e」の設立者の一人・米国において21件の容疑で起訴された。

・約40億米ドル分に及ぶ資金洗浄、無許可の金融サービス・Bitcoin換金所「Mt Gox」より窃取された資金の受け入れなど

・「Black Hat USA 2017」でGoogleがランサムウェア関連の調査を発表・Bitcoinは犯罪者に好まれて使われる。

・取引の不可逆性、現金化が容易・34種類 154,227個のランサムウェアを調査

・その内95%が「BTC-e」で現金化されていた。

⑤ 中国のサイバーセキュリティ法に対する反応

●CNITSECとMSS参照：https://www.recordedfuture.com/

china-cybersecurity-law/

●2017年6月に施行された中国のサイバーセキュリティ法について、米国が反発した。

・同法では、中国でビジネスを行う企業は政府によるコードレビューが義務付けられ、また中国ユーザのデータは同国内に保存することが求められる。

・Recorded Future社は、レビュー権限を持つCNITSEC＊3がMSS＊4の組織であり、MSSと脅威グループAPT3の関連が疑われていることを挙げ、レビュー過程で見つかった脆弱性が公開されず脅威グループの活動に活用される可能性を指摘した。

・中国のサイバーセキュリティ法は、国境を越えてサービスを展開するグローバル企業のビジネス活動を阻害するとして、米国は同法の施行中止に向けた議論を進めることを世界貿易機構(WTO)に対し求めた。

25




＊1 CAN: Controller Area Network

事案のまとめ：各国政府動向

・トランプ大統領就任後FCC議長にAjit Pai氏が指名されたことで、インターネットの在り方に関する米国政府の姿勢が大きく転換。ネット中立性廃止の方向に動き始めた。ブロードバンドは公共サービスからマーケティングの場へと変化する方向である。

・サイバー空間を、従来の陸、海、空、宇宙に次ぐ、第5の新たな戦域とみなす動きが数多く見られた。・国家による諜報活動の在り方を問う動きのほか、具体的な活動として他国による自国選挙への介入に対する対策が

各国で講じられた。・2017 年、中国では政府による通信に対するさまざまな規制が強化された。国外へのデータ持ち出しが禁止された

ほか、ネット上の情報の規制が厳しくなり、投稿にも実名が求められるようになった。・暗号通貨の人気が高まる中、各国は資金洗浄などの悪用を防ぐ動きを活発化。暗号通貨取引所の閉鎖やICOの禁止

などが行われた。

概要

IoTにおける脆弱性

2017年に話題となった脆弱性を紹介する。

●IoTにおける脆弱性●インフラにおける脆弱性●クラウド系サービスにおける脆弱性●Shadow Brokersによる脆弱性公開●その他の話題になった脆弱性

❷ 話題となった脆弱性

① 多くのIoT機器に影響する脆弱性「Devil’s Ivy」●監視カメラなどのIoT機器で利用されている「gSOAP」ライブラリに、リモートコード実行を受ける可能性

がある脆弱性「Devil’s Ivy」が発見された。・IoTセキュリティ企業Senrio社の研究者が、オープンソース「gSOAP」に、

スタック・バッファ・オーバーフローを引き起こす脆弱性（CVE-2017-9765）を発見し、「Devil’s Ivy」と称した。

・gSOAPは、さまざまな機器でインターネット通信を可能にするライブラリである。・Axis Communications社製ドームカメラのメンテナンス中に発見した

もので、リモートから、ビデオフィードへのアクセスや、所有者からのビデオフィードへのアクセス拒否などが可能となる。

・gSOAPを使用しているソフトウェア製品や接続端末など、数千万台の機器が影響を受ける可能性がある。

・gSOAPを提供するGenivia社は、2017年6月21日にパッチを提供した。

IoTの通信を可能にするライブラリや、機器間のメッセージ通信の規格など、 IoTに関連した脆弱性が多数報告された。特にROCAは、エストニアの身分証明書に使われており、政府が対応に追われるなど、大きな影響を与えた。

①多くのIoT機器に影響する脆弱性「Devil’s Ivy」②CAN標準におけるDoSの脆弱性③シリアル・イーサネット変換器の脆弱性④ROCA⑤エストニアの電子身分証のインシデント⑥Broadcom社のWi-Fiチップに脆弱性⑦「Atom C2000」チップの欠陥

●脆弱性が発見されたAxis M3004カメラ参照：http://blog.senr.io/devilsivy.html

② CAN標準におけるDoSの脆弱性●ミラノ工科大学、 Linklayer Labs社、Trend Micro社の共同研究で、CAN＊1標準の仕様にDoSの脆弱性

があることが明らかになった。・CAN標準はISO11898で定められた、車載機器をつなぐネットワーク（CAN）内で行う機器間のメッセージ通信の規格

・CAN に接続された機器は、メッセージの破損を確認した際、メッセージの再送と破損したメッセージの破棄を指示するエラーメッセージを発送する。

・特定のデバイスが多量のエラーメッセージを発する場合、同デバイスはCANから切り離される。

・CANに接続した攻撃用の機器から切り離したい機器のメッセージを破損させることで、特定機器を使用不能にすることが可能となる。

・物理アクセスを必要とするが、エラーメッセージ処理の脆弱な仕様が原因のため対応は困難

●車内で接続された攻撃用機器参照：https://documents.trendmicro.com/assets/

A-Vulnerability-in-Modern-Automotive-Standards-and-How-We-Exploited-It.pdf

26


2


＊1 CAN: Controller Area Network

事案のまとめ：各国政府動向

・トランプ大統領就任後FCC議長にAjit Pai氏が指名されたことで、インターネットの在り方に関する米国政府の姿勢が大きく転換。ネット中立性廃止の方向に動き始めた。ブロードバンドは公共サービスからマーケティングの場へと変化する方向である。

・サイバー空間を、従来の陸、海、空、宇宙に次ぐ、第5の新たな戦域とみなす動きが数多く見られた。・国家による諜報活動の在り方を問う動きのほか、具体的な活動として他国による自国選挙への介入に対する対策が

各国で講じられた。・2017 年、中国では政府による通信に対するさまざまな規制が強化された。国外へのデータ持ち出しが禁止された

ほか、ネット上の情報の規制が厳しくなり、投稿にも実名が求められるようになった。・暗号通貨の人気が高まる中、各国は資金洗浄などの悪用を防ぐ動きを活発化。暗号通貨取引所の閉鎖やICOの禁止

などが行われた。

概要

IoTにおける脆弱性

2017年に話題となった脆弱性を紹介する。

●IoTにおける脆弱性●インフラにおける脆弱性●クラウド系サービスにおける脆弱性●Shadow Brokersによる脆弱性公開●その他の話題になった脆弱性

❷ 話題となった脆弱性

① 多くのIoT機器に影響する脆弱性「Devil’s Ivy」●監視カメラなどのIoT機器で利用されている「gSOAP」ライブラリに、リモートコード実行を受ける可能性

がある脆弱性「Devil’s Ivy」が発見された。・IoTセキュリティ企業Senrio社の研究者が、オープンソース「gSOAP」に、

スタック・バッファ・オーバーフローを引き起こす脆弱性（CVE-2017-9765）を発見し、「Devil’s Ivy」と称した。

・gSOAPは、さまざまな機器でインターネット通信を可能にするライブラリである。・Axis Communications社製ドームカメラのメンテナンス中に発見した

もので、リモートから、ビデオフィードへのアクセスや、所有者からのビデオフィードへのアクセス拒否などが可能となる。

・gSOAPを使用しているソフトウェア製品や接続端末など、数千万台の機器が影響を受ける可能性がある。

・gSOAPを提供するGenivia社は、2017年6月21日にパッチを提供した。

IoTの通信を可能にするライブラリや、機器間のメッセージ通信の規格など、 IoTに関連した脆弱性が多数報告された。特にROCAは、エストニアの身分証明書に使われており、政府が対応に追われるなど、大きな影響を与えた。

①多くのIoT機器に影響する脆弱性「Devil’s Ivy」②CAN標準におけるDoSの脆弱性③シリアル・イーサネット変換器の脆弱性④ROCA⑤エストニアの電子身分証のインシデント⑥Broadcom社のWi-Fiチップに脆弱性⑦「Atom C2000」チップの欠陥

●脆弱性が発見されたAxis M3004カメラ参照：http://blog.senr.io/devilsivy.html

② CAN標準におけるDoSの脆弱性●ミラノ工科大学、 Linklayer Labs社、Trend Micro社の共同研究で、CAN＊1標準の仕様にDoSの脆弱性

があることが明らかになった。・CAN標準はISO11898で定められた、車載機器をつなぐネットワーク（CAN）内で行う機器間のメッセージ通信の規格

・CAN に接続された機器は、メッセージの破損を確認した際、メッセージの再送と破損したメッセージの破棄を指示するエラーメッセージを発送する。

・特定のデバイスが多量のエラーメッセージを発する場合、同デバイスはCANから切り離される。

・CANに接続した攻撃用の機器から切り離したい機器のメッセージを破損させることで、特定機器を使用不能にすることが可能となる。

・物理アクセスを必要とするが、エラーメッセージ処理の脆弱な仕様が原因のため対応は困難

●車内で接続された攻撃用機器参照：https://documents.trendmicro.com/assets/

A-Vulnerability-in-Modern-Automotive-Standards-and-How-We-Exploited-It.pdf

27



2. 事案の分析　－　❷ 話題となった脆弱性

＊2 ROCA: Return of Coppersmith's Attack

③ シリアル・イーサネット変換器の脆弱性●Moxa社製およびLantronix社製の産業制御システムなどで使われている

シリアル・イーサネット変換器における脆弱性が確認された。・Moxa社製「Nport」の3つの脆弱性が、2017月11月17日に報道された。

・対象：シリアル・イーサネット変換を行うNPort 5110、 5130、 5150・ファームウェア・アップデートは、すでに提供されている。

・脆弱性：パケット・インジェクション、情報漏えい、リソース枯渇・遠隔から該当機器をクラッシュさせることなどが可能となる。

・オンライン上で確認された該当機器：1,350個（報道時点）・同機能の機器がウクライナでの電力施設への攻撃で狙われていた。

・シリアル・イーサネット変換器のLantronix社製の製品「UDS」などにおける脆弱性が、2017年12月1日に報道された。

・該当機器のTelnetパスワードが漏えいする。・Shodan上で、本脆弱性を持つ6,464台が確認された。・ファームウェア・アップデートは、すでに提供されている。

●NPort参照：https://www.moxa.com/product/

NPort_5100A.htm

④ ROCA●Infineon Technologies社の暗号ライブラリに鍵ペアを適切に生成しない脆弱性が見つかる。・Infineon Technologies社のオンチップのRSAライブラリの脆弱性（CVE-2017-15361）でROCA＊2と命名された。

・Masaryk大学らの合同チームによって見つけられた。・同ライブラリで生成された公開鍵を元に秘密鍵を解析することが可能である。・研究者は、RSA 1024およびRSA 2048で秘密鍵が復元できたことを確認した。・同ライブラリ固有の鍵生成方法に関する問題でRSA暗号そのものの危殆化ではない。

・影響範囲と対応状況・Microsoft社、Google社、HP社、 Lenovo社、Fujitsu社は脆弱性公開時点で対応済みである。・Androidアプリは影響を受ける可能性があるが、 Windows、Linux、OSX、iOSへの影響は少ないとMcAfee社

が考察した。・ICカードなどを提供するGemalto社のIDカード製品「IDPrime .NET」を含む一部の製品が影響を受けることを

Register紙が報じた。・エストニア政府の国民に配布しているIDカードが影響を受けることが明らかになった。

・カードの暗号証明書を新しいものに交換する対応が行われている。

＊3 エストニアの情報システム規制当局

⑤ エストニアの電子身分証のインシデント●エストニアの国民・居住者向けの電子IDカードに脆弱性が見つかり、ID

カードの更新が行われるとともに、約76万枚のカードがブロックされた。・2017年9月5日、エストニアのRIA＊3が同国の電子IDカードに脆弱性がある

ことを明らかにした。・脆弱性は2014年10月以降に発行されたIDカードのチップに存在し、

約75万人が影響を受けると発表・すべての秘密鍵の解析には約600億ユーロの費用が掛かると説明・電子IDカード公開鍵DBのアクセスを制限

・ArsTechnica紙は、同国の電子IDカードの脆弱性がROCAであると2017年10月16日に報じた。

・Bernstein氏らはブログでエストニア政府発表の千分の1以下のコストで秘密鍵を取得できると主張

・2017年10月26日、エストニア政府は電子IDカードおよび証明書のセキュリティ・アップデートの提供を開始した。

・対象は 2014 年 10 月16 日から 2017年10 月25 日までに発行された電子IDカード

・更新は電子IDカードのユーティリティソフトを通じてオンラインで可能・2017年11月3日、エストニア政府は脆弱とされる約76万件の電子IDカード

の証明書の使用を急きょ停止し、新しい電子IDカードへの交換を呼びかけた。・電子IDの窃取は未だ確認されていないが、脆弱性ROCAの影響範囲が

当初予測よりも大きく脅威が増したためとのこと・新しい電子IDカードは、各警察組織の窓口で交換可能

●影響を受けるサービス参照：https://crocs.fi.muni.cz/public/papers/rsa_ccs17

●Infineon社からのアドバイザリ参照：https://www.infineon.com/cms/en/product/

promopages/tpm-update/?redirId=59160

⑥ Broadcom社のWi-Fiチップに脆弱性●Broadcom社のWi-Fiチップにおける脆弱性「BroadPwn」（CVE-2017-9417）が発見された。

多数の端末が本脆弱性の影響を受けると見られる。・Broadcom社製Wi-Fiチップの脆弱性が2017年7月27日に報道された。

・対象製品：Broadcom社のBCM43xxシリーズ・影響：「Android」端末および「iOS」端末など・脆弱性：遠隔からコード実行が可能。CVSS v3スコア 9.8・対応状況：GoogleおよびAppleからはパッチ提供済み

・本脆弱性を発見した「Exodus Intelligence」社の研究者が、2017年7月に開催された「Black Hat USA 2017」にて実験結果を発表した。

・Wi-Fiが有効になっている端末を、ユーザの操作なしで乗っ取りが可能・混雑した都市部で約1時間、数百のSSID名を収集し調査

・約70%がBroadcomのWi-Fiチップ●Broadcom社のWi-Fiチップにおける脆弱性（CVE-2017-11120）が公開された。同社のWi-Fiチップでは、

以前にも脆弱性Broadpwnが発見されている。・GoogleがWi-Fiチップの脆弱性を2017年9月26日に公開した。

・対象: Broadcom社製Wi-Fiチップ「BCM4355C0」・CVSS v3 ベース・スコア: 9.8 クリティカル（最大スコアは10）・細工したフレームによりバッファ・オーバーフローを引き起こすことが可能

・端末が一旦攻撃者のWi-Fiネットワークに接続されると、ユーザの操作なしでその端末にバックドアを仕掛けることが可能

・ iOS端末やAndroid端末などに搭載されており、iOS 11では修正済またAndroid向けにGoogleがパッチを提供している。

・ 2017年7月にもBroadcom社のWi-FiチップであるBCM43xxで、ユーザの操作なしで遠隔コード実行可能な脆弱性「Broadpwn」が発見されている。

●Broadcom社ロゴ参照：https://jp.broadcom.com/company/

about-us/

●Broadcom社製Wi-Fiチップ（イメージ）参照：https://www.amazon.co.uk/

Broadcom-BCM4318-MiniPCI-Gateway-Fujitsu-Siemens/dp/B003HJBI5C

●電子IDカードの脆弱性に対するFAQサイト参照：https://www.id.ee/index.php?id=38066

●電子証明証のブロックを伝えるエストニア政府参照：https://www.valitsus.ee/en/news/estonia-

will-block-certificates-760-000-id-cards-evening-3-november

28


2


＊2 ROCA: Return of Coppersmith's Attack

③ シリアル・イーサネット変換器の脆弱性●Moxa社製およびLantronix社製の産業制御システムなどで使われている

シリアル・イーサネット変換器における脆弱性が確認された。・Moxa社製「Nport」の3つの脆弱性が、2017月11月17日に報道された。

・対象：シリアル・イーサネット変換を行うNPort 5110、 5130、 5150・ファームウェア・アップデートは、すでに提供されている。

・脆弱性：パケット・インジェクション、情報漏えい、リソース枯渇・遠隔から該当機器をクラッシュさせることなどが可能となる。

・オンライン上で確認された該当機器：1,350個（報道時点）・同機能の機器がウクライナでの電力施設への攻撃で狙われていた。

・シリアル・イーサネット変換器のLantronix社製の製品「UDS」などにおける脆弱性が、2017年12月1日に報道された。

・該当機器のTelnetパスワードが漏えいする。・Shodan上で、本脆弱性を持つ6,464台が確認された。・ファームウェア・アップデートは、すでに提供されている。

●NPort参照：https://www.moxa.com/product/

NPort_5100A.htm

④ ROCA●Infineon Technologies社の暗号ライブラリに鍵ペアを適切に生成しない脆弱性が見つかる。・Infineon Technologies社のオンチップのRSAライブラリの脆弱性（CVE-2017-15361）でROCA＊2と命名された。

・Masaryk大学らの合同チームによって見つけられた。・同ライブラリで生成された公開鍵を元に秘密鍵を解析することが可能である。・研究者は、RSA 1024およびRSA 2048で秘密鍵が復元できたことを確認した。・同ライブラリ固有の鍵生成方法に関する問題でRSA暗号そのものの危殆化ではない。

・影響範囲と対応状況・Microsoft社、Google社、HP社、 Lenovo社、Fujitsu社は脆弱性公開時点で対応済みである。・Androidアプリは影響を受ける可能性があるが、 Windows、Linux、OSX、iOSへの影響は少ないとMcAfee社

が考察した。・ICカードなどを提供するGemalto社のIDカード製品「IDPrime .NET」を含む一部の製品が影響を受けることを

Register紙が報じた。・エストニア政府の国民に配布しているIDカードが影響を受けることが明らかになった。

・カードの暗号証明書を新しいものに交換する対応が行われている。

＊3 エストニアの情報システム規制当局

⑤ エストニアの電子身分証のインシデント●エストニアの国民・居住者向けの電子IDカードに脆弱性が見つかり、ID

カードの更新が行われるとともに、約76万枚のカードがブロックされた。・2017年9月5日、エストニアのRIA＊3が同国の電子IDカードに脆弱性がある

ことを明らかにした。・脆弱性は2014年10月以降に発行されたIDカードのチップに存在し、

約75万人が影響を受けると発表・すべての秘密鍵の解析には約600億ユーロの費用が掛かると説明・電子IDカード公開鍵DBのアクセスを制限

・ArsTechnica紙は、同国の電子IDカードの脆弱性がROCAであると2017年10月16日に報じた。

・Bernstein氏らはブログでエストニア政府発表の千分の1以下のコストで秘密鍵を取得できると主張

・2017年10月26日、エストニア政府は電子IDカードおよび証明書のセキュリティ・アップデートの提供を開始した。

・対象は 2014 年 10 月16 日から 2017年10 月25 日までに発行された電子IDカード

・更新は電子IDカードのユーティリティソフトを通じてオンラインで可能・2017年11月3日、エストニア政府は脆弱とされる約76万件の電子IDカード

の証明書の使用を急きょ停止し、新しい電子IDカードへの交換を呼びかけた。・電子IDの窃取は未だ確認されていないが、脆弱性ROCAの影響範囲が

当初予測よりも大きく脅威が増したためとのこと・新しい電子IDカードは、各警察組織の窓口で交換可能

●影響を受けるサービス参照：https://crocs.fi.muni.cz/public/papers/rsa_ccs17

●Infineon社からのアドバイザリ参照：https://www.infineon.com/cms/en/product/

promopages/tpm-update/?redirId=59160

⑥ Broadcom社のWi-Fiチップに脆弱性●Broadcom社のWi-Fiチップにおける脆弱性「BroadPwn」（CVE-2017-9417）が発見された。

多数の端末が本脆弱性の影響を受けると見られる。・Broadcom社製Wi-Fiチップの脆弱性が2017年7月27日に報道された。

・対象製品：Broadcom社のBCM43xxシリーズ・影響：「Android」端末および「iOS」端末など・脆弱性：遠隔からコード実行が可能。CVSS v3スコア 9.8・対応状況：GoogleおよびAppleからはパッチ提供済み

・本脆弱性を発見した「Exodus Intelligence」社の研究者が、2017年7月に開催された「Black Hat USA 2017」にて実験結果を発表した。

・Wi-Fiが有効になっている端末を、ユーザの操作なしで乗っ取りが可能・混雑した都市部で約1時間、数百のSSID名を収集し調査

・約70%がBroadcomのWi-Fiチップ●Broadcom社のWi-Fiチップにおける脆弱性（CVE-2017-11120）が公開された。同社のWi-Fiチップでは、

以前にも脆弱性Broadpwnが発見されている。・GoogleがWi-Fiチップの脆弱性を2017年9月26日に公開した。

・対象: Broadcom社製Wi-Fiチップ「BCM4355C0」・CVSS v3 ベース・スコア: 9.8 クリティカル（最大スコアは10）・細工したフレームによりバッファ・オーバーフローを引き起こすことが可能

・端末が一旦攻撃者のWi-Fiネットワークに接続されると、ユーザの操作なしでその端末にバックドアを仕掛けることが可能

・ iOS端末やAndroid端末などに搭載されており、iOS 11では修正済またAndroid向けにGoogleがパッチを提供している。

・ 2017年7月にもBroadcom社のWi-FiチップであるBCM43xxで、ユーザの操作なしで遠隔コード実行可能な脆弱性「Broadpwn」が発見されている。

●Broadcom社ロゴ参照：https://jp.broadcom.com/company/

about-us/

●Broadcom社製Wi-Fiチップ（イメージ）参照：https://www.amazon.co.uk/

Broadcom-BCM4318-MiniPCI-Gateway-Fujitsu-Siemens/dp/B003HJBI5C

●電子IDカードの脆弱性に対するFAQサイト参照：https://www.id.ee/index.php?id=38066

●電子証明証のブロックを伝えるエストニア政府参照：https://www.valitsus.ee/en/news/estonia-

will-block-certificates-760-000-id-cards-evening-3-november

29




⑦ 「Atom C2000」チップの欠陥●「Atom C2000」チップの欠陥が複数社製品に影響している可能性がある。・Intel社が2017年1月に「Atom C2000」チップに関するドキュメントを更新した。

・同チップを搭載したシステムが起動不能、停止状態に陥る可能性がある。・Cisco社が2017年2月第1週に、クロック・コンポーネントの欠陥に起因する

同社製品の問題を発表した。・稼動後18カ月経過時点から、機能停止、起動不能に陥る可能性がある。・対象機器はISR ルータ、Nexusスイッチ、ASAアプライアンスなどである。

・The registerは、両社が説明した事象が共通しており、またDell社など、複数社製品で同チップが使用されていることを指摘した。

・Intel 社は「Atom C2000」チップが使われている製品を明らかにしていないが、次回の出荷製品から対処を行うとThe registerに回答した。

① 無防備なMQTTサーバが攻撃される恐れ●多くのIoT機器をはじめ、監視設備や発電所の計器など産業制御システムで幅広く用いられる「MQTT」の

サーバの多くが、無防備の状態で放置されている。

●Atomチップ参照：http://www.intel.co.jp/content/

www/jp/ja/processors/atom/atom-c-processor.html

●発見者のLundgren氏参照：https://www.rsaconference.com/

events/us17/agenda/sessions/6671-lightweight-protocol-serious-equipment-critical

＊1 ECDIS: Electronic Chart Display and Information System（電子海図情報表示システム）

③ 船舶システムにおけるセキュリティの現状●船舶で使われるシステムを、セキュリティを考慮せずインターネットに接続したことによる問題が、Pen Test

Partnersの研究者により明らかにされた。

●コンテナ船参照：http://www.zdnet.com/article/bad-

passwords-and-weak-security-are-making-ships-an-easy-target-for-hackers/

●招待画面参照：https://community.box.com/t5/

コラボレーションと共有/コラボレータの招待-詳しい説明/ta-p/858

インフラにおける脆弱性

インターネット接続を想定せずに設計された重要インフラを担うシステムにおいて、インターネット接続時のセキュリティ対策が不十分であることが指摘された。

①無防備なMQTTサーバが攻撃される恐れ②太陽光発電機器の脆弱性で大規模停電③船舶システムにおけるセキュリティの現状④PLC製品PFC200に複数の脆弱性

クラウド系サービスにおける脆弱性

メジャーなクラウド系サービスに脆弱性が見つかり、顧客情報が多数、漏えいした。

①Box上の文書がWeb検索可能に②Cloudflare社サービスより情報漏えい② 太陽光発電機器の脆弱性で大規模停電

●セキュリティ研究者が、高いシェアを占める太陽光発電機器に複数の脆弱性を発見。攻撃シナリオを公開し、国家をまたぐ大規模停電の危険性を指摘した。

・IOActive社のLucas Lundgren氏は、ポートスキャンにより、87,000台もの暗号化やパスワードで保護されていないMQTTサーバを発見した。

・MQTTは、M2M（Machine-to-Machine）環境を実現する、シンプルかつ軽量で帯域を効率良く利用可能なメッセージプロトコルであり、ネットワークにつながれた機器間の通信を仲介するサーバで用いられている。

・使用例として、刑務所の監視システム、原子力発電所の計器センサー、公共交通システム、ペースメーカーやインスリンポンプといった医療機器の遠隔制御などが挙げられている。

・MQTTサーバ上の保護されていないメッセージは、閲覧するだけでなく、書き換えも可能であり、監獄の扉を開閉したり、制御システムの設定を上書きすることができる。

・MQTT自体は脆弱でなく、暗号化やパスワード保護せずに使用していることが問題だ、とLundgren氏は指摘している。

・船舶でのナビシステム、ECDIS ＊1、積載管理システムなどは以前はローカルネットワーク内で運用されていた。昨今、船内ネットワークがインターネットに接続されるようになったが、セキュリティ対策が追いついていないことが明らかになった。

・衛星通信端末（インターネットとの接点のため、対策を優先すべき）・初期パスワードが単純であり、また、認証にTLSを使用してい

ない。・IPアドレスを基にインターネット接続機器を検索できる「Shodan」で参照できる状態にある。

・脆弱な各種管理システムの脅威・積荷の重量や位置などの改ざんで、船を不安定にし、事故を

誘発できる。・コンテナ情報の改ざんで、密輸入が可能となる。

① Box上の文書がWeb検索可能に●企業向けクラウドストレージBox上から、機密文書などが漏えいした。・発見されたBoxの脆弱性

・Kaspersky社が、2017年1月3日に報じ、Box社はすでに修正済みである。・コラボ機能への「招待URL」が検索対象になっていた。

・このURLを使うことで、誰でも文書にアクセス可能・デフォルト権限で、閲覧、編集、アップロードなどが可能

・影響・以下を含む企業の1万件以上の文書などが漏えいした。

・Dell社・Discovery Communication社・Illumina社

④ PLC製品PFC200に複数の脆弱性●産業用機械の自動制御などに用いられるPLC製品のPFC200シリーズに、リモートから悪用可能な脆弱性が

存在することが公開された。

●影響を受ける製品参照：https://eshop.wago.com/JPBC/0_5StartPage.jsp

・WAGO社が提供するPLC製品PFC200シリーズの17機種に、リモートより認証なく管理者権限で、ファイル操作やタスクの変更などが可能な脆弱性が存在することを、セキュリティ企業SEC Consult社が公開した。

・CODESYS Runtimeのバージョン2.3系と2.4系を利用するデバイスが、本脆弱性の影響を受ける。

・CODESYS Runtimeが利用するポート（デフォルト設定：2455 port）に悪意あるパケットを送信することで悪用が可能となる。

・本脆弱性を利用してタスクリストをすべて削除することで、DoS状態を発生させることが可能となる。

・メモリ破壊による任意コード実行の可能性も指摘されている。・修正パッチは、2018年1月の提供を予定している。

・オランダのセキュリティ研究者Willem Westerhof氏が、太陽光発電機器の脆弱性を衝いた攻撃シナリオ「Horus Scenario」を公開した。

・脆弱性を攻撃して太陽光発電施設の電力出力量を急変させることで、電力網を支える需要と供給のバランスを崩し、停電を引き起こす攻撃である。

・欧州では、電力の融通のために国家間で電力網を相互接続しているため、一部の停電が大陸全土まで大規模に広がる危険性が考えられる。

・Westerhof氏は、業界最大手の独SMA社の太陽光発電機器に、21の脆弱性を発見した。・14個にCVE番号が付与された。内8個はクリティカルである。・認証が脆弱なため、電力調整器の乗っ取りも可能である。・同時・大量の攻撃で電力網の保護機能を上回る大幅な出力量変化を起こし、

停電を起こすことが可能である。

●Horus Scenario参照：https://horusscenario.com/wp-co

ntent/uploads/2017/07/p2000x1200_sunsky2_logo-768x461.jpg

30


2


⑦ 「Atom C2000」チップの欠陥●「Atom C2000」チップの欠陥が複数社製品に影響している可能性がある。・Intel社が2017年1月に「Atom C2000」チップに関するドキュメントを更新した。

・同チップを搭載したシステムが起動不能、停止状態に陥る可能性がある。・Cisco社が2017年2月第1週に、クロック・コンポーネントの欠陥に起因する

同社製品の問題を発表した。・稼動後18カ月経過時点から、機能停止、起動不能に陥る可能性がある。・対象機器はISR ルータ、Nexusスイッチ、ASAアプライアンスなどである。

・The registerは、両社が説明した事象が共通しており、またDell社など、複数社製品で同チップが使用されていることを指摘した。

・Intel 社は「Atom C2000」チップが使われている製品を明らかにしていないが、次回の出荷製品から対処を行うとThe registerに回答した。

① 無防備なMQTTサーバが攻撃される恐れ●多くのIoT機器をはじめ、監視設備や発電所の計器など産業制御システムで幅広く用いられる「MQTT」の

サーバの多くが、無防備の状態で放置されている。

●Atomチップ参照：http://www.intel.co.jp/content/

www/jp/ja/processors/atom/atom-c-processor.html

●発見者のLundgren氏参照：https://www.rsaconference.com/

events/us17/agenda/sessions/6671-lightweight-protocol-serious-equipment-critical

＊1 ECDIS: Electronic Chart Display and Information System（電子海図情報表示システム）

③ 船舶システムにおけるセキュリティの現状●船舶で使われるシステムを、セキュリティを考慮せずインターネットに接続したことによる問題が、Pen Test

Partnersの研究者により明らかにされた。

●コンテナ船参照：http://www.zdnet.com/article/bad-

passwords-and-weak-security-are-making-ships-an-easy-target-for-hackers/

●招待画面参照：https://community.box.com/t5/

コラボレーションと共有/コラボレータの招待-詳しい説明/ta-p/858

インフラにおける脆弱性

インターネット接続を想定せずに設計された重要インフラを担うシステムにおいて、インターネット接続時のセキュリティ対策が不十分であることが指摘された。

①無防備なMQTTサーバが攻撃される恐れ②太陽光発電機器の脆弱性で大規模停電③船舶システムにおけるセキュリティの現状④PLC製品PFC200に複数の脆弱性

クラウド系サービスにおける脆弱性

メジャーなクラウド系サービスに脆弱性が見つかり、顧客情報が多数、漏えいした。

①Box上の文書がWeb検索可能に②Cloudflare社サービスより情報漏えい② 太陽光発電機器の脆弱性で大規模停電

●セキュリティ研究者が、高いシェアを占める太陽光発電機器に複数の脆弱性を発見。攻撃シナリオを公開し、国家をまたぐ大規模停電の危険性を指摘した。

・IOActive社のLucas Lundgren氏は、ポートスキャンにより、87,000台もの暗号化やパスワードで保護されていないMQTTサーバを発見した。

・MQTTは、M2M（Machine-to-Machine）環境を実現する、シンプルかつ軽量で帯域を効率良く利用可能なメッセージプロトコルであり、ネットワークにつながれた機器間の通信を仲介するサーバで用いられている。

・使用例として、刑務所の監視システム、原子力発電所の計器センサー、公共交通システム、ペースメーカーやインスリンポンプといった医療機器の遠隔制御などが挙げられている。

・MQTTサーバ上の保護されていないメッセージは、閲覧するだけでなく、書き換えも可能であり、監獄の扉を開閉したり、制御システムの設定を上書きすることができる。

・MQTT自体は脆弱でなく、暗号化やパスワード保護せずに使用していることが問題だ、とLundgren氏は指摘している。

・船舶でのナビシステム、ECDIS ＊1、積載管理システムなどは以前はローカルネットワーク内で運用されていた。昨今、船内ネットワークがインターネットに接続されるようになったが、セキュリティ対策が追いついていないことが明らかになった。

・衛星通信端末（インターネットとの接点のため、対策を優先すべき）・初期パスワードが単純であり、また、認証にTLSを使用してい

ない。・IPアドレスを基にインターネット接続機器を検索できる「Shodan」で参照できる状態にある。

・脆弱な各種管理システムの脅威・積荷の重量や位置などの改ざんで、船を不安定にし、事故を

誘発できる。・コンテナ情報の改ざんで、密輸入が可能となる。

① Box上の文書がWeb検索可能に●企業向けクラウドストレージBox上から、機密文書などが漏えいした。・発見されたBoxの脆弱性

・Kaspersky社が、2017年1月3日に報じ、Box社はすでに修正済みである。・コラボ機能への「招待URL」が検索対象になっていた。

・このURLを使うことで、誰でも文書にアクセス可能・デフォルト権限で、閲覧、編集、アップロードなどが可能

・影響・以下を含む企業の1万件以上の文書などが漏えいした。

・Dell社・Discovery Communication社・Illumina社

④ PLC製品PFC200に複数の脆弱性●産業用機械の自動制御などに用いられるPLC製品のPFC200シリーズに、リモートから悪用可能な脆弱性が

存在することが公開された。

●影響を受ける製品参照：https://eshop.wago.com/JPBC/0_5StartPage.jsp

・WAGO社が提供するPLC製品PFC200シリーズの17機種に、リモートより認証なく管理者権限で、ファイル操作やタスクの変更などが可能な脆弱性が存在することを、セキュリティ企業SEC Consult社が公開した。

・CODESYS Runtimeのバージョン2.3系と2.4系を利用するデバイスが、本脆弱性の影響を受ける。

・CODESYS Runtimeが利用するポート（デフォルト設定：2455 port）に悪意あるパケットを送信することで悪用が可能となる。

・本脆弱性を利用してタスクリストをすべて削除することで、DoS状態を発生させることが可能となる。

・メモリ破壊による任意コード実行の可能性も指摘されている。・修正パッチは、2018年1月の提供を予定している。

・オランダのセキュリティ研究者Willem Westerhof氏が、太陽光発電機器の脆弱性を衝いた攻撃シナリオ「Horus Scenario」を公開した。

・脆弱性を攻撃して太陽光発電施設の電力出力量を急変させることで、電力網を支える需要と供給のバランスを崩し、停電を引き起こす攻撃である。

・欧州では、電力の融通のために国家間で電力網を相互接続しているため、一部の停電が大陸全土まで大規模に広がる危険性が考えられる。

・Westerhof氏は、業界最大手の独SMA社の太陽光発電機器に、21の脆弱性を発見した。・14個にCVE番号が付与された。内8個はクリティカルである。・認証が脆弱なため、電力調整器の乗っ取りも可能である。・同時・大量の攻撃で電力網の保護機能を上回る大幅な出力量変化を起こし、

停電を起こすことが可能である。

●Horus Scenario参照：https://horusscenario.com/wp-co

ntent/uploads/2017/07/p2000x1200_sunsky2_logo-768x461.jpg

31




② Cloudflare社サービスより情報漏えい ●Cloudflare社が提供する機能で用いられるHTML parserに脆弱性が存在し、情報の漏えいが発生した。・Cloudflare社サービスの脆弱性により、Cloudflare社のreverse proxyサーバ上のメモリ情報が漏えいをしている

ことをGoogle Project Zeroが2017年2月19日に情報公開した。・reverse proxyサーバ上の初期化されていないメモリ情報が、顧客のWebサイト上に表示されていた。

・漏えい先のWebサイトとは関係のない情報も表示された。・漏えいした情報にはセッショントークンや、パスワード情報などが含まれる。・この脆弱性はCloudbleedと命名された。

・Cloudflare社が2017年2月23日と2017年3月1日に本件に対しての報告をブログ上で行った。・新たに導入したHTML parserが脆弱性の原因と発表した。

・特定のHTMLタグが正しく付与されていないWebサイトで発生した。・メモリ内に蓄積したコンテンツを分離する際の処理に脆弱性があり、バッファオーバーランが発生した。・0.00003%のリクエストで漏えいする。

・脆弱性は2017年2月18日にCloudflare社に通知された。・通知後、1時間以内に修正された。

・確認できる限りでは、漏えいした情報が悪用された証拠は発見できなかったと報告した。・顧客のSSL秘密鍵などの漏えいも確認されていないとしている。

① NSAが利用した脆弱性のリーク ●米 NSAのハッキングツールやゼロデイ脆弱性などを、 The Shadow Brokers

が新たにリークし、一部ベンダがセキュリティアップデートを公開した。・The Shadow Brokersが、NSAとの関連が疑われるEquation Groupの

サーバから窃取したと主張するハッキングツールや文書などをリークした。・2016年8月から、The Shadow Brokersはリークと販売を開始した。

・これまでに、Cisco社、Fortinet社、Juniper社製品などの脆弱性や、NSAが中国・韓国・日本などを攻撃していたことが明らかになっている。

・2017年4月4日と14日に、脆弱性や攻撃ツールが新たにリークされた。・4月4日のリークでは、過去に販売されていたファイルが公開され、研究者

らにより調査された。・Solarisのリモートコード実行可能なゼロデイ脆弱性（EBBISLAND）など・Mobilink社のGSM内部へのアクセスメモ・その他、既知の脆弱性を突く攻撃ツール

・2017 年 4 月 14 日に新たなファイルがリークされ、研究者らにより調査されている。

・ゼロデイ脆弱性を対象に含む、複数のエクスプロイトが公開された。・以下は、リモートコード実行可能なエクスプロイトの一部とその

修正日である。

・NSAによる攻撃を示唆するファイルも多数含まれていた。・中東最大のSWIFTサービス局EastNets社の、内部情報・Stuxnetワームで使用されたものと類似する攻撃スクリプト

② Shadow Brokersによる会員制の情報提供●米NSAのハッキングツールを流出させたShadow Brokersが、会費

を支払ったメンバーに脆弱性情報を提供するサービスを2017年6月より開始すると発表した。

・「The Shadow Brokers Data Dump of the Month」と命名されたこのサービスは、毎月提供される情報に対し、月額の会費を求める。

・提供予定の情報として、ブラウザ／ルータ／スマートフォンのエクスプロイトとツール、Windows 10を含むOSの新たな脆弱性、SWIFTおよび銀行からの流出データ、核施設やミサイル計画のデータ、などが挙げられている。

・初回配信2017年6月分の会費は、仮想通貨「Zcash」で100 ZEC＊1

であった。・2017年6月1日～ 6月30日の間に、会費を指定のアドレス

に送金する。・支払いが確認されると、送金時のメモ欄に入力したメール

アドレスに確認メールが届く。・2017年7月1日～ 7月17日の間に、6月分のリーク情報が

会員にメールで一斉送信される。

●Cloud型のreverse proxy参照：https://dzone.com/articles/

what-cloudbleed-means-for-you-and-your-customers

＊1 NSA: National Security Agency（米国国家安全保障局）

＊1 100 ZEC：約260万円（2017年6月1日の時点）

Shadow Brokersによる脆弱性公開

2016年に続き、Shadow BrokersがNSA＊1（米国国家安全保障局）との関連が疑われるEquation Groupから窃取したと主張し情報の一部をリークした。そのリークに対応して各ベンダが修正パッチを提供し、一部のEoL製品にも脆弱性修正が提供された。その後、Shadow Brokersは会費を支払ったメンバーに残りの情報を提供するサービスを発表し、話題となった。

①NSAが利用した脆弱性のリーク ②Shadow Brokersによる会員制の情報提供

政府が隠していた脆弱性情報により、WannaCryやNotPetyaなどのマルウェアに転用され、大きな被害が出たことで、脆弱性の開示／保持の在り方が議論となった。

③米国、脆弱性開示プロセスに関する法案

●漏えい状況の例参照：https://blog.cloudflare.com/

quantifying-the-impact-of-cloudbleed/

●販売価格参照：http://securityaffairs.co/wordpress/

54432/hacking/shadow-brokers-direct-sale.html

●Shadow Brokersの発表参照：https://steemit.com/shadowbrokers/

@theshadowbrokers/theshadowbrokers-monthly-dump-service-june-2017

エクスプロイトのコード名脆弱な製品（箇所）パッチ公開日3月14日3月14日3月14日3月14日4月19日4月20日

ETERNALROMANCEETERNALSYNERGYETERNALBLUEETERNALCHAMPIONEBBISLANDEMPHASISMINE

Solaris (RPC XDR)Lotus Domino (IMAP)

Windows (SMB)

Name Type BTCauction_filebscatflapcharmscommon cursesdampcrowddewdropdubmoatearlyshovelebb

everythingunknownunknownimplantunknownimplantunknownimplanttrojanexploitexploit

1,000.010.010.0100.010.0100.010.0100.010.010.010.0

32


2


② Cloudflare社サービスより情報漏えい ●Cloudflare社が提供する機能で用いられるHTML parserに脆弱性が存在し、情報の漏えいが発生した。・Cloudflare社サービスの脆弱性により、Cloudflare社のreverse proxyサーバ上のメモリ情報が漏えいをしている

ことをGoogle Project Zeroが2017年2月19日に情報公開した。・reverse proxyサーバ上の初期化されていないメモリ情報が、顧客のWebサイト上に表示されていた。

・漏えい先のWebサイトとは関係のない情報も表示された。・漏えいした情報にはセッショントークンや、パスワード情報などが含まれる。・この脆弱性はCloudbleedと命名された。

・Cloudflare社が2017年2月23日と2017年3月1日に本件に対しての報告をブログ上で行った。・新たに導入したHTML parserが脆弱性の原因と発表した。

・特定のHTMLタグが正しく付与されていないWebサイトで発生した。・メモリ内に蓄積したコンテンツを分離する際の処理に脆弱性があり、バッファオーバーランが発生した。・0.00003%のリクエストで漏えいする。

・脆弱性は2017年2月18日にCloudflare社に通知された。・通知後、1時間以内に修正された。

・確認できる限りでは、漏えいした情報が悪用された証拠は発見できなかったと報告した。・顧客のSSL秘密鍵などの漏えいも確認されていないとしている。

① NSAが利用した脆弱性のリーク ●米 NSAのハッキングツールやゼロデイ脆弱性などを、 The Shadow Brokers

が新たにリークし、一部ベンダがセキュリティアップデートを公開した。・The Shadow Brokersが、NSAとの関連が疑われるEquation Groupの

サーバから窃取したと主張するハッキングツールや文書などをリークした。・2016年8月から、The Shadow Brokersはリークと販売を開始した。

・これまでに、Cisco社、Fortinet社、Juniper社製品などの脆弱性や、NSAが中国・韓国・日本などを攻撃していたことが明らかになっている。

・2017年4月4日と14日に、脆弱性や攻撃ツールが新たにリークされた。・4月4日のリークでは、過去に販売されていたファイルが公開され、研究者

らにより調査された。・Solarisのリモートコード実行可能なゼロデイ脆弱性（EBBISLAND）など・Mobilink社のGSM内部へのアクセスメモ・その他、既知の脆弱性を突く攻撃ツール

・2017 年 4 月 14 日に新たなファイルがリークされ、研究者らにより調査されている。

・ゼロデイ脆弱性を対象に含む、複数のエクスプロイトが公開された。・以下は、リモートコード実行可能なエクスプロイトの一部とその

修正日である。

・NSAによる攻撃を示唆するファイルも多数含まれていた。・中東最大のSWIFTサービス局EastNets社の、内部情報・Stuxnetワームで使用されたものと類似する攻撃スクリプト

② Shadow Brokersによる会員制の情報提供●米NSAのハッキングツールを流出させたShadow Brokersが、会費

を支払ったメンバーに脆弱性情報を提供するサービスを2017年6月より開始すると発表した。

・「The Shadow Brokers Data Dump of the Month」と命名されたこのサービスは、毎月提供される情報に対し、月額の会費を求める。

・提供予定の情報として、ブラウザ／ルータ／スマートフォンのエクスプロイトとツール、Windows 10を含むOSの新たな脆弱性、SWIFTおよび銀行からの流出データ、核施設やミサイル計画のデータ、などが挙げられている。

・初回配信2017年6月分の会費は、仮想通貨「Zcash」で100 ZEC＊1

であった。・2017年6月1日～ 6月30日の間に、会費を指定のアドレス

に送金する。・支払いが確認されると、送金時のメモ欄に入力したメール

アドレスに確認メールが届く。・2017年7月1日～ 7月17日の間に、6月分のリーク情報が

会員にメールで一斉送信される。

●Cloud型のreverse proxy参照：https://dzone.com/articles/

what-cloudbleed-means-for-you-and-your-customers

＊1 NSA: National Security Agency（米国国家安全保障局）

＊1 100 ZEC：約260万円（2017年6月1日の時点）

Shadow Brokersによる脆弱性公開

2016年に続き、Shadow BrokersがNSA＊1（米国国家安全保障局）との関連が疑われるEquation Groupから窃取したと主張し情報の一部をリークした。そのリークに対応して各ベンダが修正パッチを提供し、一部のEoL製品にも脆弱性修正が提供された。その後、Shadow Brokersは会費を支払ったメンバーに残りの情報を提供するサービスを発表し、話題となった。

①NSAが利用した脆弱性のリーク ②Shadow Brokersによる会員制の情報提供

政府が隠していた脆弱性情報により、WannaCryやNotPetyaなどのマルウェアに転用され、大きな被害が出たことで、脆弱性の開示／保持の在り方が議論となった。

③米国、脆弱性開示プロセスに関する法案

●漏えい状況の例参照：https://blog.cloudflare.com/

quantifying-the-impact-of-cloudbleed/

●販売価格参照：http://securityaffairs.co/wordpress/

54432/hacking/shadow-brokers-direct-sale.html

●Shadow Brokersの発表参照：https://steemit.com/shadowbrokers/

@theshadowbrokers/theshadowbrokers-monthly-dump-service-june-2017

エクスプロイトのコード名脆弱な製品（箇所）パッチ公開日3月14日3月14日3月14日3月14日4月19日4月20日

ETERNALROMANCEETERNALSYNERGYETERNALBLUEETERNALCHAMPIONEBBISLANDEMPHASISMINE

Solaris (RPC XDR)Lotus Domino (IMAP)

Windows (SMB)

Name Type BTCauction_filebscatflapcharmscommon cursesdampcrowddewdropdubmoatearlyshovelebb

everythingunknownunknownimplantunknownimplantunknownimplanttrojanexploitexploit

1,000.010.010.0100.010.0100.010.0100.010.010.010.0

33




③ 米国、脆弱性開示プロセスに関する法案 ●米国の上・下院の超党派議員らが2017年5月17日、政府による脆弱性の開示／保持判断プロセスに透明性

と説明責任を求める超党派法案を提出した。・PATCH Act：Protecting our Ability To Counter Hacking Act

・政府機関が技術、製品、システム、サービス、アプリケーションに未知の脆弱性を発見した際の、情報開示に関するプロセスを定める法案

・「脆弱性公平審査会」設立を定める。メンバーは政府情報機関長官従来の類似機関と異なり、NSAではなくDHSが議長を勤める。

・審査会はいつ、どのように、誰に、どの程度、脆弱性情報を共有または公開すべきかを判断する。判断のためのポリシーとプロセスも定める。

・判断の際に考慮すべき脆弱性開示に関するリスクやメリット、さまざまな影響も法案で規定

・本法案に従うことで、脆弱性開示プロセスに透明性を確保しつつ、政府が国家の安全を守るために必要な武器を持つことが保証される。

② Wi-Fi規格に対する攻撃KRACK●無線通信で使われるセキュリティ規格 WPA2（Wi-Fi Protected Access 2）に通信情報を窃取可能な

攻撃手法KRACKが発見された。・ルーヴェン・カトリック大学の研究者らが、Wi-Fi通信の規格WPA2に情報漏えいの脆弱性が存在することをACM

CCS 2017にて報告した。・脆弱性はWPA2プロトコルの端末認証プロセスに存在・端末とアクセスポイントで行われる4-way handshakeを攻撃者が中継することでWPA2の通信内容をデコード

することが可能・ほかの暗号通信手段（HTTPS、IP-VPN、SSHなど）を用いていない通信は、攻撃者が内容を盗み見ることが可能・Android、Linux、Windows、Apple、 Cisco製品など、WPA2を実装する多くの製品に影響

・各製品のソフトウェアアップデートで対処可能

① SHAttered●SHA-1に対する衝突攻撃＊1で、ハッシュ値を初めて実際に衝突

させた2つのPDFファイルが公開された（オランダCWI、Google 2017年2月23日）。

・1995年に米国NISTにより標準化されたハッシュ関数SHA-1・電子署名やファイルの完全性確認に使用・2005年に理論的な攻撃可能性が指摘され、2011年に非推奨となる。

・初めてSHA-1を衝突させた攻撃SHAttered・PDFヘッダーのJPEGファイル内のデータを改変し、ハッシュ

値を衝突・共通のプレフィックスとサフィックスが与えられたときに、

わずかに異なる2種類のメッセージブロックのペアを発見・ブルートフォースではGPU 1,200万個で1年かかる計算が、

GPU 110個1年で可能・SHA-1衝突による影響

・WebKitのApache Subversion（SVN）リポジトリで障害・ SHA-1衝突によるキャッシュ衝突を検証するコードを、

リポジトリへ追加し、クラッシュが発生（WebKit開発者 2017年2月23日）

・公開された2つのPDFファイルを検証コードに使用していた。・2017 年 2 月 24 日に Apache は、コミット前に衝突を

検証するコードを緩和策として公開し、今後修正すると発表・Gitではこの障害はない（Bleeping Computer 2017年

2月26日）。・Gitへの大きな影響はないと、Linus氏が2017年2月26日に発言

・署名ではなく、コンテンツ識別に使用しており信頼の起点ではない。・衝突攻撃は原像攻撃＊2と比べ攻撃が難しい。・PDFとは異なりソースコードは透明性が高く、発見は容易・すでに2件の緩和パッチを公開しており、SHA-3などへの移行も検討中

●NSA参照：https://s3.reutersmedia.net/resources/

r/?m=02&d=20170517&t=2&i=1185150484&w=780&fh=&fw=&ll=&pl=&sq=&r=LYNXNPED4G1U5

●公開されたSHA-1ハッシュ値が衝突した2つのPDFファイル参照：https://shattered.it

●メッセージブロックの衝突参照：https://shattered.it

＊1 ハッシュ値が同じ異なるメッセージを探索する攻撃＊2 あるハッシュ値またはメッセージと同一のハッシュ値を持つメッセージを探索する攻撃

その他の話題になった脆弱性

その他、2017年度に話題となった脆弱性として、SHA-1衝突攻撃の成功（SHAttered）とWPA2の盗聴（KRACK）を紹介する。

①SHAttered②Wi-Fi規格に対する攻撃KRACK

●Wi-Fi APと端末間での攻撃例参照：https://distrinet.cs.kuleuven.be/news/2017/

CSS17-RealWorldImpactAward.jsp

事案のまとめ：話題となった脆弱性

・昨年から引き続きIoT機器に関するサイバー攻撃や脆弱性が多く観測された。IoT機器を導入する際にはリスクの算出を行い、リスクが許容範囲内かを確認することが推奨される。

・IoTと同様に、船舶やプラントなど今までインターネット接続されていなかった施設に対するリスクが報じられた。何がインターネットにつながっているのか、リスクはどれ位あるのかを確実に管理することが推奨される。

・クラウドサービスに脆弱性があり情報漏えいしたことが複数報道された。多くの組織／人物が共通のサービスを利用することや、インターネットを経由することはリスクとなる。ポリシー策定やリスク計算を行った上で利用することが推奨される。

・Shadow Brokersが漏えいさせた、国家が利用したと見られるサイバー兵器により、民間で多くの被害が出た。サイバー兵器が利用する脆弱性の修正パッチは提供済みであるが、2018年にも引き続き被害が報告されている。パッチ管理を行い、プロダクトを常に最新状態とすることが求められる。

・SHA-1衝突攻撃の成功やWPA2の盗聴など、今まで利用されてきたセキュリティ機構を脅かす報告が複数報じられた。このような報道があった場合には確実に対応する必要があるため、アンテナを高く保つ必要がある。

34


2


③ 米国、脆弱性開示プロセスに関する法案 ●米国の上・下院の超党派議員らが2017年5月17日、政府による脆弱性の開示／保持判断プロセスに透明性

と説明責任を求める超党派法案を提出した。・PATCH Act：Protecting our Ability To Counter Hacking Act

・政府機関が技術、製品、システム、サービス、アプリケーションに未知の脆弱性を発見した際の、情報開示に関するプロセスを定める法案

・「脆弱性公平審査会」設立を定める。メンバーは政府情報機関長官従来の類似機関と異なり、NSAではなくDHSが議長を勤める。

・審査会はいつ、どのように、誰に、どの程度、脆弱性情報を共有または公開すべきかを判断する。判断のためのポリシーとプロセスも定める。

・判断の際に考慮すべき脆弱性開示に関するリスクやメリット、さまざまな影響も法案で規定

・本法案に従うことで、脆弱性開示プロセスに透明性を確保しつつ、政府が国家の安全を守るために必要な武器を持つことが保証される。

② Wi-Fi規格に対する攻撃KRACK●無線通信で使われるセキュリティ規格 WPA2（Wi-Fi Protected Access 2）に通信情報を窃取可能な

攻撃手法KRACKが発見された。・ルーヴェン・カトリック大学の研究者らが、Wi-Fi通信の規格WPA2に情報漏えいの脆弱性が存在することをACM

CCS 2017にて報告した。・脆弱性はWPA2プロトコルの端末認証プロセスに存在・端末とアクセスポイントで行われる4-way handshakeを攻撃者が中継することでWPA2の通信内容をデコード

することが可能・ほかの暗号通信手段（HTTPS、IP-VPN、SSHなど）を用いていない通信は、攻撃者が内容を盗み見ることが可能・Android、Linux、Windows、Apple、 Cisco製品など、WPA2を実装する多くの製品に影響

・各製品のソフトウェアアップデートで対処可能

① SHAttered●SHA-1に対する衝突攻撃＊1で、ハッシュ値を初めて実際に衝突

させた2つのPDFファイルが公開された（オランダCWI、Google 2017年2月23日）。

・1995年に米国NISTにより標準化されたハッシュ関数SHA-1・電子署名やファイルの完全性確認に使用・2005年に理論的な攻撃可能性が指摘され、2011年に非推奨となる。

・初めてSHA-1を衝突させた攻撃SHAttered・PDFヘッダーのJPEGファイル内のデータを改変し、ハッシュ

値を衝突・共通のプレフィックスとサフィックスが与えられたときに、

わずかに異なる2種類のメッセージブロックのペアを発見・ブルートフォースではGPU 1,200万個で1年かかる計算が、

GPU 110個1年で可能・SHA-1衝突による影響

・WebKitのApache Subversion（SVN）リポジトリで障害・ SHA-1衝突によるキャッシュ衝突を検証するコードを、

リポジトリへ追加し、クラッシュが発生（WebKit開発者 2017年2月23日）

・公開された2つのPDFファイルを検証コードに使用していた。・2017 年 2 月 24 日に Apache は、コミット前に衝突を

検証するコードを緩和策として公開し、今後修正すると発表・Gitではこの障害はない（Bleeping Computer 2017年

2月26日）。・Gitへの大きな影響はないと、Linus氏が2017年2月26日に発言

・署名ではなく、コンテンツ識別に使用しており信頼の起点ではない。・衝突攻撃は原像攻撃＊2と比べ攻撃が難しい。・PDFとは異なりソースコードは透明性が高く、発見は容易・すでに2件の緩和パッチを公開しており、SHA-3などへの移行も検討中

●NSA参照：https://s3.reutersmedia.net/resources/

r/?m=02&d=20170517&t=2&i=1185150484&w=780&fh=&fw=&ll=&pl=&sq=&r=LYNXNPED4G1U5

●公開されたSHA-1ハッシュ値が衝突した2つのPDFファイル参照：https://shattered.it

●メッセージブロックの衝突参照：https://shattered.it

＊1 ハッシュ値が同じ異なるメッセージを探索する攻撃＊2 あるハッシュ値またはメッセージと同一のハッシュ値を持つメッセージを探索する攻撃

その他の話題になった脆弱性

その他、2017年度に話題となった脆弱性として、SHA-1衝突攻撃の成功（SHAttered）とWPA2の盗聴（KRACK）を紹介する。

①SHAttered②Wi-Fi規格に対する攻撃KRACK

●Wi-Fi APと端末間での攻撃例参照：https://distrinet.cs.kuleuven.be/news/2017/

CSS17-RealWorldImpactAward.jsp

事案のまとめ：話題となった脆弱性

・昨年から引き続きIoT機器に関するサイバー攻撃や脆弱性が多く観測された。IoT機器を導入する際にはリスクの算出を行い、リスクが許容範囲内かを確認することが推奨される。

・IoTと同様に、船舶やプラントなど今までインターネット接続されていなかった施設に対するリスクが報じられた。何がインターネットにつながっているのか、リスクはどれ位あるのかを確実に管理することが推奨される。

・クラウドサービスに脆弱性があり情報漏えいしたことが複数報道された。多くの組織／人物が共通のサービスを利用することや、インターネットを経由することはリスクとなる。ポリシー策定やリスク計算を行った上で利用することが推奨される。

・Shadow Brokersが漏えいさせた、国家が利用したと見られるサイバー兵器により、民間で多くの被害が出た。サイバー兵器が利用する脆弱性の修正パッチは提供済みであるが、2018年にも引き続き被害が報告されている。パッチ管理を行い、プロダクトを常に最新状態とすることが求められる。

・SHA-1衝突攻撃の成功やWPA2の盗聴など、今まで利用されてきたセキュリティ機構を脅かす報告が複数報じられた。このような報道があった場合には確実に対応する必要があるため、アンテナを高く保つ必要がある。

35



2. 事案の分析

概要


2017年に発生したサイバー攻撃の中で、特徴的であった攻撃を紹介する。

●ランサムウェア●暗号通貨の不正なマイニング●暗号通貨の窃取●国家によるものと見られる攻撃●重要インフラへの攻撃

❸ サイバー攻撃

2017年はランサムウェア攻撃が大きく注目される年となった。Shadow Brokersが流出させたツールの悪用により、2017年5月にはWannaCryが、その翌月の6月にはNotPetyaが大流行し、大きな被害をもたらした。また2017年10月にはBadRabbitが発生し、ロシアやウクライナなどで複数の被害が発生した。一方、外部アクセス可能なシステムを経由し、データを書き換え身代金を要求する事案や、本来の標的を攻撃するためにサプライチェーンを経由し、機密情報と引き換えに身代金を要求する事案も多く発生した。

①WannaCry②NotPetyaの流行③ランサムウェアBadRabbitの被害発生④外部アクセス可能なシステムへの攻撃

① WannaCry●Shadow Brokersがリークしたツールを利用し、SMBの脆弱を狙って拡散する暗号化ランサムウェア「WannaCry」が世界中で大きな被害を出した。

・WannaCryによる大規模な攻撃が2017年5月12日に発生し、5月13日の時点で、20万台、最低でも150カ国で感染があったと報じられた。

・Kryptos Logic社は、感染台数が数百万台であると推測・Trend Micro社は最も多くの被害者を出したランサムウェアであると述べている。・2017年5月19日にKaspersky社のCostin Raiu氏が公開したデータによると、感染端末の大半はWindows 7・感染すると、身代金として300から600 USD相当のBitcoinが要求される。

・WannaCryの特徴・SMB（445/TCP）をスキャンし、EternalBlueを利用して、SMBの脆弱性を突くことで、ワームのように拡散する

ランサムウェア・狙われたSMBの脆弱性に対して、2017年3月14日にMicrosoft社より修正アップデート（MS17-010）

が配信されていた。・EternalBlueはNSAから窃取したと言われているツールであり、2017年4月14日にShadow Brokers

によってリークされた。・特定のドメインへのアクセスに成功したら、機能を停止するkill switchが搭載されている。

・研究者が解析したところ、WannaCryのサンプルがWeb上に存在しないドメインにアクセスを試みることを発見・感染規模確認のために研究者がドメインを登録したところ、アクセスに成功したWannaCryの動作が停止した。・この機能の目的として、サンドボックス上での解析回避や、予期しないアクシデントが発生した際に拡散を

防ぐためといった意見がある。・WannaCryの感染経路

・Malwarebytes社の解析では、スパムキャンペーンではなく、インターネット上に公開されているSMBのポートが感染の入口になっている。

・攻撃者は誰なのか・Lazarusが使用したマルウェアとコードの一部が類似しているという報告が複数ある。

・Symantec社は使われている技術やインフラから、Lazarusの可能性が非常に高いと述べている。・Group-IB社によると、Lazarusは北朝鮮の諜報機関内の組織である。Bureau 121に関連があると言われ

ている。

② NotPetyaの流行●2017年6月27日、ウクライナを中心に欧州各国で破壊目的のワイ

パーマルウェア「NotPetya」の感染被害が確認された。・被害

・ウクライナでは、政府機関や金融機関、銀行、電力会社など・ウクライナ国外では石油輸出のRosneft（ロシア）、製薬のMerck（アメリカ）

や海運のA.P. Moller-Maersk（デンマーク）、TNT Express（オランダ）など・Microsoft社によると27日時点で65カ国での感染を確認しており、

感染端末数は12,500台以上と推測・初期感染

・ウクライナで会計ソフトを販売しているM.E.Doc社の自動更新機能を通じて感染した。

・事前に同社に侵入、ネットワークと会計ソフトのソースコードを把握した後、27日にマルウェアを含むアップデートファイルを配布した。

・感染はユーザインタラクションなしで完了・マルウェアの動作

・感染後2次感染を試みるとともに、Master Boot Recordを書き換え、再起動後Master File Table の暗号化と300 USD分のBitcoinを要求する脅迫メッセージを表示する。

・2次感染では組織内ネットワークを通じてShadow Brokersが公開したツール、EternalBlue、DoublePulsar、EternalRomanceが利用する脆弱性と同じ脆弱性などが利用された。

・当初Petyaと作者が同じだと考えられていた。・感染方法、脅迫文の言語、デコンパイルされたコードが類似

・解析が進むとPetyaとは異なる者により作成されたことが明らかになった。・新しくコンパイルされたものではない。・Petyaの作者が、2017年6月28日にツイートで関与を否定

・その後Petyaの鍵も公開・ランサムウェアと同様の挙動を行うが、破壊を目的とした攻撃であった。

・復号のための鍵が復元できないことを複数のベンダが指摘した。・初期感染ではウクライナにターゲットを絞っていた。

・ウクライナの情報機関SBU（Security Service of Ukraine）の発表・SBUは2017年6月29日に、米FBI、英NCA、欧Europoleと連携し、

捜査を行っていることを明らかにした。・2016年12月に金融システムや交通機関、発電施設などを攻撃した

攻撃者グループと、今回の攻撃を行った者が同一であることが捜査で明らかになったとし、ロシアの諜報機関の関与が証明されたと、SBUは2017年7月1日に声明を発表した。

・ロシアは関与を否定・セキュリティ対策が不十分な更新系は問題（CERT/CC のWill Dormann氏）

・HTTPSや更新プログラムのデジタル署名は必要

●Costin Raiu氏が公開したデータ参照：https://twitter.com/craiu/status/

865562842149392384

●M.E.Doc社のサイト参照：https://www.medoc.ua/uk

●公開されているSMBのポート（2017年6月12日時点）参照：https://www.shodan.io/

search?query=port%3A445+%22SMB+Version%3A+1%22+OS%3AWindows

●NotPetyaによる脅迫画面参照：https://securelist.com/

schroedingers-petya/78870/

●ロシアの関与を説明するSBUからの声明参照：https://ssu.gov.ua/en/news/1/category/

2/view/3660

36


2

2. 事案の分析

概要


2017年に発生したサイバー攻撃の中で、特徴的であった攻撃を紹介する。

●ランサムウェア●暗号通貨の不正なマイニング●暗号通貨の窃取●国家によるものと見られる攻撃●重要インフラへの攻撃

❸ サイバー攻撃

2017年はランサムウェア攻撃が大きく注目される年となった。Shadow Brokersが流出させたツールの悪用により、2017年5月にはWannaCryが、その翌月の6月にはNotPetyaが大流行し、大きな被害をもたらした。また2017年10月にはBadRabbitが発生し、ロシアやウクライナなどで複数の被害が発生した。一方、外部アクセス可能なシステムを経由し、データを書き換え身代金を要求する事案や、本来の標的を攻撃するためにサプライチェーンを経由し、機密情報と引き換えに身代金を要求する事案も多く発生した。

①WannaCry②NotPetyaの流行③ランサムウェアBadRabbitの被害発生④外部アクセス可能なシステムへの攻撃

① WannaCry●Shadow Brokersがリークしたツールを利用し、SMBの脆弱を狙って拡散する暗号化ランサムウェア「WannaCry」が世界中で大きな被害を出した。

・WannaCryによる大規模な攻撃が2017年5月12日に発生し、5月13日の時点で、20万台、最低でも150カ国で感染があったと報じられた。

・Kryptos Logic社は、感染台数が数百万台であると推測・Trend Micro社は最も多くの被害者を出したランサムウェアであると述べている。・2017年5月19日にKaspersky社のCostin Raiu氏が公開したデータによると、感染端末の大半はWindows 7・感染すると、身代金として300から600 USD相当のBitcoinが要求される。

・WannaCryの特徴・SMB（445/TCP）をスキャンし、EternalBlueを利用して、SMBの脆弱性を突くことで、ワームのように拡散する

ランサムウェア・狙われたSMBの脆弱性に対して、2017年3月14日にMicrosoft社より修正アップデート（MS17-010）

が配信されていた。・EternalBlueはNSAから窃取したと言われているツールであり、2017年4月14日にShadow Brokers

によってリークされた。・特定のドメインへのアクセスに成功したら、機能を停止するkill switchが搭載されている。

・研究者が解析したところ、WannaCryのサンプルがWeb上に存在しないドメインにアクセスを試みることを発見・感染規模確認のために研究者がドメインを登録したところ、アクセスに成功したWannaCryの動作が停止した。・この機能の目的として、サンドボックス上での解析回避や、予期しないアクシデントが発生した際に拡散を

防ぐためといった意見がある。・WannaCryの感染経路

・Malwarebytes社の解析では、スパムキャンペーンではなく、インターネット上に公開されているSMBのポートが感染の入口になっている。

・攻撃者は誰なのか・Lazarusが使用したマルウェアとコードの一部が類似しているという報告が複数ある。

・Symantec社は使われている技術やインフラから、Lazarusの可能性が非常に高いと述べている。・Group-IB社によると、Lazarusは北朝鮮の諜報機関内の組織である。Bureau 121に関連があると言われ

ている。

② NotPetyaの流行●2017年6月27日、ウクライナを中心に欧州各国で破壊目的のワイ

パーマルウェア「NotPetya」の感染被害が確認された。・被害

・ウクライナでは、政府機関や金融機関、銀行、電力会社など・ウクライナ国外では石油輸出のRosneft（ロシア）、製薬のMerck（アメリカ）

や海運のA.P. Moller-Maersk（デンマーク）、TNT Express（オランダ）など・Microsoft社によると27日時点で65カ国での感染を確認しており、

感染端末数は12,500台以上と推測・初期感染

・ウクライナで会計ソフトを販売しているM.E.Doc社の自動更新機能を通じて感染した。

・事前に同社に侵入、ネットワークと会計ソフトのソースコードを把握した後、27日にマルウェアを含むアップデートファイルを配布した。

・感染はユーザインタラクションなしで完了・マルウェアの動作

・感染後2次感染を試みるとともに、Master Boot Recordを書き換え、再起動後Master File Table の暗号化と300 USD分のBitcoinを要求する脅迫メッセージを表示する。

・2次感染では組織内ネットワークを通じてShadow Brokersが公開したツール、EternalBlue、DoublePulsar、EternalRomanceが利用する脆弱性と同じ脆弱性などが利用された。

・当初Petyaと作者が同じだと考えられていた。・感染方法、脅迫文の言語、デコンパイルされたコードが類似

・解析が進むとPetyaとは異なる者により作成されたことが明らかになった。・新しくコンパイルされたものではない。・Petyaの作者が、2017年6月28日にツイートで関与を否定

・その後Petyaの鍵も公開・ランサムウェアと同様の挙動を行うが、破壊を目的とした攻撃であった。

・復号のための鍵が復元できないことを複数のベンダが指摘した。・初期感染ではウクライナにターゲットを絞っていた。

・ウクライナの情報機関SBU（Security Service of Ukraine）の発表・SBUは2017年6月29日に、米FBI、英NCA、欧Europoleと連携し、

捜査を行っていることを明らかにした。・2016年12月に金融システムや交通機関、発電施設などを攻撃した

攻撃者グループと、今回の攻撃を行った者が同一であることが捜査で明らかになったとし、ロシアの諜報機関の関与が証明されたと、SBUは2017年7月1日に声明を発表した。

・ロシアは関与を否定・セキュリティ対策が不十分な更新系は問題（CERT/CC のWill Dormann氏）

・HTTPSや更新プログラムのデジタル署名は必要

●Costin Raiu氏が公開したデータ参照：https://twitter.com/craiu/status/

865562842149392384

●M.E.Doc社のサイト参照：https://www.medoc.ua/uk

●公開されているSMBのポート（2017年6月12日時点）参照：https://www.shodan.io/

search?query=port%3A445+%22SMB+Version%3A+1%22+OS%3AWindows

●NotPetyaによる脅迫画面参照：https://securelist.com/

schroedingers-petya/78870/

●ロシアの関与を説明するSBUからの声明参照：https://ssu.gov.ua/en/news/1/category/

2/view/3660

37



2. 事案の分析　－　❸ サイバー攻撃

③ ランサムウェアBadRabbitの被害発生●新種のランサムウェアBadRabbitがロシアやウクライナを中心に

感染を広げ、複数の被害が発生・2017年10月24日、ロシアやウクライナを中心にランサムウェア

BadRabbitの感染による被害が発生したと報道された。・ロシア：Interfax通信社で一部のサービスが提供不可・ウクライナ：オデッサ空港で搭乗手続きの一部を手動で実施、キエフ

の地下鉄の決済システムに影響が発生・ESETやKasperskyはBadRabbitの調査結果を公表した。

・ファイルを暗号化し、復元の身代金として0.05 BTC（約286 USD＊1）を要求する。

・KasperskyはランサムウェアNotPetya＊2とソースコードが類似していると指摘した。

・感染経路として、ESETおよびKasperskyは以下の2つを指摘した。・Webサイトの改ざん

ロシアを中心とした複数の国で Web サイトが改ざんされ、Flash Playerの更新を装ったBadRabbitのダウンローダーが表示された。

・ロシアやウクライナで人気のサイトが主に改ざんされた。・日本の建材メーカー「アイカ工業」も改ざんされた。

・感染したコンピュータから内部ネットワークへの拡散（2種類の手口が実装）・パスワード取得ツールMimikatzを使ってパスワードを窃取し、

周囲のコンピュータにSMBで不正にログインする。・攻撃ツールEternalRomance＊3を使い、周囲のコンピュータに

SMBの脆弱性が存在する場合、脆弱性を悪用する。 ① 暗号通貨採掘マルウェア「Adylkuzz」●公開されたSMBを大規模にスキャンし、WannaCryと同様にEternalBlueを使用して感染する暗号通貨

採掘マルウェア「Adylkuzz」が発見された。・Proofpoint社がWannaCryを調査するために、 EternalBlueの攻撃に脆弱

なマシンを公開したところ、 Adylkuzzに感染した。・EternalBlue経由でSMBの脆弱性を突き、Adylkuzzのダウンロード・

実行が行われ、暗号通貨Moneroが採掘される。・Adylkuzz が実行されると、ほかのマルウェアが感染するのを

防ぐためにSMBのポートをブロックする。・AdylkuzzからのMoneroの送金額（通貨採掘額）は2017年4月24日から

増加しており、5月11日に急減している。・攻撃はおそらく4月24日以前から発生・攻撃者が送金先を切り替え、単一の送金先への支払額が過多になるのを回避

② 他人のPC上で暗号通貨マイニング●採掘ツールのローカルPCへのインストール、あるいはサーバへのJavaScript埋め込みにより、他人のPC

リソースを用いた暗号通貨マイニングが行われた。・暗号通貨の採掘を行うマルウェア（マイナー）の流行

・暗号通貨マイナーの検出数は、2013年には年間で20.5万件だったが、2017年は8月時点で165万件と急増している（Kasperskyの調査）。

・マイナーの感染は、ソーシャルエンジニアリングを通じたアドウェアのインストールが主経路だが、EternalBlueなどの脆弱性を突く手法もある。

・感染したPCはボットネットを形成し、MoneroやZcashの採掘を行う。・ランサムウェアは欧米が主なターゲットであり、マイナーのボットネット

は主にアジアで検出（Malwarebytesの調査（2016年））・ランサムウェア：

全体数のうち欧州が49.26％、北米32.51％、アジア9.84％・マイナーのボットネット検出数：

アジア61.15％、欧州14.97％、北米12.49％

●身代金支払い用 Webページ参照：https://www.welivesecurity.com/2017/10

/24/bad-rabbit-not-petya-back/

＊1 2017年10月25日時点のレート＊2 2017年6月にウクライナなどで大規模感染が発生＊3 2017年4月に公開された。公開者は米NSAが開発・使用したと主張

④ 外部からアクセス可能なシステムへの攻撃 ●外部からアクセス可能となっているシステムの情報を書き換えて身代

金を要求する攻撃が複数報告された。・外部からアクセス可能なMongoDBの内容を書き換え、復元のために金銭

を要求する攻撃が、セキュリティ技術者Victor Gevers氏により2016年12月27日に報告された。

・攻撃は2016年12月26日頃より確認されている。・Harak1r1を名乗る攻撃者が実行した。・2017年1月2日には1,800台程度のサーバ侵害が確認された。・身代金額は0.2 BTC

・2017年1月4日からは複数の攻撃者グループが参入した。・2017年1月9日の時点で被害を受けたサーバ数は28,000台に

増加した。・Krakenと呼ばれる攻撃者グループはMongoDBの攻撃ツール

用も販売した。・外部からアクセス可能な ElasticSearch の格納情報を書き換え、復元の

ために金銭を要求する攻撃が報告された。・2017 年 1 月 12 日に ElasticSearch コミュニティへ Xudong You

というユーザが報告した。・身代金額はMongoDBと同じく0.2 BTC

・ ElasticSearchが動作する35,000台のサーバが外部露出していることが、shodan設立者John Matherly氏により2017年1月12日にTwitter上で報告されていた。

・4,600台のElasticSearchが侵害されたとセキュリティ技術者Niall Merrigan氏が2017年 1月18日にTwitterで報告した。

・外部からアクセス可能なHadoop Distributed File System（HDFS）の格納情報を書き換え、復元のために金銭を要求する攻撃を2017年1月18日セキュリティブログThreat Geekが報告した。

・攻撃は2017年1月9日の週に観測された。・8,000 ～ 10,000のHDFSが露出していることも報告した。・攻撃発生前の2017年1月5日付近にHDFSが利用する50070

ポートへのスキャン増加を確認した。・復元に身代金を要求せず、情報を削除するだけの攻撃も確認された。

・すべての情報が消された状態で NODATA4U_SECUREY- OURSHITというディレクトリが残されていた。

●改ざんされたWebサイトで表示された、BadRabbitのダウンローダー

参照：https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/

●身代金要求画面参照：https://twitter.com/0xDUDE/status/

813865069218037760

●Xudong You氏の投稿参照：https://discuss.elastic.co/t/

ransom-attack-on-elasticsearch-cluster/71310

●2017年1月5日付近の50070ポートの動き参照：http://www.threatgeek.com/2017/01/

open-hadoop-installs-wiped-worldwide.htm

●送金額の推移参照：https://www.proofpoint.com/us/

threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar

●マイナーの検出数参照：https://securelist.com/miners-on-the-rise/81706/

暗号通貨の不正なマイニング

2017年の後半にかけて暗号通貨のマイニングが不正に行われる事案が数多く確認された。Webサイトに暗号通貨を採掘するスクリプトを組み込めるプラットフォーム「Coinhive」などが悪用され、暗号通貨採掘のためにユーザの知らない間にPCリソースを不正利用されるといった被害が続いている。

①暗号通貨採掘マルウェア「Adylkuzz」②他人のPC上で暗号通貨マイニング③暗号通貨採掘スクリプト「Coinhive」

2000000

1800000

1600000

1400000

1200000

1000000

800000

600000

400000

200000

02011 2012 2013 2014 2015 2016 2017

38


2


③ ランサムウェアBadRabbitの被害発生●新種のランサムウェアBadRabbitがロシアやウクライナを中心に

感染を広げ、複数の被害が発生・2017年10月24日、ロシアやウクライナを中心にランサムウェア

BadRabbitの感染による被害が発生したと報道された。・ロシア：Interfax通信社で一部のサービスが提供不可・ウクライナ：オデッサ空港で搭乗手続きの一部を手動で実施、キエフ

の地下鉄の決済システムに影響が発生・ESETやKasperskyはBadRabbitの調査結果を公表した。

・ファイルを暗号化し、復元の身代金として0.05 BTC（約286 USD＊1）を要求する。

・KasperskyはランサムウェアNotPetya＊2とソースコードが類似していると指摘した。

・感染経路として、ESETおよびKasperskyは以下の2つを指摘した。・Webサイトの改ざん

ロシアを中心とした複数の国で Web サイトが改ざんされ、Flash Playerの更新を装ったBadRabbitのダウンローダーが表示された。

・ロシアやウクライナで人気のサイトが主に改ざんされた。・日本の建材メーカー「アイカ工業」も改ざんされた。

・感染したコンピュータから内部ネットワークへの拡散（2種類の手口が実装）・パスワード取得ツールMimikatzを使ってパスワードを窃取し、

周囲のコンピュータにSMBで不正にログインする。・攻撃ツールEternalRomance＊3を使い、周囲のコンピュータに

SMBの脆弱性が存在する場合、脆弱性を悪用する。 ① 暗号通貨採掘マルウェア「Adylkuzz」●公開されたSMBを大規模にスキャンし、WannaCryと同様にEternalBlueを使用して感染する暗号通貨

採掘マルウェア「Adylkuzz」が発見された。・Proofpoint社がWannaCryを調査するために、 EternalBlueの攻撃に脆弱

なマシンを公開したところ、 Adylkuzzに感染した。・EternalBlue経由でSMBの脆弱性を突き、Adylkuzzのダウンロード・

実行が行われ、暗号通貨Moneroが採掘される。・Adylkuzz が実行されると、ほかのマルウェアが感染するのを

防ぐためにSMBのポートをブロックする。・AdylkuzzからのMoneroの送金額（通貨採掘額）は2017年4月24日から

増加しており、5月11日に急減している。・攻撃はおそらく4月24日以前から発生・攻撃者が送金先を切り替え、単一の送金先への支払額が過多になるのを回避

② 他人のPC上で暗号通貨マイニング●採掘ツールのローカルPCへのインストール、あるいはサーバへのJavaScript埋め込みにより、他人のPC

リソースを用いた暗号通貨マイニングが行われた。・暗号通貨の採掘を行うマルウェア（マイナー）の流行

・暗号通貨マイナーの検出数は、2013年には年間で20.5万件だったが、2017年は8月時点で165万件と急増している（Kasperskyの調査）。

・マイナーの感染は、ソーシャルエンジニアリングを通じたアドウェアのインストールが主経路だが、EternalBlueなどの脆弱性を突く手法もある。

・感染したPCはボットネットを形成し、MoneroやZcashの採掘を行う。・ランサムウェアは欧米が主なターゲットであり、マイナーのボットネット

は主にアジアで検出（Malwarebytesの調査（2016年））・ランサムウェア：

全体数のうち欧州が49.26％、北米32.51％、アジア9.84％・マイナーのボットネット検出数：

アジア61.15％、欧州14.97％、北米12.49％

●身代金支払い用 Webページ参照：https://www.welivesecurity.com/2017/10

/24/bad-rabbit-not-petya-back/

＊1 2017年10月25日時点のレート＊2 2017年6月にウクライナなどで大規模感染が発生＊3 2017年4月に公開された。公開者は米NSAが開発・使用したと主張

④ 外部からアクセス可能なシステムへの攻撃 ●外部からアクセス可能となっているシステムの情報を書き換えて身代

金を要求する攻撃が複数報告された。・外部からアクセス可能なMongoDBの内容を書き換え、復元のために金銭

を要求する攻撃が、セキュリティ技術者Victor Gevers氏により2016年12月27日に報告された。

・攻撃は2016年12月26日頃より確認されている。・Harak1r1を名乗る攻撃者が実行した。・2017年1月2日には1,800台程度のサーバ侵害が確認された。・身代金額は0.2 BTC

・2017年1月4日からは複数の攻撃者グループが参入した。・2017年1月9日の時点で被害を受けたサーバ数は28,000台に

増加した。・Krakenと呼ばれる攻撃者グループはMongoDBの攻撃ツール

用も販売した。・外部からアクセス可能な ElasticSearch の格納情報を書き換え、復元の

ために金銭を要求する攻撃が報告された。・2017 年 1 月 12 日に ElasticSearch コミュニティへ Xudong You

というユーザが報告した。・身代金額はMongoDBと同じく0.2 BTC

・ ElasticSearchが動作する35,000台のサーバが外部露出していることが、shodan設立者John Matherly氏により2017年1月12日にTwitter上で報告されていた。

・4,600台のElasticSearchが侵害されたとセキュリティ技術者Niall Merrigan氏が2017年 1月18日にTwitterで報告した。

・外部からアクセス可能なHadoop Distributed File System（HDFS）の格納情報を書き換え、復元のために金銭を要求する攻撃を2017年1月18日セキュリティブログThreat Geekが報告した。

・攻撃は2017年1月9日の週に観測された。・8,000 ～ 10,000のHDFSが露出していることも報告した。・攻撃発生前の2017年1月5日付近にHDFSが利用する50070

ポートへのスキャン増加を確認した。・復元に身代金を要求せず、情報を削除するだけの攻撃も確認された。

・すべての情報が消された状態で NODATA4U_SECUREY- OURSHITというディレクトリが残されていた。

●改ざんされたWebサイトで表示された、BadRabbitのダウンローダー

参照：https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/

●身代金要求画面参照：https://twitter.com/0xDUDE/status/

813865069218037760

●Xudong You氏の投稿参照：https://discuss.elastic.co/t/

ransom-attack-on-elasticsearch-cluster/71310

●2017年1月5日付近の50070ポートの動き参照：http://www.threatgeek.com/2017/01/

open-hadoop-installs-wiped-worldwide.htm

●送金額の推移参照：https://www.proofpoint.com/us/

threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar

●マイナーの検出数参照：https://securelist.com/miners-on-the-rise/81706/

暗号通貨の不正なマイニング

2017年の後半にかけて暗号通貨のマイニングが不正に行われる事案が数多く確認された。Webサイトに暗号通貨を採掘するスクリプトを組み込めるプラットフォーム「Coinhive」などが悪用され、暗号通貨採掘のためにユーザの知らない間にPCリソースを不正利用されるといった被害が続いている。

①暗号通貨採掘マルウェア「Adylkuzz」②他人のPC上で暗号通貨マイニング③暗号通貨採掘スクリプト「Coinhive」

2000000

1800000

1600000

1400000

1200000

1000000

800000

600000

400000

200000

02011 2012 2013 2014 2015 2016 2017

39




・サイト訪問者のPC上で暗号通貨マイニング・暗号通貨採掘のJavaScriptが埋め込まれたサーバに、マルバタイジングで誘導する（ESETによる報告）。

・主にロシアとウクライナに被害をもたらしており、Webサイトに埋め込まれたJavaScriptにより、ページ閲覧中にブラウザ内部でマイニングを行う。

・PCにマルウェアを感染させたり、脆弱性を侵害する必要がない。・報告されたJavaScriptコードはMineCrunchの修正版で、MoneroやFeathercoin、Litecoinの採掘が可能

・WordPressやJoomlaなどのCMSサーバを狙い、ステガノグラフィー＊を組み合わせて、企業ネットワーク内に採掘ツールを埋め込む攻撃が増加（IBM X-Forceによる報告）

・製造業や金融業が頻繁にターゲットになっており、芸能やエンターテインメント系企業も狙われている。・Webサイトに採掘スクリプトを組み込むプラットフォーム「Coinhive」

・スウェーデンのBitTorrent検索サイト「The Pirate Bay」が、Coinhiveを一部のページ内に埋め込み、 Moneroを採掘していたことが発覚（TorrentFreakの報道）

・同サイト運営者によれば、サイト内のWeb広告をすべて排除するために運営資金を得る手段として、採掘スクリプトをテストしていたとのこと

・Chrome拡張機能「SafeBrowse」がCoinhiveを埋め込んでいたことが2017年9月21日に報じられた（The Merkleの報道）。

・CPU使用率の急上昇に気付いたユーザの報告により、SafeBrowseがユーザの同意を得ずにMoneroを採掘していることが発覚した。

・犯罪者によるCoinhiveの悪用が2017年9月22日に報じられた（Sucuri社ブログ）。・攻撃者がハックしたWebサイトにCoinhiveを埋め込み、訪問者のPCリソースを不正利用して収益を得る

手法が広まっている。

① Etherを狙う攻撃 ●暗号通貨Etherを窃取するために、取引所、クライアントソフトの脆弱性、資金調達を狙うサイバー攻撃が、

2017年7月に複数件報告された。・分散実行環境を提供するオープンソースプロジェクト「Ethereum」

・Blockchain技術により、分散実行環境上で、暗号通貨取引を含むさまざまなアプリを実行できる。・暗号通貨Etherを採掘し、これの支払いによりアプリが実行できる。

・韓国の暗号通貨取引所Bithumbで、情報漏えい発生と地方紙が報道した。・Bithumbは、Etherの取引量が世界最大で、Bitcoinの取引量が世界4位・2017年6月に、約3万人の顧客情報が漏えいしていることを、Bithumbが発見した。・同年7月に、この漏えいに関係すると見られる攻撃で、顧客から総額100万USD相当の暗号通貨が窃取されたと、

地方紙が報道した。・EtherのOSSクライアント「Parity Wallet」に脆弱性が発見され、少なくとも3名から3,200万USD相当のEtherが

窃取されたと、報じられた。・2017年7月19日に、脆弱性の修正パッチの緩和策が公開された。・Etherの窃取は、公開前日の18日から発生していた。

・ICOに乗じたEtherの窃取が、2件報告された。・ICOは、「Ethereum」上などで、独自の暗号通貨（トークン）を発行することにより資金調達を行うクラウドファン

ディングである。・2017年7月17日に、CoinDash社のICOに乗じたハッカーが、700万USD相当のEtherを窃取した。

・同社のWebサイトが改ざんされ、支払先のアドレスが変更された。・同月 23 日に、Veritaseum 社がハッキングを受け、840 万 USD 相当の ICO 用トークンが窃取されたことが

明らかになった。

③ 暗号通貨採掘スクリプト「Coinhive」 ●Webサイト訪問者のブラウザ上でJavaScriptを利用し、暗号通貨

Moneroを採掘させるサービス「Coinhive」の稼働状況について調査レポートが相次いだ。

・Coinhive 実態調査プロジェクト「WhoRunsCoinhive.com」・Coinhiveを稼働させているWebサイトを暴くプロジェクトで、暗号

通貨の採掘スクリプトが動いている全サイトのデータベース構築をめざしている。

・2017年12月15日時点で、調査が完了した99万9,998サイトのうち、1,233サイトで採掘スクリプトが動作しており、利用されているCoinhiveのIDは549個存在した。

・Malwarebytesのレポート（2017年11月7日）・採掘スクリプトが観測された上位5カ国は、米国が全体の32％を占め、

スペイン 14.1％、フランス 12％、イタリア 9.3％、カナダ 8.7％・Malwarebytesの製品は、CoinhiveのAPIと関連プロキシーを1日に

平均で800万回ブロックしており、1カ月間で約2億4,800万回となる。・Willem de Groot氏の「gwillem’s lab」にて、2,496のeコマースサイトにCoinhiveが埋め込まれていることが

報告された（2017年11月7日）。・2,496サイトの内、85%は2つのCoinhive IDにひも付けられており、残りの15％のサイトは固有のIDにひも

付いているものの一貫してサイト名がタグ付けられていることから、2,496サイトへのCoinhive埋め込みは、たった3つのグループまたは個人によるものと推測された。

・セキュリティ研究者Troy Mursch氏が、ライブチャットのサポート・ウィジェット「LiveHelpNow」で用いられているJavaScriptの一つにCoinhiveを発見した（2017年11月23日）。

・ソースコード検索サイト「PublicWWW」で調べると、LiveHelpNowは約1,500の主にオンラインショップやビジネスサイトで利用されている。

・Malwarebytesは、利用者がブラウザのウィンドウを閉じた後も採掘を続ける新たな手法を観測した（2017年11月29日）。・一見ブラウザのウィンドウはすべて閉じているが、Windowsタスクバーの時計の後ろに隠れて開かれた小さな

ウィンドウでCoinhiveが動作する仕組み

●暗号通貨Moneroのロゴ参照：https://getmonero.org/press-kit/

＊データをほかのデータに隠蔽する技術の一つ

＊1 ICO: Initial Coin Offering（新規仮想通貨公開）

●Coinhive参照：https://coinhive.com/

●Ethereumのロゴ参照：http://ethdocs.org/en/latest/

●WhoRunsCoinhive.com参照：http://whorunscoinhive.com

●Parity Walletが侵害されたと見られるアカウントの報告参照：https://twitter.com/maraoz/status/887755889897295872

暗号通貨の窃取

暗号通貨の不正マイニングの増加と同様、暗号通貨取引所や一般ユーザなどを狙い、暗号通貨の窃取を試みる攻撃が数多く確認された。ICO＊1（新規仮想通貨公開）に乗じたEtherの窃取を始め、暗号通貨関連サービス提供者やユーザのウォレットを狙った攻撃、一般のシステムやユーザに対するさまざまな手口による暗号通貨の窃取など、暗号通貨を狙った攻撃の増加が確認されている。また韓国の取引所においては、暗号通貨が窃取されたことで、破産申請を行う事態となった。

①Etherを狙う攻撃②暗号通貨に関する攻撃③韓国の暗号通貨取引所Youbitが破産申請

40


2


・サイト訪問者のPC上で暗号通貨マイニング・暗号通貨採掘のJavaScriptが埋め込まれたサーバに、マルバタイジングで誘導する（ESETによる報告）。

・主にロシアとウクライナに被害をもたらしており、Webサイトに埋め込まれたJavaScriptにより、ページ閲覧中にブラウザ内部でマイニングを行う。

・PCにマルウェアを感染させたり、脆弱性を侵害する必要がない。・報告されたJavaScriptコードはMineCrunchの修正版で、MoneroやFeathercoin、Litecoinの採掘が可能

・WordPressやJoomlaなどのCMSサーバを狙い、ステガノグラフィー＊を組み合わせて、企業ネットワーク内に採掘ツールを埋め込む攻撃が増加（IBM X-Forceによる報告）

・製造業や金融業が頻繁にターゲットになっており、芸能やエンターテインメント系企業も狙われている。・Webサイトに採掘スクリプトを組み込むプラットフォーム「Coinhive」

・スウェーデンのBitTorrent検索サイト「The Pirate Bay」が、Coinhiveを一部のページ内に埋め込み、 Moneroを採掘していたことが発覚（TorrentFreakの報道）

・同サイト運営者によれば、サイト内のWeb広告をすべて排除するために運営資金を得る手段として、採掘スクリプトをテストしていたとのこと

・Chrome拡張機能「SafeBrowse」がCoinhiveを埋め込んでいたことが2017年9月21日に報じられた（The Merkleの報道）。

・CPU使用率の急上昇に気付いたユーザの報告により、SafeBrowseがユーザの同意を得ずにMoneroを採掘していることが発覚した。

・犯罪者によるCoinhiveの悪用が2017年9月22日に報じられた（Sucuri社ブログ）。・攻撃者がハックしたWebサイトにCoinhiveを埋め込み、訪問者のPCリソースを不正利用して収益を得る

手法が広まっている。

① Etherを狙う攻撃 ●暗号通貨Etherを窃取するために、取引所、クライアントソフトの脆弱性、資金調達を狙うサイバー攻撃が、

2017年7月に複数件報告された。・分散実行環境を提供するオープンソースプロジェクト「Ethereum」

・Blockchain技術により、分散実行環境上で、暗号通貨取引を含むさまざまなアプリを実行できる。・暗号通貨Etherを採掘し、これの支払いによりアプリが実行できる。

・韓国の暗号通貨取引所Bithumbで、情報漏えい発生と地方紙が報道した。・Bithumbは、Etherの取引量が世界最大で、Bitcoinの取引量が世界4位・2017年6月に、約3万人の顧客情報が漏えいしていることを、Bithumbが発見した。・同年7月に、この漏えいに関係すると見られる攻撃で、顧客から総額100万USD相当の暗号通貨が窃取されたと、

地方紙が報道した。・EtherのOSSクライアント「Parity Wallet」に脆弱性が発見され、少なくとも3名から3,200万USD相当のEtherが

窃取されたと、報じられた。・2017年7月19日に、脆弱性の修正パッチの緩和策が公開された。・Etherの窃取は、公開前日の18日から発生していた。

・ICOに乗じたEtherの窃取が、2件報告された。・ICOは、「Ethereum」上などで、独自の暗号通貨（トークン）を発行することにより資金調達を行うクラウドファン

ディングである。・2017年7月17日に、CoinDash社のICOに乗じたハッカーが、700万USD相当のEtherを窃取した。

・同社のWebサイトが改ざんされ、支払先のアドレスが変更された。・同月 23 日に、Veritaseum 社がハッキングを受け、840 万 USD 相当の ICO 用トークンが窃取されたことが

明らかになった。

③ 暗号通貨採掘スクリプト「Coinhive」 ●Webサイト訪問者のブラウザ上でJavaScriptを利用し、暗号通貨

Moneroを採掘させるサービス「Coinhive」の稼働状況について調査レポートが相次いだ。

・Coinhive 実態調査プロジェクト「WhoRunsCoinhive.com」・Coinhiveを稼働させているWebサイトを暴くプロジェクトで、暗号

通貨の採掘スクリプトが動いている全サイトのデータベース構築をめざしている。

・2017年12月15日時点で、調査が完了した99万9,998サイトのうち、1,233サイトで採掘スクリプトが動作しており、利用されているCoinhiveのIDは549個存在した。

・Malwarebytesのレポート（2017年11月7日）・採掘スクリプトが観測された上位5カ国は、米国が全体の32％を占め、

スペイン 14.1％、フランス 12％、イタリア 9.3％、カナダ 8.7％・Malwarebytesの製品は、CoinhiveのAPIと関連プロキシーを1日に

平均で800万回ブロックしており、1カ月間で約2億4,800万回となる。・Willem de Groot氏の「gwillem’s lab」にて、2,496のeコマースサイトにCoinhiveが埋め込まれていることが

報告された（2017年11月7日）。・2,496サイトの内、85%は2つのCoinhive IDにひも付けられており、残りの15％のサイトは固有のIDにひも

付いているものの一貫してサイト名がタグ付けられていることから、2,496サイトへのCoinhive埋め込みは、たった3つのグループまたは個人によるものと推測された。

・セキュリティ研究者Troy Mursch氏が、ライブチャットのサポート・ウィジェット「LiveHelpNow」で用いられているJavaScriptの一つにCoinhiveを発見した（2017年11月23日）。

・ソースコード検索サイト「PublicWWW」で調べると、LiveHelpNowは約1,500の主にオンラインショップやビジネスサイトで利用されている。

・Malwarebytesは、利用者がブラウザのウィンドウを閉じた後も採掘を続ける新たな手法を観測した（2017年11月29日）。・一見ブラウザのウィンドウはすべて閉じているが、Windowsタスクバーの時計の後ろに隠れて開かれた小さな

ウィンドウでCoinhiveが動作する仕組み

●暗号通貨Moneroのロゴ参照：https://getmonero.org/press-kit/

＊データをほかのデータに隠蔽する技術の一つ

＊1 ICO: Initial Coin Offering（新規仮想通貨公開）

●Coinhive参照：https://coinhive.com/

●Ethereumのロゴ参照：http://ethdocs.org/en/latest/

●WhoRunsCoinhive.com参照：http://whorunscoinhive.com

●Parity Walletが侵害されたと見られるアカウントの報告参照：https://twitter.com/maraoz/status/887755889897295872

暗号通貨の窃取

暗号通貨の不正マイニングの増加と同様、暗号通貨取引所や一般ユーザなどを狙い、暗号通貨の窃取を試みる攻撃が数多く確認された。ICO＊1（新規仮想通貨公開）に乗じたEtherの窃取を始め、暗号通貨関連サービス提供者やユーザのウォレットを狙った攻撃、一般のシステムやユーザに対するさまざまな手口による暗号通貨の窃取など、暗号通貨を狙った攻撃の増加が確認されている。また韓国の取引所においては、暗号通貨が窃取されたことで、破産申請を行う事態となった。

①Etherを狙う攻撃②暗号通貨に関する攻撃③韓国の暗号通貨取引所Youbitが破産申請

41




＊2 韓国のインターネットセキュリティを担当する政府機関

① ポーランドの金融機関でハッキング被害●世界的な攻撃の一環として、ポーランドの複数銀行でマルウェア感染・ポーランドの金融監督機関 KNF の Web サイトが、ポーランドにおける

マルウェア感染の発端となった（BadCyber 2017年2月3日）。・KNFのWebサイトに悪意あるJavaScriptコードがインジェクトされていた。・このサイトを訪れた特定の企業が狙われ、ポーランドの複数銀行のシステム

上でマルウェアが確認された。・銀行のコンピュータから外部サーバへデータが転送された。・銀行インフラ内のキー・サーバが攻撃者によって掌握された。

・シマンテック社による分析・同様の攻撃は31カ国にわたっており、2016年10月から始まった。・水飲み場攻撃で特定の企業を狙っている。・「Lazarus」ハッカーと関連している可能性がある。

② 北朝鮮による金銭目的の攻撃●台湾の遠東国際商業銀行での不正送金、およびアイルランドの Meath

州議会への BEC 詐欺の背後に、北朝鮮がいる可能性が指摘された。・2017年10月4日、台湾の遠東国際商業銀行の内部ネットワークにマルウェア

が仕込まれ、SWIFTを通じて6千万USDの不正送金が行われた。・6日に犯行グループのメンバーがスリランカで逮捕され、また盗まれた金

はほぼすべて取り戻されたとのこと・BAE Systems社は同件に関しブログで、使用されたマルウェアおよび手口

が北朝鮮政府との関連が疑われる脅威グループLazarusのものと類似していると指摘した。

・Irish Independent紙によると、2016年10月に発生した Meath州議会に対するBEC詐欺（430万ユーロの被害）の背後に北朝鮮がいるとアイルランドの捜査当局は考えているとのこと

・なお、アイルランドには多国籍企業の拠点が多くあるため、ほぼ毎日同国の企業などは攻撃を受けている。

② 暗号通貨に関する攻撃 ●暗号通貨関連サービスの提供者やユーザへのさまざまな攻撃

や、一般のシステムやユーザに対する不正採掘攻撃の報道が増加している。

・2017年12月に報じられた、暗号通貨関連サービスに対する攻撃・6日、暗号通貨採掘の計算資源を売買するサイト「NiceHash」

が、Bitcoinウォレットを窃取されたと報道された。・被害額は未公開だが、6,000万USD相当が窃取されたと

見られる。・20日、暗号通貨交換所「EtherDelta」のDNSサーバがハイジャック

され、悪意あるサイトにリダイレクトされていたと報道された。・同月に報じられた、暗号通貨ユーザを狙う攻撃

・9日、 Fortinetが暗号通貨交換ソフトGunbotの広告を装うフィッシングメールを観測した。

・DDoS機能などを持つOrcus RATが添付されていた。・2017年12月に報じられた、一般システムを狙う攻撃

・15 日、F5 Networks 社が、暗号通貨 Monero を採掘する「mule」マルウェアを、サーバに感染させるキャンペーンZealotを報告した。

・Apache StrutsとDotNetNuke CMSの脆弱性を悪用する。・15日、ロシアの石油輸送管路企業Transneft社が、同社システム

で不正な暗号通貨採掘ソフトを検知したと、報道された。・同月に報じられた、一般ユーザを狙う攻撃

・2 日、研究者がスターバックスの Wi -F i で不正採掘コードのインジェクションを発見したと報告した。

・Coinhiveマイナーが悪用された。・21 日、Trend Micro 社が、デスクトップブラウザ版の

Facebook Messenger経由で、暗号通貨マイナー Digmineを拡散する攻撃を報告した。

・Chrome拡張機能が悪用された。

③ 韓国の暗号通貨取引所Youbitが破産申請●ハッキングにより暗号通貨を窃取された韓国の暗号通貨取引所

Youbitが、取引所の閉鎖と破産申請を行うと発表した。・韓国の暗号通貨取引所Youbitが、取引所の閉鎖と破産申請を行うと

2017年12月19日に発表したことが報じられた。・Youbitは、2度のハッキング被害を受けており総資産の多くを

失った。・1度目（2017年4月）：約4,000 BTCを窃取された。・2度目（2017年12月19日）：総資産の17%を窃取された。

・1 度目のハッキングは、北朝鮮との関係があると、KISA ＊2 が発言したことを韓国の地方紙が報道していた。

・2度目のハッキングに対して、 KISAと韓国警察がすでに調査を開始していると発表されている。

●KNF ロゴ参照：https://www.knf.gov.pl/en/index.html

●暗号通貨を装うフィッシングサイトをCheckPhish社が公開

参照：https://checkphish.ai/blockchain-phishing

●Wi-Fiで不正採掘を発見参照：https://twitter.com/imnoah/status/

936948776119537665

●Youbitの公式ページ参照：https://www.youbit.co.kr/

国家によるものと見られる攻撃

国家が背後にいると見られる犯罪者グループの活動が、セキュリティ企業などから報告された。ポーランドの金融機関へのハッキング、台湾の銀行での不正送金やアイルランドの州議会へのBEC詐欺は、北朝鮮と見られるLazarusが関係しているとされる。その他、中国と見られるAPT17はCCleanerにバックドアを仕掛けたAPT攻撃を、イランと見られるCobalt GypsyはSNS上の架空の女性を用いたサイバー攻撃を、ロシアと見られるAPT28はDDEの脆弱性を用いた攻撃を行ったとされる。日本を標的とした攻撃では、中国と見られる MenuPass（別名 :APT10）や BRONZE BUTLER（別名 :Tick、REDBALDKNIGHT）が、日本の研究者や製造業を狙ったものが報告された。

①ポーランドの金融機関でハッキング被害②北朝鮮による金銭目的の攻撃③Avast社のCCleanerにバックドア ④SNS上の架空の女性を用いたサイバー攻撃⑤APT28がDDEの脆弱性を用いた攻撃を実施⑥日本を狙う攻撃キャンペーンmenuPass⑦MSPを経由したAPT10の諜報活動⑧日本を狙う脅威集団BRONZE BUTLER⑨BRONZE BUTLERによる標的型攻撃

●Red Star OSロゴ参照：https://en.wikipedia.org/wiki/Red_Star_OS

42


2


＊2 韓国のインターネットセキュリティを担当する政府機関

① ポーランドの金融機関でハッキング被害●世界的な攻撃の一環として、ポーランドの複数銀行でマルウェア感染・ポーランドの金融監督機関 KNF の Web サイトが、ポーランドにおける

マルウェア感染の発端となった（BadCyber 2017年2月3日）。・KNFのWebサイトに悪意あるJavaScriptコードがインジェクトされていた。・このサイトを訪れた特定の企業が狙われ、ポーランドの複数銀行のシステム

上でマルウェアが確認された。・銀行のコンピュータから外部サーバへデータが転送された。・銀行インフラ内のキー・サーバが攻撃者によって掌握された。

・シマンテック社による分析・同様の攻撃は31カ国にわたっており、2016年10月から始まった。・水飲み場攻撃で特定の企業を狙っている。・「Lazarus」ハッカーと関連している可能性がある。

② 北朝鮮による金銭目的の攻撃●台湾の遠東国際商業銀行での不正送金、およびアイルランドの Meath

州議会への BEC 詐欺の背後に、北朝鮮がいる可能性が指摘された。・2017年10月4日、台湾の遠東国際商業銀行の内部ネットワークにマルウェア

が仕込まれ、SWIFTを通じて6千万USDの不正送金が行われた。・6日に犯行グループのメンバーがスリランカで逮捕され、また盗まれた金

はほぼすべて取り戻されたとのこと・BAE Systems社は同件に関しブログで、使用されたマルウェアおよび手口

が北朝鮮政府との関連が疑われる脅威グループLazarusのものと類似していると指摘した。

・Irish Independent紙によると、2016年10月に発生した Meath州議会に対するBEC詐欺（430万ユーロの被害）の背後に北朝鮮がいるとアイルランドの捜査当局は考えているとのこと

・なお、アイルランドには多国籍企業の拠点が多くあるため、ほぼ毎日同国の企業などは攻撃を受けている。

② 暗号通貨に関する攻撃 ●暗号通貨関連サービスの提供者やユーザへのさまざまな攻撃

や、一般のシステムやユーザに対する不正採掘攻撃の報道が増加している。

・2017年12月に報じられた、暗号通貨関連サービスに対する攻撃・6日、暗号通貨採掘の計算資源を売買するサイト「NiceHash」

が、Bitcoinウォレットを窃取されたと報道された。・被害額は未公開だが、6,000万USD相当が窃取されたと

見られる。・20日、暗号通貨交換所「EtherDelta」のDNSサーバがハイジャック

され、悪意あるサイトにリダイレクトされていたと報道された。・同月に報じられた、暗号通貨ユーザを狙う攻撃

・9日、 Fortinetが暗号通貨交換ソフトGunbotの広告を装うフィッシングメールを観測した。

・DDoS機能などを持つOrcus RATが添付されていた。・2017年12月に報じられた、一般システムを狙う攻撃

・15 日、F5 Networks 社が、暗号通貨 Monero を採掘する「mule」マルウェアを、サーバに感染させるキャンペーンZealotを報告した。

・Apache StrutsとDotNetNuke CMSの脆弱性を悪用する。・15日、ロシアの石油輸送管路企業Transneft社が、同社システム

で不正な暗号通貨採掘ソフトを検知したと、報道された。・同月に報じられた、一般ユーザを狙う攻撃

・2 日、研究者がスターバックスの Wi -F i で不正採掘コードのインジェクションを発見したと報告した。

・Coinhiveマイナーが悪用された。・21 日、Trend Micro 社が、デスクトップブラウザ版の

Facebook Messenger経由で、暗号通貨マイナー Digmineを拡散する攻撃を報告した。

・Chrome拡張機能が悪用された。

③ 韓国の暗号通貨取引所Youbitが破産申請●ハッキングにより暗号通貨を窃取された韓国の暗号通貨取引所

Youbitが、取引所の閉鎖と破産申請を行うと発表した。・韓国の暗号通貨取引所Youbitが、取引所の閉鎖と破産申請を行うと

2017年12月19日に発表したことが報じられた。・Youbitは、2度のハッキング被害を受けており総資産の多くを

失った。・1度目（2017年4月）：約4,000 BTCを窃取された。・2度目（2017年12月19日）：総資産の17%を窃取された。

・1 度目のハッキングは、北朝鮮との関係があると、KISA ＊2 が発言したことを韓国の地方紙が報道していた。

・2度目のハッキングに対して、 KISAと韓国警察がすでに調査を開始していると発表されている。

●KNF ロゴ参照：https://www.knf.gov.pl/en/index.html

●暗号通貨を装うフィッシングサイトをCheckPhish社が公開

参照：https://checkphish.ai/blockchain-phishing

●Wi-Fiで不正採掘を発見参照：https://twitter.com/imnoah/status/

936948776119537665

●Youbitの公式ページ参照：https://www.youbit.co.kr/

国家によるものと見られる攻撃

国家が背後にいると見られる犯罪者グループの活動が、セキュリティ企業などから報告された。ポーランドの金融機関へのハッキング、台湾の銀行での不正送金やアイルランドの州議会へのBEC詐欺は、北朝鮮と見られるLazarusが関係しているとされる。その他、中国と見られるAPT17はCCleanerにバックドアを仕掛けたAPT攻撃を、イランと見られるCobalt GypsyはSNS上の架空の女性を用いたサイバー攻撃を、ロシアと見られるAPT28はDDEの脆弱性を用いた攻撃を行ったとされる。日本を標的とした攻撃では、中国と見られる MenuPass（別名 :APT10）や BRONZE BUTLER（別名 :Tick、REDBALDKNIGHT）が、日本の研究者や製造業を狙ったものが報告された。

①ポーランドの金融機関でハッキング被害②北朝鮮による金銭目的の攻撃③Avast社のCCleanerにバックドア ④SNS上の架空の女性を用いたサイバー攻撃⑤APT28がDDEの脆弱性を用いた攻撃を実施⑥日本を狙う攻撃キャンペーンmenuPass⑦MSPを経由したAPT10の諜報活動⑧日本を狙う脅威集団BRONZE BUTLER⑨BRONZE BUTLERによる標的型攻撃

●Red Star OSロゴ参照：https://en.wikipedia.org/wiki/Red_Star_OS

43




＊2 NCSC: National Cyber Security Centre

＊1 Avast社がPiriform社を買収したのは、2017月7月18日

⑥ 日本を狙う攻撃キャンペーンmenuPass●Palo Alto Networks社によると、2016年9月から11月にかけてmenuPassと呼ばれる攻撃キャンペーンが

日本の研究者などをターゲットにした。・menuPassは、2013年にFireEye社のレポートで報告された攻撃キャンペーンであり、中国に関連があるとされる。

・当初のターゲットは、アメリカや国外の軍需産業だったが、徐々に拡大された。・2016年9月から11月に実施された日本を狙った攻撃キャンペーンの概要

・ターゲットは、学術研究者、製薬企業、製造業の米国子会社・攻撃方法は、笹川平和財団やホワイトハウスなどに送信元を偽装したスピアフィッシング攻撃・使用するマルウェアは、PlugX、Poison Ivy、ChChes

・ChChesはこのキャンペーン特有のマルウェア・JPCERT/CCによると、ChChesはモジュールを組み込むことで、シェルコマンドの実行やファイルの

ダウンロード／アップロードが可能

⑧ 日本を狙う脅威集団BRONZE BUTLER●脅威集団BRONZE BUTLERが、日本の重要インフラや重工業、製造業などに対し、長期にわたり、知的財産

やその他の機密データの窃取を行っている。

⑦ MSPを経由したAPT10の諜報活動 ●APT10（MenuPassグループ）は、サービス・プロバイダを踏み台に、プロバイダの顧客組織に侵入し情報を

窃取する、新たな諜報活動を展開している。・APT10は中国のサイバー諜報グループとされ、2009年頃から活動している。

・中国の国家安全保障のため、米国や欧州、日本の土木建設業、宇宙産業、電気通信業、政府機関を標的とし、情報を窃取する。・2016年から2017年に行われたAPT10の新たな活動が、2017年4月に報告された。

・英NCSC＊2、PwC社、BAE Systems社の共同調査・マネージドサービスプロバイダ（MSP）を踏み台に標的企業へ侵入する攻撃「Operation Cloud Hopper」が、

2016年中頃から増加した。・FireEye社

・インド・日本・北欧の製造業、南米の鉱業、世界中の複数のITサービス・プロバイダを標的とする攻撃を検知した。

・MSPの例では、大量の顧客データや、顧客企業のネットワークにつながるVPNなどを所有しているため、そのサプライチェーンを突き、情報を窃取していた。

①MSPに侵入し、リモート操作を行うためのマルウェアを展開する。②目的のMSP顧客を選び、MSPのアカウントでMSP顧客へ侵入する。③顧客データを圧縮し、MSPへ移動する。④MSPからAPT10へ、顧客データを運び出す。

③ Avast社のCCleanerにバックドア ●Avast社が買収したPiriform社によって開発された「CCleaner」に、バックドアが仕掛けられていたことが

判明した。標的を絞ったAPT攻撃と見られる。・Avast社がシステムクリーナー「CCleaner」にバックドアが仕掛

けられていたことを2017年9月18日に発表した。・バージョン「5.33.6162」のWindows 32bit版、およびクラ

ウド向け・「CCleaner」を開発したPiriform社のシステムに、2017年

7月3日に侵害された可能性がある＊1。・本発表時点の使用ユーザ数は73万人

・さらに2017年9月20日から25日に詳細な調査結果をAvast社が公表した。

・実際にバックドア経由でマルウェアを送り込まれた端末は40台・特定のテック企業、通信会社を狙ったAPT攻撃と見られる。

・中国のAPTグループ（APT17）作成のマルウェアと類似している。

④ SNS上の架空の女性を用いたサイバー攻撃●Dell SecureWorksは、SNS上の架空の女性を用いたサイバー攻撃が発生したと発表した。イラン政府と

関係する攻撃者が攻撃を実行したと指摘した。

●標的とされたドメインのリスト（一部）参照：https://blog.avast.com/additional-information-regarding-

the-recent-ccleaner-apt-security-incidentl

●LinkedIn上のMia Ashのアカウント（現在は閉鎖）参照：https://www.secureworks.com/research/

the-curious-case-of-mia-ash

●Avast社ロゴ参照：https://blog.avast.com/jp/

%E6%96%B0%E3%81%97%E3%81%84%E3%82%A2%E3%83%90%E3%82%B9%E3%83%88-%E3%83%96%E3%83%A9%E3%83%B3%E3%83%89

●サイバー諜報キャンペーン「Operation Cloud Hopper」参照：http://baesystemsai.blogspot.jp/2017/04/

apt10-operation-cloud-hopper_3.html

●利用するマルウェアの変遷参照：https://www.secureworks.com/research/

bronze-butler-targets-japanese-businesses

・架空の女性M ia Ash は「ロンドン在住の20代の女性、写真家兼モデル」というプロフィールで、Facebook、Instagramなどにアカウントを保持していた。

・プロフィールや写真は実在する複数のユーザからの寄せ集め・攻撃者は遅くとも2016年4月からMia AshのSNSを更新していた。

・ SNS上で数百名とつながり、そのうちの約30名（サウジアラビアやイスラエルなどの、テクノロジー、エネルギーなどの業界の関係者）を標的とした。

・2017年2月、標的の組織の社員に細工したExcelファイルを送信し、遠隔操作ツールPupyRATに感染させようとする攻撃を実行した

（感染は失敗）。・Dell SecureWorks は、イラン政府と関連する攻撃グループ

Cobalt GypsyがMia Ashのアカウントを作り、サイバー攻撃に用いたと主張した。

・SecureWorks社Counter Threat Unitが2017年10月12日、BRONZE BUTLERの詳細な活動内容をブログで発表した。・BRONZE BUTLER（別名:Tick）は、中国を本拠地にしていると見られる。・少なくとも2012年から、日本を標的とした活動を行っていると見られる。

・Flashの脆弱性を利用したスピアフィッシング攻撃や、日本でのシェアが高い資産管理ソフトSKYSEA Client Viewなどのゼロデイ脆弱性を悪用する攻撃により侵入する。

・情報窃取後は、活動の証跡を消し、定期的に侵入しては情報を窃取する。

・独自のマルウェアを開発する能力を持ち、暗号化された通信手段を用いることで検知を回避する。

⑤ APT28がDDEの脆弱性を用いた攻撃を実施●攻撃グループAPT28がMicrosoft OfficeのDDEの脆弱性

を悪用した標的型攻撃を実行している、とMcAfeeが公表

●McAfeeによる公表参照：https://securingtomorrow.mcafee.com/mcafee-labs/

apt28-threat-group-adopts-dde-technique-nyc-attack-theme-in-latest-campaign/

・攻撃で用いられたメールには細工されたWordファイルが添付されていた。

・Wordファイルはテロ計画が記載されているように見せかけていた。・Wordファイルを開くとDDEの脆弱性が悪用され、PowerShell

スクリプトが起動してマルウェアSeduploaderに感染する。・情報収集の後でバックドアに感染させる手法がAPT28の手口と

一致した。・Seduploaderはシステムの情報を収集する。・収集した情報が攻撃者の関心を引いたとき、攻撃者はバックドア

X-AgentまたはSedrecoを追加で感染させる。・Microsoft は 2017 年 12 月 13 日に DDE の脆弱性に対する修正

プログラムを公開している。

44


2


＊2 NCSC: National Cyber Security Centre

＊1 Avast社がPiriform社を買収したのは、2017月7月18日

⑥ 日本を狙う攻撃キャンペーンmenuPass●Palo Alto Networks社によると、2016年9月から11月にかけてmenuPassと呼ばれる攻撃キャンペーンが

日本の研究者などをターゲットにした。・menuPassは、2013年にFireEye社のレポートで報告された攻撃キャンペーンであり、中国に関連があるとされる。

・当初のターゲットは、アメリカや国外の軍需産業だったが、徐々に拡大された。・2016年9月から11月に実施された日本を狙った攻撃キャンペーンの概要

・ターゲットは、学術研究者、製薬企業、製造業の米国子会社・攻撃方法は、笹川平和財団やホワイトハウスなどに送信元を偽装したスピアフィッシング攻撃・使用するマルウェアは、PlugX、Poison Ivy、ChChes

・ChChesはこのキャンペーン特有のマルウェア・JPCERT/CCによると、ChChesはモジュールを組み込むことで、シェルコマンドの実行やファイルの

ダウンロード／アップロードが可能

⑧ 日本を狙う脅威集団BRONZE BUTLER●脅威集団BRONZE BUTLERが、日本の重要インフラや重工業、製造業などに対し、長期にわたり、知的財産

やその他の機密データの窃取を行っている。

⑦ MSPを経由したAPT10の諜報活動 ●APT10（MenuPassグループ）は、サービス・プロバイダを踏み台に、プロバイダの顧客組織に侵入し情報を

窃取する、新たな諜報活動を展開している。・APT10は中国のサイバー諜報グループとされ、2009年頃から活動している。

・中国の国家安全保障のため、米国や欧州、日本の土木建設業、宇宙産業、電気通信業、政府機関を標的とし、情報を窃取する。・2016年から2017年に行われたAPT10の新たな活動が、2017年4月に報告された。

・英NCSC＊2、PwC社、BAE Systems社の共同調査・マネージドサービスプロバイダ（MSP）を踏み台に標的企業へ侵入する攻撃「Operation Cloud Hopper」が、

2016年中頃から増加した。・FireEye社

・インド・日本・北欧の製造業、南米の鉱業、世界中の複数のITサービス・プロバイダを標的とする攻撃を検知した。

・MSPの例では、大量の顧客データや、顧客企業のネットワークにつながるVPNなどを所有しているため、そのサプライチェーンを突き、情報を窃取していた。

①MSPに侵入し、リモート操作を行うためのマルウェアを展開する。②目的のMSP顧客を選び、MSPのアカウントでMSP顧客へ侵入する。③顧客データを圧縮し、MSPへ移動する。④MSPからAPT10へ、顧客データを運び出す。

③ Avast社のCCleanerにバックドア ●Avast社が買収したPiriform社によって開発された「CCleaner」に、バックドアが仕掛けられていたことが

判明した。標的を絞ったAPT攻撃と見られる。・Avast社がシステムクリーナー「CCleaner」にバックドアが仕掛

けられていたことを2017年9月18日に発表した。・バージョン「5.33.6162」のWindows 32bit版、およびクラ

ウド向け・「CCleaner」を開発したPiriform社のシステムに、2017年

7月3日に侵害された可能性がある＊1。・本発表時点の使用ユーザ数は73万人

・さらに2017年9月20日から25日に詳細な調査結果をAvast社が公表した。

・実際にバックドア経由でマルウェアを送り込まれた端末は40台・特定のテック企業、通信会社を狙ったAPT攻撃と見られる。

・中国のAPTグループ（APT17）作成のマルウェアと類似している。

④ SNS上の架空の女性を用いたサイバー攻撃●Dell SecureWorksは、SNS上の架空の女性を用いたサイバー攻撃が発生したと発表した。イラン政府と

関係する攻撃者が攻撃を実行したと指摘した。

●標的とされたドメインのリスト（一部）参照：https://blog.avast.com/additional-information-regarding-

the-recent-ccleaner-apt-security-incidentl

●LinkedIn上のMia Ashのアカウント（現在は閉鎖）参照：https://www.secureworks.com/research/

the-curious-case-of-mia-ash

●Avast社ロゴ参照：https://blog.avast.com/jp/

%E6%96%B0%E3%81%97%E3%81%84%E3%82%A2%E3%83%90%E3%82%B9%E3%83%88-%E3%83%96%E3%83%A9%E3%83%B3%E3%83%89

●サイバー諜報キャンペーン「Operation Cloud Hopper」参照：http://baesystemsai.blogspot.jp/2017/04/

apt10-operation-cloud-hopper_3.html

●利用するマルウェアの変遷参照：https://www.secureworks.com/research/

bronze-butler-targets-japanese-businesses

・架空の女性M ia Ash は「ロンドン在住の20代の女性、写真家兼モデル」というプロフィールで、Facebook、Instagramなどにアカウントを保持していた。

・プロフィールや写真は実在する複数のユーザからの寄せ集め・攻撃者は遅くとも2016年4月からMia AshのSNSを更新していた。

・ SNS上で数百名とつながり、そのうちの約30名（サウジアラビアやイスラエルなどの、テクノロジー、エネルギーなどの業界の関係者）を標的とした。

・2017年2月、標的の組織の社員に細工したExcelファイルを送信し、遠隔操作ツールPupyRATに感染させようとする攻撃を実行した

（感染は失敗）。・Dell SecureWorks は、イラン政府と関連する攻撃グループ

Cobalt GypsyがMia Ashのアカウントを作り、サイバー攻撃に用いたと主張した。

・SecureWorks社Counter Threat Unitが2017年10月12日、BRONZE BUTLERの詳細な活動内容をブログで発表した。・BRONZE BUTLER（別名:Tick）は、中国を本拠地にしていると見られる。・少なくとも2012年から、日本を標的とした活動を行っていると見られる。

・Flashの脆弱性を利用したスピアフィッシング攻撃や、日本でのシェアが高い資産管理ソフトSKYSEA Client Viewなどのゼロデイ脆弱性を悪用する攻撃により侵入する。

・情報窃取後は、活動の証跡を消し、定期的に侵入しては情報を窃取する。

・独自のマルウェアを開発する能力を持ち、暗号化された通信手段を用いることで検知を回避する。

⑤ APT28がDDEの脆弱性を用いた攻撃を実施●攻撃グループAPT28がMicrosoft OfficeのDDEの脆弱性

を悪用した標的型攻撃を実行している、とMcAfeeが公表

●McAfeeによる公表参照：https://securingtomorrow.mcafee.com/mcafee-labs/

apt28-threat-group-adopts-dde-technique-nyc-attack-theme-in-latest-campaign/

・攻撃で用いられたメールには細工されたWordファイルが添付されていた。

・Wordファイルはテロ計画が記載されているように見せかけていた。・Wordファイルを開くとDDEの脆弱性が悪用され、PowerShell

スクリプトが起動してマルウェアSeduploaderに感染する。・情報収集の後でバックドアに感染させる手法がAPT28の手口と

一致した。・Seduploaderはシステムの情報を収集する。・収集した情報が攻撃者の関心を引いたとき、攻撃者はバックドア

X-AgentまたはSedrecoを追加で感染させる。・Microsoft は 2017 年 12 月 13 日に DDE の脆弱性に対する修正

プログラムを公開している。

45




② 米国の原子力発電所へのサイバー攻撃●米国国土安全保障省とFBIは、米国内の原子力発電所を運用して

いる企業のネットワークを狙ったサイバー攻撃に関する緊急報告書を共同で発行した。

・New York Timesが2017年7月6日、入手した報告書の内容を報道した。・攻撃を受けた企業の一つが、カンザス州の原子力発電所の運用・

保守を行っている「Wolf Creek Nuclear Operating Corporation」であった。

・報告書では、APT（Advanced Persistent Threat）攻撃者によるものと考えられている。

・発電所の制御システムを管理する同社のエンジニアに、履歴書を装った悪意あるファイルをメールで送付し、端末をマルウェアに感染させたと報告されている。

・情報筋は、ロシアを拠点とした「Energetic Bear」と呼ばれる攻撃者の手法に似ている点を指摘している。

・Wolf Creek社は、制御システムは社内ネットワークから切り離されており、攻撃の影響を受けないと述べた。

⑨ BRONZE BUTLERによる標的型攻撃●Trend Micro社が、「Daserf」バックドアを使用する脅威グループ「REDBALDKNIGHT」による標的型攻撃

に関する調査報告書をリリースした。・「REDBALDKNIGHT」（別名「BRONZE BUTLER」「Tick」）は主に日本を標的とする脅威グループ

・2016年に存在が確認されたが、2011年頃から活動を続けてきたと見られている。・おとり文書は「一太郎」で作成され流暢な日本語を使用していた。・感染経路は多様、「標的型メール」、「水飲み場攻撃」、メジャーな資産管理ソフトの脆弱性など

・「Daserf」は1.72以降ステガノグラフィを利用する。・設定ファイルやハッキングツールを画像ファイルに埋め込み、画像の取得を通じこれらを取得することでFWを

迂回する。

① 産業用制御システム（ICS）への攻撃増加●産業用制御システム（ICS）への攻撃が、2015 年と比べ

2016年に110%以上増加した。・ IBM からIBM Managed Security Services（MSS）のデータが

紹介される。・攻撃増加の大きな要因は、SCADAブルート・フォース攻撃・一旦侵入に成功されると接続されたSCADA＊2機器が遠隔

でコントロールされる。・ICSに対し攻撃元となる国、および攻撃対象となる国両方で

米国がトップとなった。

●おとり文書例参照：https://blog.trendmicro.com/trendlabs-security-intelligence/redbaldknight-bronze-butler-daserf-backdoor-now-using-steganography/

●ICSへの攻撃件数参照：https://securityintelligence.com/

attacks-targeting-industrial-control-systems-ics-up-110-percent/

●攻撃プロセス

●Wolf Creek発電所参照：http://www.kansastravel.org/wolfcreek.htm

＊1 ICS: Industrial Control Systems（産業用制御システム）

＊2 SCADA: Supervisory Control And Data Acquisition （産業制御システムの一種であり、コンピュータによるシステム監視とプロセス制御を行う）


世界の複数国で、産業制御システムを始めとする重要インフラに対するサイバー攻撃が行われた。特定のICS＊1（産業用制御システム）を狙うマルウェアに感染させる攻撃のほか、交通局システムが受けたサイバー攻撃では金銭を要求されたことなどが確認されている。

①産業用制御システム（ICS）への攻撃増加②米国の原子力発電所へのサイバー攻撃③英国のエネルギー産業を狙ったサイバー攻撃④産業用制御システムへのサイバー攻撃⑤米国サクラメント交通局へのサイバー攻撃⑥産業用制御システムを停止させるマルウェア

③ 英国のエネルギー産業を狙ったサイバー攻撃●英諜報機関GCHQの一機関であるNCSCが、エネルギー産業を

狙った攻撃に関する注意喚起を行った。タイミング的に世界規模の攻撃の可能性がある。

・MotherboardがNCSCによる通知文を入手し2017年7月18日に報じた。・通知文によると、ハッカーが英エネルギー産業を狙っている。

・産業用制御システム（ICS）関連機関がすでに侵害された恐れがある。・侵害された機関は、英国の重要インフラにおける一端を担っている。

・この通知文は、他国における同様の攻撃とタイミングが一致している。・アイルランドのエネルギー関連企業にロシア軍ハッカーが攻撃した

と2017年6月に「The Times」が匿名筋の情報として報道した。・エネルギー・核関連企業を標的とした攻撃に関し、FBIが

2017年6月末に注意喚起を発出した。・NCSC広報担当者は以下のように述べた。

・エネルギ―産業を世界中で狙っている。攻撃に関するレポートの存在は認知している。

●ICSイメージ参照：https://www.trendmicro.com/jp/

iot-security/special/20116

④ 産業用制御システムへのサイバー攻撃●Kaspersky社は、2017年上半期における産業用制御システム（ICS）に

関するサイバー脅威レポートを発行し、ICSに対するセキュリティ対策を呼びかけた。

・Threat Landscape for Industrial Automation Systems in H1 2017と題されたレポートが、Kaspersky Labより発行された。

・レポートは、2017年上半期の主だったサイバー脅威の包括的な解説と、Kaspersky社セキュリティ製品のユーザから収集した統計の2部構成

・サイバー脅威として、電力システムを狙うマルウェア「CrashOver-ride（Industroyer）」、セキュリティシステムへの攻撃、製造業を標的としたBEC詐欺、CIAやNSAからの機密情報リーク、WannaCryやNotPetyaのランサム攻撃などが解説されている。

・2017年上半期に、ICS端末の37.6％が攻撃を受け、最も狙われたのは製造業で、エンジニアリング、教育産業と続く。

・産業オートメーションシステムが最も狙われた上位3カ国は、ベトナム、アルジェリア、モロッコ。狙われることが少なかった国は上から、アイルランド、デンマーク、オランダ、米国、スイス

●Kasperskyのレポート参照：https://ics-cert.kaspersky.com/

wp-content/uploads/sites/6/2017/10/KL-ICS-CERT-H1-2017-report-en.pdf

46


2


② 米国の原子力発電所へのサイバー攻撃●米国国土安全保障省とFBIは、米国内の原子力発電所を運用して

いる企業のネットワークを狙ったサイバー攻撃に関する緊急報告書を共同で発行した。

・New York Timesが2017年7月6日、入手した報告書の内容を報道した。・攻撃を受けた企業の一つが、カンザス州の原子力発電所の運用・

保守を行っている「Wolf Creek Nuclear Operating Corporation」であった。

・報告書では、APT（Advanced Persistent Threat）攻撃者によるものと考えられている。

・発電所の制御システムを管理する同社のエンジニアに、履歴書を装った悪意あるファイルをメールで送付し、端末をマルウェアに感染させたと報告されている。

・情報筋は、ロシアを拠点とした「Energetic Bear」と呼ばれる攻撃者の手法に似ている点を指摘している。

・Wolf Creek社は、制御システムは社内ネットワークから切り離されており、攻撃の影響を受けないと述べた。

⑨ BRONZE BUTLERによる標的型攻撃●Trend Micro社が、「Daserf」バックドアを使用する脅威グループ「REDBALDKNIGHT」による標的型攻撃

に関する調査報告書をリリースした。・「REDBALDKNIGHT」（別名「BRONZE BUTLER」「Tick」）は主に日本を標的とする脅威グループ

・2016年に存在が確認されたが、2011年頃から活動を続けてきたと見られている。・おとり文書は「一太郎」で作成され流暢な日本語を使用していた。・感染経路は多様、「標的型メール」、「水飲み場攻撃」、メジャーな資産管理ソフトの脆弱性など

・「Daserf」は1.72以降ステガノグラフィを利用する。・設定ファイルやハッキングツールを画像ファイルに埋め込み、画像の取得を通じこれらを取得することでFWを

迂回する。

① 産業用制御システム（ICS）への攻撃増加●産業用制御システム（ICS）への攻撃が、2015 年と比べ

2016年に110%以上増加した。・ IBM からIBM Managed Security Services（MSS）のデータが

紹介される。・攻撃増加の大きな要因は、SCADAブルート・フォース攻撃・一旦侵入に成功されると接続されたSCADA＊2機器が遠隔

でコントロールされる。・ICSに対し攻撃元となる国、および攻撃対象となる国両方で

米国がトップとなった。

●おとり文書例参照：https://blog.trendmicro.com/trendlabs-security-intelligence/redbaldknight-bronze-butler-daserf-backdoor-now-using-steganography/

●ICSへの攻撃件数参照：https://securityintelligence.com/

attacks-targeting-industrial-control-systems-ics-up-110-percent/

●攻撃プロセス

●Wolf Creek発電所参照：http://www.kansastravel.org/wolfcreek.htm

＊1 ICS: Industrial Control Systems（産業用制御システム）

＊2 SCADA: Supervisory Control And Data Acquisition （産業制御システムの一種であり、コンピュータによるシステム監視とプロセス制御を行う）


世界の複数国で、産業制御システムを始めとする重要インフラに対するサイバー攻撃が行われた。特定のICS＊1（産業用制御システム）を狙うマルウェアに感染させる攻撃のほか、交通局システムが受けたサイバー攻撃では金銭を要求されたことなどが確認されている。

①産業用制御システム（ICS）への攻撃増加②米国の原子力発電所へのサイバー攻撃③英国のエネルギー産業を狙ったサイバー攻撃④産業用制御システムへのサイバー攻撃⑤米国サクラメント交通局へのサイバー攻撃⑥産業用制御システムを停止させるマルウェア

③ 英国のエネルギー産業を狙ったサイバー攻撃●英諜報機関GCHQの一機関であるNCSCが、エネルギー産業を

狙った攻撃に関する注意喚起を行った。タイミング的に世界規模の攻撃の可能性がある。

・MotherboardがNCSCによる通知文を入手し2017年7月18日に報じた。・通知文によると、ハッカーが英エネルギー産業を狙っている。

・産業用制御システム（ICS）関連機関がすでに侵害された恐れがある。・侵害された機関は、英国の重要インフラにおける一端を担っている。

・この通知文は、他国における同様の攻撃とタイミングが一致している。・アイルランドのエネルギー関連企業にロシア軍ハッカーが攻撃した

と2017年6月に「The Times」が匿名筋の情報として報道した。・エネルギー・核関連企業を標的とした攻撃に関し、FBIが

2017年6月末に注意喚起を発出した。・NCSC広報担当者は以下のように述べた。

・エネルギ―産業を世界中で狙っている。攻撃に関するレポートの存在は認知している。

●ICSイメージ参照：https://www.trendmicro.com/jp/

iot-security/special/20116

④ 産業用制御システムへのサイバー攻撃●Kaspersky社は、2017年上半期における産業用制御システム（ICS）に

関するサイバー脅威レポートを発行し、ICSに対するセキュリティ対策を呼びかけた。

・Threat Landscape for Industrial Automation Systems in H1 2017と題されたレポートが、Kaspersky Labより発行された。

・レポートは、2017年上半期の主だったサイバー脅威の包括的な解説と、Kaspersky社セキュリティ製品のユーザから収集した統計の2部構成

・サイバー脅威として、電力システムを狙うマルウェア「CrashOver-ride（Industroyer）」、セキュリティシステムへの攻撃、製造業を標的としたBEC詐欺、CIAやNSAからの機密情報リーク、WannaCryやNotPetyaのランサム攻撃などが解説されている。

・2017年上半期に、ICS端末の37.6％が攻撃を受け、最も狙われたのは製造業で、エンジニアリング、教育産業と続く。

・産業オートメーションシステムが最も狙われた上位3カ国は、ベトナム、アルジェリア、モロッコ。狙われることが少なかった国は上から、アイルランド、デンマーク、オランダ、米国、スイス

●Kasperskyのレポート参照：https://ics-cert.kaspersky.com/

wp-content/uploads/sites/6/2017/10/KL-ICS-CERT-H1-2017-report-en.pdf

47




＊影響の詳細・対応が明らかとなっていない。

＊3 SIS: Safety Instrumented System（安全計装システム、プラント事故時の被害拡大を防ぐことを目的とした装置）

⑤ 米国サクラメント交通局へのサイバー攻撃●米国サクラメント交通局（SacRT）がサイバー攻撃を受け、金銭を要求

された。SacRTは要求には応じず、バックアップデータからシステムを復元した。

・カリフォルニア州サクラメント市のバスやライトレールを運行する「SacRT」のシステムが、2017年11月18日から19日にサイバー攻撃を受けた。

・Webサイトの改ざんと、サーバ上のプログラムの一部消去が行われた。・攻撃者は 19 日に Facebook のメッセージで、1 BTC（20 日時点で

約8,000 USD）を支払わないと、更なる攻撃を行うと脅迫した。・SacRTは攻撃者からの要求には応じず、被害状況、攻撃者の侵入経路などを

調査し、対処を行った。・ファイルの30%が消去されたこと、データは持ち出されていないことが

分かった。・被害最小化のため、Web サイトと電子決済システムを一時停止し、

バックアップからシステムを復元した。・バスやライトレールの運行への影響はなかった。

●SacRTのバス参照：https://www.helpnetsecurity.com/

2017/11/21/sacramento-regional-transit-hack/

⑥ 産業用制御システムを停止させるマルウェア●安全計装システム（SIS＊3）コントローラの動作を書き換え、

産業用制御システム（ICS）を停止させるマルウェアTRITON（TRISIS）が公開された。

・SISコントローラの動作を書き換え、虚偽のエラーを発生させることで、ICSを停止させるマルウェアTRITONのレポートを、FireEye社が公開した。

・ SISが正しく機能しなくなった場合、物理的な損害が発生する可能性があることから、同マルウェアの目的は物理的な損害を与えることであるとFireEye社は考察した。

・DRAGOS社は、同社顧客のTRITONによる攻撃の解析結果を公開した。

・解析事例では、物理的な破壊を発生させるには標的となるS IS が管理する具体的な業務プロセスを理解する必要があり、物理的な損害が発生しうる可能性は低かったと同社は説明した。

●SISへの攻撃シナリオ参照：https://www.fireeye.com/blog/threat-research/2017/12/

attackers-deploy-new-ics-attack-framework-triton.html

事案のまとめ：話題となったサイバー攻撃

・Shadow Brokersが流出させたツールの悪用などでランサムウェアに感染させ、企業や一般ユーザなどの機密情報と引き換えに身代金を要求する攻撃が大流行した。

・暗号通貨を採掘（マイニング）するツールのインストールやスクリプトの埋め込みにより、暗号通貨を不正にマイニングされる被害が多数発生した。

・暗号通貨の流行に伴い、暗号通貨取引所や一般ユーザなどを狙い、暗号通貨の窃取を試みる攻撃が数多く発生した。・国家によるものと見られる攻撃では、SNS上の架空人物を利用した攻撃や正規製品に仕掛けたバックドアを利用した

攻撃などが確認された。・産業用制御システム（ICS）に対する攻撃が増加していることなどが報告され、重要インフラへの攻撃に対する注意喚起

が行われた。

概要

Vault 7

2017年のその他の話題で主だったものを紹介する。

●Vault 7●企業や委託先の設定ミスによるインシデント●児童のプライバシー侵害への危険性●デジタル証明書の信頼性低下●新しい脅威

❹ その他の話題

Vault 7と題して、米CIA（Central Intelligence Agency）の内部情報とされる文書などが、 WikiLeaksにより公開された。このリークにより、未修正の脆弱性が明らかとなり、各社が対応に追われた。その後、更なるリークとしてVault 8が始まった。

①CIAの内部文書リークVault 7②Vault 8

① CIAの内部文書リークVault 7●WikiLeaksが、CIA配下の組織の高セキュリティネットワークに保存してあったと主張する情報をVault 7

シリーズと称し公開を開始した。・WikiLeaksが2017年3月7日よりリーク情報の公開を開始

・Exploit情報、マルウェア情報、ハッキング活動などの文書を公開・元米政府所属のハッカーや請負業者から情報を入手したと主張・CIAは情報の真偽についてコメントを避けた。・2017年4月以降も新たな情報公開が継続して行われている。・2017年3月末時点の公開は以下の通り

・リーク情報から発見された脆弱性に対する各ベンダの対応を示す。

・2017年3月末以降のリークを以下に示す。

公開日情報名公開情報概要

2017/3/7Year Zero

Dark Matter 2017/3/23

モバイル端末、Smart TV、OS、ネットワーク機器、車両用ソフト、セキュリティ製品へのハッキング活動など8,761件の情報を公開

MacやiPhoneに削除不可能なマルウェアを埋め込む活動に関する23件の情報を公開

公開日リーク名概要難読化ツールのソースコード攻撃コード生成ツールのユーザガイドRATのユーザガイドなどSamsung TV用マルウェアのユーザガイドPDF追跡機能付与ツールのソースコードなど

2017/3/312017/4/72017/4/142017/4/212017/4/28

Marble FrameworkGrasshopperHiveWeeping AngelScribbles

ベンダ脆弱性影響影響製品製品EOL過去に修正済み過去に修正済み過去に修正済み影響なし影響なし　　　－*　　　－修正パッチ提供影響なし　　　－過去に修正済み

ネットワーク製品車両ソフトウェアスマートTVPC・通信端末

Kaspersky LabBitdefenderComodoESETF-SecurePandaLabsMicrosoftTrend MicroCiscoQNXSamsungAppleDark Matter

Year Zero

セキュリティ製品

情報名

48


2


＊影響の詳細・対応が明らかとなっていない。

＊3 SIS: Safety Instrumented System（安全計装システム、プラント事故時の被害拡大を防ぐことを目的とした装置）

⑤ 米国サクラメント交通局へのサイバー攻撃●米国サクラメント交通局（SacRT）がサイバー攻撃を受け、金銭を要求

された。SacRTは要求には応じず、バックアップデータからシステムを復元した。

・カリフォルニア州サクラメント市のバスやライトレールを運行する「SacRT」のシステムが、2017年11月18日から19日にサイバー攻撃を受けた。

・Webサイトの改ざんと、サーバ上のプログラムの一部消去が行われた。・攻撃者は 19 日に Facebook のメッセージで、1 BTC（20 日時点で

約8,000 USD）を支払わないと、更なる攻撃を行うと脅迫した。・SacRTは攻撃者からの要求には応じず、被害状況、攻撃者の侵入経路などを

調査し、対処を行った。・ファイルの30%が消去されたこと、データは持ち出されていないことが

分かった。・被害最小化のため、Web サイトと電子決済システムを一時停止し、

バックアップからシステムを復元した。・バスやライトレールの運行への影響はなかった。

●SacRTのバス参照：https://www.helpnetsecurity.com/

2017/11/21/sacramento-regional-transit-hack/

⑥ 産業用制御システムを停止させるマルウェア●安全計装システム（SIS＊3）コントローラの動作を書き換え、

産業用制御システム（ICS）を停止させるマルウェアTRITON（TRISIS）が公開された。

・SISコントローラの動作を書き換え、虚偽のエラーを発生させることで、ICSを停止させるマルウェアTRITONのレポートを、FireEye社が公開した。

・ SISが正しく機能しなくなった場合、物理的な損害が発生する可能性があることから、同マルウェアの目的は物理的な損害を与えることであるとFireEye社は考察した。

・DRAGOS社は、同社顧客のTRITONによる攻撃の解析結果を公開した。

・解析事例では、物理的な破壊を発生させるには標的となるS IS が管理する具体的な業務プロセスを理解する必要があり、物理的な損害が発生しうる可能性は低かったと同社は説明した。

●SISへの攻撃シナリオ参照：https://www.fireeye.com/blog/threat-research/2017/12/

attackers-deploy-new-ics-attack-framework-triton.html

事案のまとめ：話題となったサイバー攻撃

・Shadow Brokersが流出させたツールの悪用などでランサムウェアに感染させ、企業や一般ユーザなどの機密情報と引き換えに身代金を要求する攻撃が大流行した。

・暗号通貨を採掘（マイニング）するツールのインストールやスクリプトの埋め込みにより、暗号通貨を不正にマイニングされる被害が多数発生した。

・暗号通貨の流行に伴い、暗号通貨取引所や一般ユーザなどを狙い、暗号通貨の窃取を試みる攻撃が数多く発生した。・国家によるものと見られる攻撃では、SNS上の架空人物を利用した攻撃や正規製品に仕掛けたバックドアを利用した

攻撃などが確認された。・産業用制御システム（ICS）に対する攻撃が増加していることなどが報告され、重要インフラへの攻撃に対する注意喚起

が行われた。

概要

Vault 7

2017年のその他の話題で主だったものを紹介する。

●Vault 7●企業や委託先の設定ミスによるインシデント●児童のプライバシー侵害への危険性●デジタル証明書の信頼性低下●新しい脅威

❹ その他の話題

Vault 7と題して、米CIA（Central Intelligence Agency）の内部情報とされる文書などが、 WikiLeaksにより公開された。このリークにより、未修正の脆弱性が明らかとなり、各社が対応に追われた。その後、更なるリークとしてVault 8が始まった。

①CIAの内部文書リークVault 7②Vault 8

① CIAの内部文書リークVault 7●WikiLeaksが、CIA配下の組織の高セキュリティネットワークに保存してあったと主張する情報をVault 7

シリーズと称し公開を開始した。・WikiLeaksが2017年3月7日よりリーク情報の公開を開始

・Exploit情報、マルウェア情報、ハッキング活動などの文書を公開・元米政府所属のハッカーや請負業者から情報を入手したと主張・CIAは情報の真偽についてコメントを避けた。・2017年4月以降も新たな情報公開が継続して行われている。・2017年3月末時点の公開は以下の通り

・リーク情報から発見された脆弱性に対する各ベンダの対応を示す。

・2017年3月末以降のリークを以下に示す。

公開日情報名公開情報概要

2017/3/7Year Zero

Dark Matter 2017/3/23

モバイル端末、Smart TV、OS、ネットワーク機器、車両用ソフト、セキュリティ製品へのハッキング活動など8,761件の情報を公開

MacやiPhoneに削除不可能なマルウェアを埋め込む活動に関する23件の情報を公開

公開日リーク名概要難読化ツールのソースコード攻撃コード生成ツールのユーザガイドRATのユーザガイドなどSamsung TV用マルウェアのユーザガイドPDF追跡機能付与ツールのソースコードなど

2017/3/312017/4/72017/4/142017/4/212017/4/28

Marble FrameworkGrasshopperHiveWeeping AngelScribbles

ベンダ脆弱性影響影響製品製品EOL過去に修正済み過去に修正済み過去に修正済み影響なし影響なし　　　－*　　　－修正パッチ提供影響なし　　　－過去に修正済み

ネットワーク製品車両ソフトウェアスマートTVPC・通信端末

Kaspersky LabBitdefenderComodoESETF-SecurePandaLabsMicrosoftTrend MicroCiscoQNXSamsungAppleDark Matter

Year Zero

セキュリティ製品

情報名

49



2. 事案の分析　－　❹ その他の話題

＊ NGA: National Geospatial-Intelligence Agency（地理情報の収集を行う米国機関）

② Vault 8●WikiLeaksが、CIAが作成したとされるハッキングツールの情報をVault 7という名で公開していたが、その

ソースコードをVault 8という名で公開を開始した。・Vault 7で公開されたツールのソースコードを、2017年11月

9日にVault 8という名称で、WikiLeaksが公開を開始した。・CIAのサーバとCIA製マルウェア間の秘密通信を確立する

ツールHiveが公開された。・Hiveは商用仮想サーバ上に存在し、アクセスしてきた

対象の認証も行う。・転用が可能なゼロデイ脆弱性などは、公開されたソースコード

には含まれていない。・ジャーナリストやフォレンジック従事者などの理解を

助けるために公開したという。●Vault 8公開ページ参照：https://wikileaks.org/vault8/

●NGAのロゴ参照：https://www.nga.mil/

MediaRoom/Press%20Kit/Pages/default.aspx

●クラウドからの漏えいに注意参照：https://www.pexels.com/search/clouds/

●Amazon S3のバケット（保存領域）を作成する際にアクセス制御を「公開」に設定した際の画面イメージ

参照：https://mackeepersecurity.com/post/protect-your-s3-bucket-in-a-right-way●Tata社が公開していたGitHubリポジトリ

参照：https://coulls.blogspot.jp/2017/06/how-do-you-fix-mobile-banking-in-canada.html

② ミスによる情報漏えいが多発●機密情報を含む組織情報が、ネットに保存する際の設定誤りにより、所有者の意図するところよりも広範囲

で閲覧可能となっている事例が多発している。

●クラウドストレージサービスAmazon S3から企業の機密情報が公開状態となるインシデントが複数発生いずれもアクセス制御の不適切な設定が原因

・2017年7月に報じられた事例・組織自らか委託先が、利用サービスのセキュリティ設定を誤り、許可するつもりがない範囲にまで情報へのアクセス

を認めている例が大半

・スウェーデン運輸省、機密情報を含むデータが国外から閲覧可能だった。・管理を請負う委託先企業の従業員が、国外（チェコ共和国）からクラウド上

のすべてのデータとログにアクセスできる状態となっていた。・2015年にIBMに管理を外部委託する際に、法に則った手順で担当

者のセキュリティクリアランスを実施しなかったことが原因・当時の運輸省長官が、機密情報の扱いにおいて不注意だったとして、7万

スウェーデンクローナの罰金を受けた。なお元長官は2017年1月に解任された。・専門家の指摘

・ネットワーク管理者らが、サービスのアクセス制御リストの設定規則を軽視しがち

・サービスに、データとサービスの設定を安全な形で保証する基本的ステップが欠けている。

・管理業務を第三者に委託している場合、閲覧可能状態の発見から、修正までに時間がかかりすぎる傾向がある。

・Kromtech Security Centerは機密情報の露呈の原因と対策を提示・原因：DevOpsなど迅速な開発手法の普及に伴い、開発者が

セキュリティ関連の設定に時間をかけることを避けるため、安易にAmazon S3のアクセス制御を「公開」に設定していると指摘

・対策：Amazonが提供している以下の有償サービスの使用・ Trusted Advisor （セキュリティ関連設定の検査）・AWS Config （適切なセキュリティ設定を簡単に適用）

・Bleeping Computerは2017年9月25日にSkyhigh Networksによる調査結果を掲載。Amazon S3バケット全体の7%はアクセス制御の設定が不適切で、不特定多数からのアクセスが可能であった。

企業や委託先の設定ミスによるインシデント

官民ともに委託先からの情報漏えいなどのインシデントが多数発生した。また、Amazon Web ServiceのS3に代表されるクラウドサービスにて、設定ミスによる情報漏えいも頻発した。

①請負業者によるインシデント②ミスによる情報漏えいが多発

① 請負業者によるインシデント●請負業者が原因となる情報流出やシステム障害が複数報告された。・米NSAの最高機密文書を印刷しThe Interceptにリークしたとして、請負業者

の従業員が2017年6月3日に逮捕されたことが報じられた。・リーク文書はロシアによる米大統領選へのハッキングに関する報告書・このリーク文書に印刷された、プリンタモデルや印刷日を示す透明に近い

特殊な黄色いドットにより犯人が割り出された。・米NGA＊の業務を請け負う米Booz Allen Hamilton（BAH）社が扱う米国家の

機密データが外部閲覧可能であったと報じられた。・2017年5月22日時点で、最高機密レベルの情報がパスワードなしで

公開状態となっていた。・発見者のChris Vickery氏は同月にBAHへ問題を報告したが反応はなく、

翌日のNGAへ報告後に非公開になった。・インドの請負業者Tata Consultancy Service社の従業員が、請負先銀行の

支払いシステムのソースコードや開発資料などをGitHubの公開リポジトリに保存していたことが報じられた。

・金融機関から請け負った開発業務に関する情報が公開状態であった。・カナダ、米国、日本などの金融機関に関わる情報であったという。・この情報はすでに削除されている。

・請負業者CBRE Global Workplace Solutions社の従業員がシステム電源を誤って遮断したために、英British Airways社で2017年5月27日に大規模な欠航が発生した。

・この障害により、75,000人の乗客に影響が発生・この問題で1億ポンド（1億2,800万USD）以上の補償請求を同社が求め

られる可能性もある。

管理委託先被害組織情報保存先閲覧可能範囲原因Amazon S3Amazon S3Google Group委託先システムIBMのクラウド

AWS利用登録者AWS利用登録者一般一般国内外の委託先担当者

委託先による設定誤り設定誤り設定誤り委託先による設定誤り委託先選定時のチェック漏れ

NICE Systems　　　ー　　　ー第三者（不明）IBM

VerizonDow JonesGizmodeなど英政府スウェーデン運輸省

顧客約400万人の氏名、住所、ホームゲートウェイ機器の情報求職者約9,400人（主に退役軍人）の氏名、住所、経歴、米国政府の機密情報のアクセス権限社内システムの管理者パスワード、社内サーバのシステム構成情報、AWSの管理者認証用鍵データ

社内システムの認証情報、設計情報

顧客約54万人のメールアドレス、パスワード（SHA-1ハッシュ化）、車両識別番号、車載GPS機器のIMEI

ITサービス企業BroadSoft （委託先）就職支援企業TalentPen

（委託先）

Viacom

Verizon Wirelessの技術者（私用のAmazon S3に保存）

SVR Tracking

Time Warner Cable

TigerSwan

Viacom

Verizon Wireless

SVR Tracking

2017/9/1

2017/9/2

2017/9/19

2017/9/20

2017/9/21

Amazon S3のアクセス制御を

「公開」に設定

発生組織公表日主な漏えい情報原因 Amazon S3利用者

50


2


＊ NGA: National Geospatial-Intelligence Agency（地理情報の収集を行う米国機関）

② Vault 8●WikiLeaksが、CIAが作成したとされるハッキングツールの情報をVault 7という名で公開していたが、その

ソースコードをVault 8という名で公開を開始した。・Vault 7で公開されたツールのソースコードを、2017年11月

9日にVault 8という名称で、WikiLeaksが公開を開始した。・CIAのサーバとCIA製マルウェア間の秘密通信を確立する

ツールHiveが公開された。・Hiveは商用仮想サーバ上に存在し、アクセスしてきた

対象の認証も行う。・転用が可能なゼロデイ脆弱性などは、公開されたソースコード

には含まれていない。・ジャーナリストやフォレンジック従事者などの理解を

助けるために公開したという。●Vault 8公開ページ参照：https://wikileaks.org/vault8/

●NGAのロゴ参照：https://www.nga.mil/

MediaRoom/Press%20Kit/Pages/default.aspx

●クラウドからの漏えいに注意参照：https://www.pexels.com/search/clouds/

●Amazon S3のバケット（保存領域）を作成する際にアクセス制御を「公開」に設定した際の画面イメージ

参照：https://mackeepersecurity.com/post/protect-your-s3-bucket-in-a-right-way●Tata社が公開していたGitHubリポジトリ

参照：https://coulls.blogspot.jp/2017/06/how-do-you-fix-mobile-banking-in-canada.html

② ミスによる情報漏えいが多発●機密情報を含む組織情報が、ネットに保存する際の設定誤りにより、所有者の意図するところよりも広範囲

で閲覧可能となっている事例が多発している。

●クラウドストレージサービスAmazon S3から企業の機密情報が公開状態となるインシデントが複数発生いずれもアクセス制御の不適切な設定が原因

・2017年7月に報じられた事例・組織自らか委託先が、利用サービスのセキュリティ設定を誤り、許可するつもりがない範囲にまで情報へのアクセス

を認めている例が大半

・スウェーデン運輸省、機密情報を含むデータが国外から閲覧可能だった。・管理を請負う委託先企業の従業員が、国外（チェコ共和国）からクラウド上

のすべてのデータとログにアクセスできる状態となっていた。・2015年にIBMに管理を外部委託する際に、法に則った手順で担当

者のセキュリティクリアランスを実施しなかったことが原因・当時の運輸省長官が、機密情報の扱いにおいて不注意だったとして、7万

スウェーデンクローナの罰金を受けた。なお元長官は2017年1月に解任された。・専門家の指摘

・ネットワーク管理者らが、サービスのアクセス制御リストの設定規則を軽視しがち

・サービスに、データとサービスの設定を安全な形で保証する基本的ステップが欠けている。

・管理業務を第三者に委託している場合、閲覧可能状態の発見から、修正までに時間がかかりすぎる傾向がある。

・Kromtech Security Centerは機密情報の露呈の原因と対策を提示・原因：DevOpsなど迅速な開発手法の普及に伴い、開発者が

セキュリティ関連の設定に時間をかけることを避けるため、安易にAmazon S3のアクセス制御を「公開」に設定していると指摘

・対策：Amazonが提供している以下の有償サービスの使用・ Trusted Advisor （セキュリティ関連設定の検査）・AWS Config （適切なセキュリティ設定を簡単に適用）

・Bleeping Computerは2017年9月25日にSkyhigh Networksによる調査結果を掲載。Amazon S3バケット全体の7%はアクセス制御の設定が不適切で、不特定多数からのアクセスが可能であった。

企業や委託先の設定ミスによるインシデント

官民ともに委託先からの情報漏えいなどのインシデントが多数発生した。また、Amazon Web ServiceのS3に代表されるクラウドサービスにて、設定ミスによる情報漏えいも頻発した。

①請負業者によるインシデント②ミスによる情報漏えいが多発

① 請負業者によるインシデント●請負業者が原因となる情報流出やシステム障害が複数報告された。・米NSAの最高機密文書を印刷しThe Interceptにリークしたとして、請負業者

の従業員が2017年6月3日に逮捕されたことが報じられた。・リーク文書はロシアによる米大統領選へのハッキングに関する報告書・このリーク文書に印刷された、プリンタモデルや印刷日を示す透明に近い

特殊な黄色いドットにより犯人が割り出された。・米NGA＊の業務を請け負う米Booz Allen Hamilton（BAH）社が扱う米国家の

機密データが外部閲覧可能であったと報じられた。・2017年5月22日時点で、最高機密レベルの情報がパスワードなしで

公開状態となっていた。・発見者のChris Vickery氏は同月にBAHへ問題を報告したが反応はなく、

翌日のNGAへ報告後に非公開になった。・インドの請負業者Tata Consultancy Service社の従業員が、請負先銀行の

支払いシステムのソースコードや開発資料などをGitHubの公開リポジトリに保存していたことが報じられた。

・金融機関から請け負った開発業務に関する情報が公開状態であった。・カナダ、米国、日本などの金融機関に関わる情報であったという。・この情報はすでに削除されている。

・請負業者CBRE Global Workplace Solutions社の従業員がシステム電源を誤って遮断したために、英British Airways社で2017年5月27日に大規模な欠航が発生した。

・この障害により、75,000人の乗客に影響が発生・この問題で1億ポンド（1億2,800万USD）以上の補償請求を同社が求め

られる可能性もある。

管理委託先被害組織情報保存先閲覧可能範囲原因Amazon S3Amazon S3Google Group委託先システムIBMのクラウド

AWS利用登録者AWS利用登録者一般一般国内外の委託先担当者

委託先による設定誤り設定誤り設定誤り委託先による設定誤り委託先選定時のチェック漏れ

NICE Systems　　　ー　　　ー第三者（不明）IBM

VerizonDow JonesGizmodeなど英政府スウェーデン運輸省

顧客約400万人の氏名、住所、ホームゲートウェイ機器の情報求職者約9,400人（主に退役軍人）の氏名、住所、経歴、米国政府の機密情報のアクセス権限社内システムの管理者パスワード、社内サーバのシステム構成情報、AWSの管理者認証用鍵データ

社内システムの認証情報、設計情報

顧客約54万人のメールアドレス、パスワード（SHA-1ハッシュ化）、車両識別番号、車載GPS機器のIMEI

ITサービス企業BroadSoft （委託先）就職支援企業TalentPen

（委託先）

Viacom

Verizon Wirelessの技術者（私用のAmazon S3に保存）

SVR Tracking

Time Warner Cable

TigerSwan

Viacom

Verizon Wireless

SVR Tracking

2017/9/1

2017/9/2

2017/9/19

2017/9/20

2017/9/21

Amazon S3のアクセス制御を

「公開」に設定

発生組織公表日主な漏えい情報原因 Amazon S3利用者

51




＊1 EVでは鍵の横に所有者情報が表示される。

＊1 学習教材や教育補助を目的としたICTサービス

●EVが有効になっている証明書参照：https://www.theregister.co.uk/2017/03/24/

google_slaps_symantec_for_sloppy_certs_slow_show_of_snafus/

●Rowley副社長の回答参照：https://groups.google.com/forum/#!topic/

mozilla.dev.security.policy/5qazX5vWaWU

●StartComの声明参照：https://www.startcomca.com/index/

News/newDetail?date=20171116

●学生をスパイするEdTech参照：https://www.eff.org/wp/

school-issued-devices-and-student-privacy

① Symantec証明書への信頼を引き下げへ●ChromeでSymantec発行の証明書への信頼を引き下げることが提案された。・Google社のChromeチームが、2017年3月24日に開発フォーラムでSymantec証明書への批判とChromeでの

対応策を明らかにした。・証明書の誤発行を防ぐ手段をSymantec社が講じてこなかったと、批判

・数年にわたり、少なくとも3万件の証明書の誤発行が確認された。・2,458個の証明書が登録されていないドメインに対して発行された。

・Symantec証明書に対するChromeでの対応を提案・Symantec社発行の証明書に対して、受け入れる証明書の有効期限をChromeバージョンごとに短くする。

最終的に、バージョン64では9カ月以内の証明書のみを受け入れる。・Symantecの証明書は「Extended Validation＊1」を無効にする。

② 証明書発行サービスの事業撤退●複数の証明書発行サービスで、発行時の本人確認に疑念が持たれ、証明書およびサービス全体の信頼性が

低下。サービスを終了する事業者も現れた。・証明書発行サービスのDigiCertがSymantecの証明書発行サービス部門の買収に関連し、Mozillaが提示した懸念に回答

・DigiCertのRowley副社長は2017年11月1日に以下の内容を表明・TLS証明書の発行時の本人確認と発行処理においてSymantecの証明書発行システムは利用しない。・TLS証明書の発行に従事する従業員にトレーニングを実施する。

・MozillaとGoogleは、Symantecとそのパートナー企業がTLS証明書の発行時に十分な本人確認を実施していなかったことを問題視

・Mozillaは2017年10月31日に、DigiCertの買収後もSymantecのシステムおよび従業員が引き続きTLS証明書を発行する可能性があり、問題が再発する恐れがある、と懸念を表明していた。

・中国の証明書発行サービス「StartCom」は、2017年12月末で新規の証明書の発行を終了し、2020年に事業を終了させると発表した。

・事業終了までのスケジュールは以下の通り・2017年12月31日：新規の証明書の発行を終了・2018年1月1日：発行済みの証明書の有効性検証のみを提供・2020年1月1日：発行済みの証明書をすべて失効

・StartComは、同社および親会社「WoSign」に対する信頼の失墜を回復できなかったと述べた。・2016年9月、MozillaはWoSignとStartComがGitHubのドメインに対し不正に証明書を発行した

として、新規に発行する証明書を信頼しない、という対応を開始・2017 年には、Google と Apple も WoSign と StartCom の証明書を信頼しない対応を実施

児童のプライバシー侵害への危険性

Ed Tech系サービスでの過剰な情報収集や、インターネットサービスの利用規約が子どもたちにとって難解であり、過度に個人情報を提供していることが問題になった。

①Ed Techサービスが学生をスパイ②子どもたちに分かりやすい利用規約を

デジタル証明書の信頼性低下

証明書の誤発行や、それらに対する不十分な対応から、SymantecやStartComの信頼性が低下しており、Google Chromeなどで信頼性の引き下げが行われた。

①Symantec証明書への信頼を引き下げへ②証明書発行サービスの事業撤退

① Ed Techサービスが学生をスパイ●米国のK-12学生らが利用するEd Techサービス＊1は、必要以上に学生のデータを収集しており、一部の州法

では広告でのデータ利用を規制し始めている。・2017年4月13日に、学校で利用されているEd Techサービスのプライ

バシーポリシーに関する調査レポートを、米電子フロンティア財団が公開・152のサービスの利用実態が調査され、その多くが学生の個人情報を

含め、必要以上の情報を収集していることが発覚・プライバシーポリシーに、暗号化やデータ保持・共有項目が欠如・教員はポリシーを過信しており、また、両親は子どもが利用

するサービスや収集されるデータを認知できない。・技術革新に規制が追随できず、連邦法では学生のデータを保護できない。

・カリフォルニアやコロラド州では、ターゲット広告での、学生のデータ利用を禁止

＊2 The Growing Up Digital Taskforce

●分かりやすくした利用規約参照：http://www.childrenscommissioner.gov.uk/

sites/default/files/publications/Growing%20Up%20Digital%20Taskforce%20Report%20January%202017_0.pdf

② 子どもたちに分かりやすい利用規約を●子どもたちは、利用規約を理解できないままインターネットを利用しているため、頻繁に個人情報を提供して

しまっていると報告された。・英Children’s Commissioner for Englandのタスクフォース＊2が2017

年1月4日に発行したレポートの中で報告・インターネットはビッグユーザである子どもたちのためにデザイン

されていない。・ソーシャルメディア企業は、利用規約をより分かりやすい言葉で記載

すべきだと推奨・ティーンエイジャーに対し、Instagramの利用規約の理解度を

テストしたところ、完全に理解していた者は誰もいなかった。・簡素化し要約したところ、容易に理解できることが分かった。・読み終えた子どもたちの中には、“気味が悪いから”削除すると

言った子どももいた。

52


2


＊1 EVでは鍵の横に所有者情報が表示される。

＊1 学習教材や教育補助を目的としたICTサービス

●EVが有効になっている証明書参照：https://www.theregister.co.uk/2017/03/24/

google_slaps_symantec_for_sloppy_certs_slow_show_of_snafus/

●Rowley副社長の回答参照：https://groups.google.com/forum/#!topic/

mozilla.dev.security.policy/5qazX5vWaWU

●StartComの声明参照：https://www.startcomca.com/index/

News/newDetail?date=20171116

●学生をスパイするEdTech参照：https://www.eff.org/wp/

school-issued-devices-and-student-privacy

① Symantec証明書への信頼を引き下げへ●ChromeでSymantec発行の証明書への信頼を引き下げることが提案された。・Google社のChromeチームが、2017年3月24日に開発フォーラムでSymantec証明書への批判とChromeでの

対応策を明らかにした。・証明書の誤発行を防ぐ手段をSymantec社が講じてこなかったと、批判

・数年にわたり、少なくとも3万件の証明書の誤発行が確認された。・2,458個の証明書が登録されていないドメインに対して発行された。

・Symantec証明書に対するChromeでの対応を提案・Symantec社発行の証明書に対して、受け入れる証明書の有効期限をChromeバージョンごとに短くする。

最終的に、バージョン64では9カ月以内の証明書のみを受け入れる。・Symantecの証明書は「Extended Validation＊1」を無効にする。

② 証明書発行サービスの事業撤退●複数の証明書発行サービスで、発行時の本人確認に疑念が持たれ、証明書およびサービス全体の信頼性が

低下。サービスを終了する事業者も現れた。・証明書発行サービスのDigiCertがSymantecの証明書発行サービス部門の買収に関連し、Mozillaが提示した懸念に回答

・DigiCertのRowley副社長は2017年11月1日に以下の内容を表明・TLS証明書の発行時の本人確認と発行処理においてSymantecの証明書発行システムは利用しない。・TLS証明書の発行に従事する従業員にトレーニングを実施する。

・MozillaとGoogleは、Symantecとそのパートナー企業がTLS証明書の発行時に十分な本人確認を実施していなかったことを問題視

・Mozillaは2017年10月31日に、DigiCertの買収後もSymantecのシステムおよび従業員が引き続きTLS証明書を発行する可能性があり、問題が再発する恐れがある、と懸念を表明していた。

・中国の証明書発行サービス「StartCom」は、2017年12月末で新規の証明書の発行を終了し、2020年に事業を終了させると発表した。

・事業終了までのスケジュールは以下の通り・2017年12月31日：新規の証明書の発行を終了・2018年1月1日：発行済みの証明書の有効性検証のみを提供・2020年1月1日：発行済みの証明書をすべて失効

・StartComは、同社および親会社「WoSign」に対する信頼の失墜を回復できなかったと述べた。・2016年9月、MozillaはWoSignとStartComがGitHubのドメインに対し不正に証明書を発行した

として、新規に発行する証明書を信頼しない、という対応を開始・2017 年には、Google と Apple も WoSign と StartCom の証明書を信頼しない対応を実施

児童のプライバシー侵害への危険性

Ed Tech系サービスでの過剰な情報収集や、インターネットサービスの利用規約が子どもたちにとって難解であり、過度に個人情報を提供していることが問題になった。

①Ed Techサービスが学生をスパイ②子どもたちに分かりやすい利用規約を

デジタル証明書の信頼性低下

証明書の誤発行や、それらに対する不十分な対応から、SymantecやStartComの信頼性が低下しており、Google Chromeなどで信頼性の引き下げが行われた。

①Symantec証明書への信頼を引き下げへ②証明書発行サービスの事業撤退

① Ed Techサービスが学生をスパイ●米国のK-12学生らが利用するEd Techサービス＊1は、必要以上に学生のデータを収集しており、一部の州法

では広告でのデータ利用を規制し始めている。・2017年4月13日に、学校で利用されているEd Techサービスのプライ

バシーポリシーに関する調査レポートを、米電子フロンティア財団が公開・152のサービスの利用実態が調査され、その多くが学生の個人情報を

含め、必要以上の情報を収集していることが発覚・プライバシーポリシーに、暗号化やデータ保持・共有項目が欠如・教員はポリシーを過信しており、また、両親は子どもが利用

するサービスや収集されるデータを認知できない。・技術革新に規制が追随できず、連邦法では学生のデータを保護できない。

・カリフォルニアやコロラド州では、ターゲット広告での、学生のデータ利用を禁止

＊2 The Growing Up Digital Taskforce

●分かりやすくした利用規約参照：http://www.childrenscommissioner.gov.uk/

sites/default/files/publications/Growing%20Up%20Digital%20Taskforce%20Report%20January%202017_0.pdf

② 子どもたちに分かりやすい利用規約を●子どもたちは、利用規約を理解できないままインターネットを利用しているため、頻繁に個人情報を提供して

しまっていると報告された。・英Children’s Commissioner for Englandのタスクフォース＊2が2017

年1月4日に発行したレポートの中で報告・インターネットはビッグユーザである子どもたちのためにデザイン

されていない。・ソーシャルメディア企業は、利用規約をより分かりやすい言葉で記載

すべきだと推奨・ティーンエイジャーに対し、Instagramの利用規約の理解度を

テストしたところ、完全に理解していた者は誰もいなかった。・簡素化し要約したところ、容易に理解できることが分かった。・読み終えた子どもたちの中には、“気味が悪いから”削除すると

言った子どももいた。

53




＊1 複数の小さなサービスを組み合わせて、単一のアプリケーションを構築する手法

＊2 消費者の情報を収集し、販売する企業。名簿屋

●Web上で有権者情報を変更可能な州（オレンジ色で表記）参照：https://techscience.org/a/2017090601/

●SRスクリプト使用サイト（一部）参照：https://webtransparency.cs.princeton.edu/

no_boundaries/session_replay_sites.html

●Microservicesアーキテクチャ例参照：https://medium.com/netflix-techblog/

starting-the-avalanche-640e69b14a06

●Squattingタイプの比較

④ オンライン上で有権者情報の改ざん●ダークウェブやデータブローカー＊2から入手した個人情報を用いて有権者情報を書きかえる攻撃のコストと、

選挙への影響度についての研究が発表された。・米ハーバード大学の研究者が、米国各州の有権者情報をオンラインで

本人に成りすまして改ざんする攻撃の現実性について2017年9月6日に発表した。

・35の州とワシントンD.C.では、有権者の登録情報をWeb上で変更可能・有権者情報を変更する際、本人確認用に必要な情報は州に

よって異なるが、氏名、生年月日、住所、社会保障番号、運転免許証番号の組み合わせが多い。

・これらの個人情報は、政府機関（選挙事務所）、データブローカー、ダークウェブ市場から無償または有償で入手できる。

・登録情報を削除または住所変更により投票を無効化したり、本人に成りすまして不在者投票を行うことが可能となる。

・有権者情報登録サイトのCAPTCHA回避および処理を自動化するプログラムを作成し、州ごとに情報の書き換えに要する時間とコストを算出

・前提として、全体投票数の1％でもコントロールできれば、選挙結果に大きな影響を与えることが可能

・35の州とD.C.の1%の有権者情報を書き換えるための現実的なコストは必要な情報の入手先（政府機関／データブローカー／ダークウェブ）により、10,081 USD から 24,926 USDと算出された。

・州単位での1％の有権者情報を書き換えるコストは、最低でアラスカ州の1 USDから、最高でイリノイ州の1,020 USD

・有権者情報の改ざんを防ぐために、研究者らは以下の対策を求めている。・登録情報の変更の際、公的機関による審査・有権者情報サイトの訪問者を記録し、同一のユーザによる

複数の有権者情報の変更を防ぐ。・サイト上での変更履歴を保存し、不正操作に気付いた際には

いつでも元に戻せるようにする。

④ オンラインでの情報操作サービス●オンラインで偽ニュースの拡散やSNSの虚偽アカウントからの投稿により情報操作を行う業者が存在し、

闇市場ではビジネスモデルとして成立されつつある。・ロシアの「トロール（荒らし）工場」が所有していたTwitterアカウントが

公開・米大統領選挙へのロシア介入に関する調査が進む中、サンクトペテ

ルブルクのオンライン荒らし業者のものとして停止された2,752件の虚偽アカウントが、下院情報特別委員会のサイトで2017年11月1日に公開された。

・偽ニュースや過激な発言の拡散に用いられ、多くのメディアに「ネットの声」として取り上げられることで選挙戦に影響を与えた。

・オルタナ右翼の米国人女性として7万人のフォロワーを獲得していたJenna Abramsのアカウントも含まれる。

・その他、米国内のローカルメディアを装ったアカウントや、トランプ氏やクリントン氏ならびに両党の関係者をかたるアカウント、人種差別を訴える人権主義者のアカウントなどが、公開されたTwitterアカウントに含まれている。

新しい脅威

①Combosquattingの流行②セッション・リプレイ③MicroservicesアーキテクチャへのDDoS④オンライン上で有権者情報の改ざん⑤オンラインでの情報操作サービス

① Combosquattingの流行●複数語句をつなげたドメインでフィッシングなどを行う攻撃Combosquattingは、年々増加しており、現行の

セキュリティ対策では対処できていないと見られる。・ジョージア工科大学の研究者らが、Combosquattingを対象とした

初の大規模な実証実験を実施し、その結果をACM CCS 2017にて報告した。

・2011年からの6年間に及ぶ4,680億個のDNSレコードを収集・調査・268ドメインを装う270万のCombosquattingドメインを発見・Combosquattingドメインは、Typosquattingの100倍以上で

年々増加・6割のCombosquattingドメインが3年以上稼働

② セッション・リプレイ●「セッション・リプレイ（以下、SR）」を動作させているサイトには機微情報の漏えいリスクが存在することが

明らかになった。・セッション・リプレイはマーケティング情報の収集のためサイト運営者

が訪問者の動作を記録する手法・サイト訪問者のキー入力、マウスの動きなどのデータが収集される。

・米プリンストン大学がSRの実態を調査し、2017年11月15日に発表した。・調査対象はSRベンダ7種（Yandex社、 FullStory社、 Hotjar社ほか）・Alexaトップ50,000サイト中482サイトで使用されていた。・指摘した脅威

・記録されたデータは、外部サーバに送信される。・記録されたデータには、機微情報も含まれる。・レンダリングされたサイト・コンテンツも収集される。・データを記録する際にはhttps通信が使われるが、実際に動作

がリプレイされる際は、http通信

Squattingタイプドメイン名オリジナルTyposquatting同音異義語Bitsquatting同形異義語Combosquatting

youtube[.]comyoutubee[.]comyewtube[.]comyoutubg[.]comY0UTUBE[.]comyoutube-login.com

③ MicroservicesアーキテクチャへのDDoS●Microservicesアーキテクチャ＊1の特徴を悪用することで、効果的なアプリケーションDDoS攻撃を行う手法を、

Netflix社が明らかにした。・MicroservicesアーキテクチャのWebアプリケーションに対す

るDDoS攻撃の手法を、Netflix社がDEF CON 25で発表した。・Microservicesアーキテクチャでは、GATEWAY APIへ

の1リクエストが、Middle層、Backend層では、リクエストが数千倍に増幅される。

・多量のリクエストを要求する高負荷のAPIを特定し、攻撃することで、Middle層の停止や、これに依存するすべてのサービスの停止が可能

・Netflix社のケースでは、5分間の攻撃を2回実施し、GATEWAYリクエストの80%でエラーが発生

・EDGE の WAF では、API リクエストの増幅度が不明なため、検知困難

●オンライン登録サイト参照：https://spectrum.ieee.org/tech-talk/

telecom/security/new-report-suggests-its-surprisingly-easy-to-tamper-with-online-voter-registration-rolls

●公開された虚偽アカウント参照：https://democrats-intelligence.house.gov/

uploadedfiles/exhibit_b.pdf

54


2


＊1 複数の小さなサービスを組み合わせて、単一のアプリケーションを構築する手法

＊2 消費者の情報を収集し、販売する企業。名簿屋

●Web上で有権者情報を変更可能な州（オレンジ色で表記）参照：https://techscience.org/a/2017090601/

●SRスクリプト使用サイト（一部）参照：https://webtransparency.cs.princeton.edu/

no_boundaries/session_replay_sites.html

●Microservicesアーキテクチャ例参照：https://medium.com/netflix-techblog/

starting-the-avalanche-640e69b14a06

●Squattingタイプの比較

④ オンライン上で有権者情報の改ざん●ダークウェブやデータブローカー＊2から入手した個人情報を用いて有権者情報を書きかえる攻撃のコストと、

選挙への影響度についての研究が発表された。・米ハーバード大学の研究者が、米国各州の有権者情報をオンラインで

本人に成りすまして改ざんする攻撃の現実性について2017年9月6日に発表した。

・35の州とワシントンD.C.では、有権者の登録情報をWeb上で変更可能・有権者情報を変更する際、本人確認用に必要な情報は州に

よって異なるが、氏名、生年月日、住所、社会保障番号、運転免許証番号の組み合わせが多い。

・これらの個人情報は、政府機関（選挙事務所）、データブローカー、ダークウェブ市場から無償または有償で入手できる。

・登録情報を削除または住所変更により投票を無効化したり、本人に成りすまして不在者投票を行うことが可能となる。

・有権者情報登録サイトのCAPTCHA回避および処理を自動化するプログラムを作成し、州ごとに情報の書き換えに要する時間とコストを算出

・前提として、全体投票数の1％でもコントロールできれば、選挙結果に大きな影響を与えることが可能

・35の州とD.C.の1%の有権者情報を書き換えるための現実的なコストは必要な情報の入手先（政府機関／データブローカー／ダークウェブ）により、10,081 USD から 24,926 USDと算出された。

・州単位での1％の有権者情報を書き換えるコストは、最低でアラスカ州の1 USDから、最高でイリノイ州の1,020 USD

・有権者情報の改ざんを防ぐために、研究者らは以下の対策を求めている。・登録情報の変更の際、公的機関による審査・有権者情報サイトの訪問者を記録し、同一のユーザによる

複数の有権者情報の変更を防ぐ。・サイト上での変更履歴を保存し、不正操作に気付いた際には

いつでも元に戻せるようにする。

④ オンラインでの情報操作サービス●オンラインで偽ニュースの拡散やSNSの虚偽アカウントからの投稿により情報操作を行う業者が存在し、

闇市場ではビジネスモデルとして成立されつつある。・ロシアの「トロール（荒らし）工場」が所有していたTwitterアカウントが

公開・米大統領選挙へのロシア介入に関する調査が進む中、サンクトペテ

ルブルクのオンライン荒らし業者のものとして停止された2,752件の虚偽アカウントが、下院情報特別委員会のサイトで2017年11月1日に公開された。

・偽ニュースや過激な発言の拡散に用いられ、多くのメディアに「ネットの声」として取り上げられることで選挙戦に影響を与えた。

・オルタナ右翼の米国人女性として7万人のフォロワーを獲得していたJenna Abramsのアカウントも含まれる。

・その他、米国内のローカルメディアを装ったアカウントや、トランプ氏やクリントン氏ならびに両党の関係者をかたるアカウント、人種差別を訴える人権主義者のアカウントなどが、公開されたTwitterアカウントに含まれている。

新しい脅威

①Combosquattingの流行②セッション・リプレイ③MicroservicesアーキテクチャへのDDoS④オンライン上で有権者情報の改ざん⑤オンラインでの情報操作サービス

① Combosquattingの流行●複数語句をつなげたドメインでフィッシングなどを行う攻撃Combosquattingは、年々増加しており、現行の

セキュリティ対策では対処できていないと見られる。・ジョージア工科大学の研究者らが、Combosquattingを対象とした

初の大規模な実証実験を実施し、その結果をACM CCS 2017にて報告した。

・2011年からの6年間に及ぶ4,680億個のDNSレコードを収集・調査・268ドメインを装う270万のCombosquattingドメインを発見・Combosquattingドメインは、Typosquattingの100倍以上で

年々増加・6割のCombosquattingドメインが3年以上稼働

② セッション・リプレイ●「セッション・リプレイ（以下、SR）」を動作させているサイトには機微情報の漏えいリスクが存在することが

明らかになった。・セッション・リプレイはマーケティング情報の収集のためサイト運営者

が訪問者の動作を記録する手法・サイト訪問者のキー入力、マウスの動きなどのデータが収集される。

・米プリンストン大学がSRの実態を調査し、2017年11月15日に発表した。・調査対象はSRベンダ7種（Yandex社、 FullStory社、 Hotjar社ほか）・Alexaトップ50,000サイト中482サイトで使用されていた。・指摘した脅威

・記録されたデータは、外部サーバに送信される。・記録されたデータには、機微情報も含まれる。・レンダリングされたサイト・コンテンツも収集される。・データを記録する際にはhttps通信が使われるが、実際に動作

がリプレイされる際は、http通信

Squattingタイプドメイン名オリジナルTyposquatting同音異義語Bitsquatting同形異義語Combosquatting

youtube[.]comyoutubee[.]comyewtube[.]comyoutubg[.]comY0UTUBE[.]comyoutube-login.com

③ MicroservicesアーキテクチャへのDDoS●Microservicesアーキテクチャ＊1の特徴を悪用することで、効果的なアプリケーションDDoS攻撃を行う手法を、

Netflix社が明らかにした。・MicroservicesアーキテクチャのWebアプリケーションに対す

るDDoS攻撃の手法を、Netflix社がDEF CON 25で発表した。・Microservicesアーキテクチャでは、GATEWAY APIへ

の1リクエストが、Middle層、Backend層では、リクエストが数千倍に増幅される。

・多量のリクエストを要求する高負荷のAPIを特定し、攻撃することで、Middle層の停止や、これに依存するすべてのサービスの停止が可能

・Netflix社のケースでは、5分間の攻撃を2回実施し、GATEWAYリクエストの80%でエラーが発生

・EDGE の WAF では、API リクエストの増幅度が不明なため、検知困難

●オンライン登録サイト参照：https://spectrum.ieee.org/tech-talk/

telecom/security/new-report-suggests-its-surprisingly-easy-to-tamper-with-online-voter-registration-rolls

●公開された虚偽アカウント参照：https://democrats-intelligence.house.gov/

uploadedfiles/exhibit_b.pdf

55




・ダークウェブで虚偽情報の拡散サービスが活発化・Digital Shadows 社が、虚偽情報を拡散させるサービスを

ビジネスモデルとして成立させようとしている闇市場の動向を2017年11月16日に報告

・虚偽情報の拡散により、仮想通貨のレートを操作したり、商品価値を上下させる流れを、以下3つのステージに分類している。

・Creation 　ニュースサイトや企業サイトに成りすました偽サイト

を立ち上げたり、正規のサイトやSNSアカウントを乗っ取り、虚偽情報のコンテンツを作成

・Publication 　作成した虚偽情報をソーシャルメディアやフォーラム

へ投稿する。大量の投稿を行うボットの管理ツールも提供

・Circulation 　Twitterの「リツイート」やFacebookの「いいね!」、

レビューの投稿やWeb広告への出稿により、虚偽情報を拡散

●虚偽情報キャンペーン参照：https://www.digitalshadows.com/blog-and-research/

fake-news-is-more-than-a-political-battlecry/

事案のまとめ：その他の話題

・Vault 7によるリークで、多くのベンダが脆弱性対応を迫られた。・AWSなどの設定ミスによる漏えいが目立ち、委託先で発生したインシデントで、業務に大きな被害が生じる事例が

報告された。・子どもたちが使うテクノロジーやサービスにて、個人情報が過度に収集されていることが問題となった。・ICT技術の信頼性を支えるデジタル証明書自体の信頼性が低下している。・新しいサービス形態に対する脅威や、選挙に関連する脅威が話題となった。

56


2


・ダークウェブで虚偽情報の拡散サービスが活発化・Digital Shadows 社が、虚偽情報を拡散させるサービスを

ビジネスモデルとして成立させようとしている闇市場の動向を2017年11月16日に報告

・虚偽情報の拡散により、仮想通貨のレートを操作したり、商品価値を上下させる流れを、以下3つのステージに分類している。

・Creation 　ニュースサイトや企業サイトに成りすました偽サイト

を立ち上げたり、正規のサイトやSNSアカウントを乗っ取り、虚偽情報のコンテンツを作成

・Publication 　作成した虚偽情報をソーシャルメディアやフォーラム

へ投稿する。大量の投稿を行うボットの管理ツールも提供

・Circulation 　Twitterの「リツイート」やFacebookの「いいね!」、

レビューの投稿やWeb広告への出稿により、虚偽情報を拡散

●虚偽情報キャンペーン参照：https://www.digitalshadows.com/blog-and-research/

fake-news-is-more-than-a-political-battlecry/

事案のまとめ：その他の話題

・Vault 7によるリークで、多くのベンダが脆弱性対応を迫られた。・AWSなどの設定ミスによる漏えいが目立ち、委託先で発生したインシデントで、業務に大きな被害が生じる事例が

報告された。・子どもたちが使うテクノロジーやサービスにて、個人情報が過度に収集されていることが問題となった。・ICT技術の信頼性を支えるデジタル証明書自体の信頼性が低下している。・新しいサービス形態に対する脅威や、選挙に関連する脅威が話題となった。

3 NTT-CERTおよびNTTグループの活動第3章では、2017年度のNTT-CERTにおける活動について、セキュリティ事案対応状況と対応事例を中心に、外部団体での活動や脆弱性情報の収集分析活動についても報告する。

57

・「CONCERT」は、2018年2月に開設されたNTT-CERTの新たな活動拠点である。複数の建物に分散していた各チームを1カ所に集結させることで、チーム間の連携強化によるインシデント対応の効率化や情報収集・分析能力の向上を狙っている。協調・協力を意味するニックネームの「CONCERT」は、こうしたコンセプトに由来している。

・CONCERTの総面積は、約1,000平方メートル。チームの特性に応じてデザインされた専用ルームを持ち、厳密なセキュリティポリシーに基づいた入退室管理、監視カメラなどによるセキュリティ対策が実施されている。

●CONCERT入口 ●CONCERT内部

●専用ルーム①

●見学室

●専用ルーム②

1. CONCERT －Center of NTT-CERT 2. 問い合わせ・対応状況

194

2835

124

3469

190

4169

150

406

10

158

25117

6144467

17113547

8143157

295

3676

116

396

11

197

2446

245

151

13

4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月

4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月■ セキュリティアラート■ 一般公開前脆弱性ハンドリング■ インシデントハンドリング■ 技術問い合わせ■ 調査・情報収集

100

80

60

40

20

0

24

5

15

1

13

19

7

24

4

6

11

6

39

6

11

29

5

36

7

6

8

14

31

5

7

17

11

35

4

7

6

14

44

6

7

15

8

25

11

7

15

40

6

10

19

41

00

6

9

12

34

6

9

419

4

28

3

5

●主なトピック・　5月：WannaCryの世界的流行・　5月：WordPressにおけるOSコマンドインジェクションの脆弱性・　6月～ 7月：Petya亜種の世界的流行・　7月：Apache Struts2におけるStruts1プラグイン使用時の脆弱性・　8月：誤った経路配信によるインターネット接続障害・　9月：Apache Struts2 RESTプラグイン使用環境における脆弱性・10月：Tomcat HTTP PUTリクエスト受付可能環境における脆弱性・12月：Oracle WebLogic Serverに関する脆弱性・　1月：CPUの脆弱性 Spectre/Meltdown・　2月～ 3月：平昌冬季オリンピック、平昌冬季パラリンピック

58

NTTーCERTおよびNTTグループの活動

3

・「CONCERT」は、2018年2月に開設されたNTT-CERTの新たな活動拠点である。複数の建物に分散していた各チームを1カ所に集結させることで、チーム間の連携強化によるインシデント対応の効率化や情報収集・分析能力の向上を狙っている。協調・協力を意味するニックネームの「CONCERT」は、こうしたコンセプトに由来している。

・CONCERTの総面積は、約1,000平方メートル。チームの特性に応じてデザインされた専用ルームを持ち、厳密なセキュリティポリシーに基づいた入退室管理、監視カメラなどによるセキュリティ対策が実施されている。

●CONCERT入口 ●CONCERT内部

●専用ルーム①

●見学室

●専用ルーム②

1. CONCERT －Center of NTT-CERT 2. 問い合わせ・対応状況

194

2835

124

3469

190

4169

150

406

10

158

25117

6144467

17113547

8143157

295

3676

116

396

11

197

2446

245

151

13

4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月

4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月■ セキュリティアラート■ 一般公開前脆弱性ハンドリング■ インシデントハンドリング■ 技術問い合わせ■ 調査・情報収集

100

80

60

40

20

0

24

5

15

1

13

19

7

24

4

6

11

6

39

6

11

29

5

36

7

6

8

14

31

5

7

17

11

35

4

7

6

14

44

6

7

15

8

25

11

7

15

40

6

10

19

41

00

6

9

12

34

6

9

419

4

28

3

5

●主なトピック・　5月：WannaCryの世界的流行・　5月：WordPressにおけるOSコマンドインジェクションの脆弱性・　6月～ 7月：Petya亜種の世界的流行・　7月：Apache Struts2におけるStruts1プラグイン使用時の脆弱性・　8月：誤った経路配信によるインターネット接続障害・　9月：Apache Struts2 RESTプラグイン使用環境における脆弱性・10月：Tomcat HTTP PUTリクエスト受付可能環境における脆弱性・12月：Oracle WebLogic Serverに関する脆弱性・　1月：CPUの脆弱性 Spectre/Meltdown・　2月～ 3月：平昌冬季オリンピック、平昌冬季パラリンピック

59



＊ランサムウェア：ファイルの暗号化やコンピュータの操作をロックすることによって、端末を利用できないようにした後、元の状態に戻すことと引き換えに「身代金」を要求するマルウェアの一種

3. 対応事例

概要

NTT-CERTでは、日々 NTTグループ各社に対するサイバー攻撃に関連する情報や、風評被害につながる恐れのある情報などについて、パブリックモニタリング（以下、パブモニ）を行っている。特に、歴史的に重大な出来事が起こった日（特異日）や、国際的に注目の集まるイベント事（サミットやオリンピックなど）が行われる際には、特別に体制を強化し、パブモニを実施している。右の表は、2017 年度に NTT-CERT にて実施した、特別体制を敷いたパブモニ対応事案である。※個別に依頼されたパブモニ対応事案は除く

2017年度のパブモニ結果

NTT-CERTで実施した2017年度の特別体制パブモニの結果は、いずれもNTTグループ各社を狙う攻撃（予告）情報などは確認されなかった。また、日本国内においても目立った被害情報なども確認されなかった。特に、9.18満州事変に関しては、2012年～2014年はNTT-CERTでも多数の攻撃予告情報や実際にサイト改ざんなどの被害事例を確認していたが、2015年度以降は減少し、目立った攻撃や被害報告事例は確認されず、2017年度も同様であった。首相の靖国神社参拝に代表される政治的、歴史的な行為が近隣諸国を刺激し、それに連動してサイバー攻撃も増加する傾向にあるが、近年はそのような目立った近隣諸国との関係悪化につながるような行為などが少ないため、サイバー攻撃も少ないと思われる。

❶ 2017年度に実施したパブリックモニタリングについて

概要

・2017年5月12日頃より、ランサムウェア＊「WannaCry」が世界中に被害をもたらした。・日本国内にも被害が及び、NTTグループでもWannaCry（※亜種を含む）の感染が発覚した。NTT-CERTでは感染被疑

端末の調査やログ分析、情報提供などのインシデント対応支援を実施した。

❷ ランサムウェア「WannaCry」の感染拡大

年度事象

日時イベント

2012年度

2013年度

2014年度

2015年度

2017年6月

2017年8月

2017年9月

2017年11月

2017年12月

2018年2月

2018年2月～3月

2018年3月

NTT株主総会

8.15 終戦記念日

9.18 満州事変（柳条湖事件）

トランプ米国大統領来日

12.13 南京事件

2.22 竹島の日

平昌オリンピック・パラリンピック

三一節

●過去NTT-CERTで対応した9.18満州事変パブモニについての主な出来事

●NTT-CERTで実施した2017年度のパブリックモニタリング一覧

●WannaCryの身代金要求画面

●WannaCryの感染動作

●WannaCryにより暗号化されたファイル

●紅客連盟の掲示板に掲載されたターゲットリスト（2012年）

【参考】過去の9.18満州事変の主な出来事

【参考】過去の被害事例

中国の紅客連盟やbaidu（百度）の掲示板に、ターゲットリストとして、政府機関や金融機関、インフラ機関、教育機関など100件以上が掲載された。その中にNTTも含まれていたが、幸いNTTグループには影響はなかった。なお、NTT-CERTではNTTグループ外のホームページが約20件改ざんされていることを確認した。

9月18日の午前中に、突如として改ざん報告サイトzone-hやhack-cn、ハッカー集団1937cnのホームページなどに、多数の日本国内サイトの改ざん報告が掲載され、翌日19日まで続いた。2日間で合計約９0件ほど掲載され、その中でNTT-CERTでも約30件改ざんを確認した。

2013年度と同様に、9月18日と19日に約130件ほど国内サイトの改ざん報告がzone-hなどに掲載された。理由は不明だが工務店関連のサイト改ざん被害が目立った年であった。

9月18日に、中国紅客連盟とbaidu掲示板に、防衛省と靖国神社に対してDDoS攻撃を実施した旨とDDoS攻撃を呼びかける書き込みが掲載された。その書き込みの中に靖国神社のURLが掲載されていたのだが、正規サイトのURLではなかった。なお、防衛省と靖国神社のサイトともに正常にアクセス可能であった。

●実際にサイト改ざんの被害にあった事例１（2014年）

●実際にサイト改ざんの被害にあった事例2（2014年）

WannaCryとは？

感染動作の概要

・ランサムウェアの一種。直接インターネットに接続されたコンピュータや感染した端末から、リモートアクセスを通し脆弱性を持つコンピュータを探し出して感染を拡散させていく。

・感染するとファイルが暗号化され、身代金を要求する画面が表示される。・ハッカー集団「Shadow Brokers」により公開されたNSA（米国家安全保障局）のハッキングツール「DoublePulser（バックドアツール）」と「EternalBlue（エクスプロイトツール）」が利用された。 EternalBlueではWindows SMBv1の脆弱性（MS17-010）が用いられている。

・国内ではNTTグループ以外にも、重要インフラ事業者や製造業者などで被害が確認された。

①EternalBlueにより、MS17-010の脆弱性を利用した攻撃を受ける。②DoublePulser（バックドア）が配置され、バックドアを通してmssecsvc.exeが作成される。③mssecsvc.exeによりtasksch.exe（暗号化動作用実行ファイル）が作成される。④キルスイッチへの接続を試みた結果、接続不可の場合は動作が継続される。⑤感染拡散の動作に向け、mssecsvc.exeはmssecsvc2.0サービスを実行後、自分自身を再起動させる。⑥TCP 445ポートで通信可能な端末を探し出し、①と同様の方法で感染を拡散させる。⑦tasksch.exeは感染端末内の各ファイルを暗号化し、デスクトップ上に身代金要求画面を表示する。

被害拠点感染端末持込端末

mssecsvc.exe mssecsvc2.0サービス

①

②⑤

⑦

⑥

③

インターネット④

60


3

＊ランサムウェア：ファイルの暗号化やコンピュータの操作をロックすることによって、端末を利用できないようにした後、元の状態に戻すことと引き換えに「身代金」を要求するマルウェアの一種

3. 対応事例

概要

NTT-CERTでは、日々 NTTグループ各社に対するサイバー攻撃に関連する情報や、風評被害につながる恐れのある情報などについて、パブリックモニタリング（以下、パブモニ）を行っている。特に、歴史的に重大な出来事が起こった日（特異日）や、国際的に注目の集まるイベント事（サミットやオリンピックなど）が行われる際には、特別に体制を強化し、パブモニを実施している。右の表は、2017 年度に NTT-CERT にて実施した、特別体制を敷いたパブモニ対応事案である。※個別に依頼されたパブモニ対応事案は除く

2017年度のパブモニ結果

NTT-CERTで実施した2017年度の特別体制パブモニの結果は、いずれもNTTグループ各社を狙う攻撃（予告）情報などは確認されなかった。また、日本国内においても目立った被害情報なども確認されなかった。特に、9.18満州事変に関しては、2012年～2014年はNTT-CERTでも多数の攻撃予告情報や実際にサイト改ざんなどの被害事例を確認していたが、2015年度以降は減少し、目立った攻撃や被害報告事例は確認されず、2017年度も同様であった。首相の靖国神社参拝に代表される政治的、歴史的な行為が近隣諸国を刺激し、それに連動してサイバー攻撃も増加する傾向にあるが、近年はそのような目立った近隣諸国との関係悪化につながるような行為などが少ないため、サイバー攻撃も少ないと思われる。

❶ 2017年度に実施したパブリックモニタリングについて

概要

・2017年5月12日頃より、ランサムウェア＊「WannaCry」が世界中に被害をもたらした。・日本国内にも被害が及び、NTTグループでもWannaCry（※亜種を含む）の感染が発覚した。NTT-CERTでは感染被疑

端末の調査やログ分析、情報提供などのインシデント対応支援を実施した。

❷ ランサムウェア「WannaCry」の感染拡大

年度事象

日時イベント

2012年度

2013年度

2014年度

2015年度

2017年6月

2017年8月

2017年9月

2017年11月

2017年12月

2018年2月

2018年2月～3月

2018年3月

NTT株主総会

8.15 終戦記念日

9.18 満州事変（柳条湖事件）

トランプ米国大統領来日

12.13 南京事件

2.22 竹島の日

平昌オリンピック・パラリンピック

三一節

●過去NTT-CERTで対応した9.18満州事変パブモニについての主な出来事

●NTT-CERTで実施した2017年度のパブリックモニタリング一覧

●WannaCryの身代金要求画面

●WannaCryの感染動作

●WannaCryにより暗号化されたファイル

●紅客連盟の掲示板に掲載されたターゲットリスト（2012年）

【参考】過去の9.18満州事変の主な出来事

【参考】過去の被害事例

中国の紅客連盟やbaidu（百度）の掲示板に、ターゲットリストとして、政府機関や金融機関、インフラ機関、教育機関など100件以上が掲載された。その中にNTTも含まれていたが、幸いNTTグループには影響はなかった。なお、NTT-CERTではNTTグループ外のホームページが約20件改ざんされていることを確認した。

9月18日の午前中に、突如として改ざん報告サイトzone-hやhack-cn、ハッカー集団1937cnのホームページなどに、多数の日本国内サイトの改ざん報告が掲載され、翌日19日まで続いた。2日間で合計約９0件ほど掲載され、その中でNTT-CERTでも約30件改ざんを確認した。

2013年度と同様に、9月18日と19日に約130件ほど国内サイトの改ざん報告がzone-hなどに掲載された。理由は不明だが工務店関連のサイト改ざん被害が目立った年であった。

9月18日に、中国紅客連盟とbaidu掲示板に、防衛省と靖国神社に対してDDoS攻撃を実施した旨とDDoS攻撃を呼びかける書き込みが掲載された。その書き込みの中に靖国神社のURLが掲載されていたのだが、正規サイトのURLではなかった。なお、防衛省と靖国神社のサイトともに正常にアクセス可能であった。

●実際にサイト改ざんの被害にあった事例１（2014年）

●実際にサイト改ざんの被害にあった事例2（2014年）

WannaCryとは？

感染動作の概要

・ランサムウェアの一種。直接インターネットに接続されたコンピュータや感染した端末から、リモートアクセスを通し脆弱性を持つコンピュータを探し出して感染を拡散させていく。

・感染するとファイルが暗号化され、身代金を要求する画面が表示される。・ハッカー集団「Shadow Brokers」により公開されたNSA（米国家安全保障局）のハッキングツール「DoublePulser（バックドアツール）」と「EternalBlue（エクスプロイトツール）」が利用された。 EternalBlueではWindows SMBv1の脆弱性（MS17-010）が用いられている。

・国内ではNTTグループ以外にも、重要インフラ事業者や製造業者などで被害が確認された。

①EternalBlueにより、MS17-010の脆弱性を利用した攻撃を受ける。②DoublePulser（バックドア）が配置され、バックドアを通してmssecsvc.exeが作成される。③mssecsvc.exeによりtasksch.exe（暗号化動作用実行ファイル）が作成される。④キルスイッチへの接続を試みた結果、接続不可の場合は動作が継続される。⑤感染拡散の動作に向け、mssecsvc.exeはmssecsvc2.0サービスを実行後、自分自身を再起動させる。⑥TCP 445ポートで通信可能な端末を探し出し、①と同様の方法で感染を拡散させる。⑦tasksch.exeは感染端末内の各ファイルを暗号化し、デスクトップ上に身代金要求画面を表示する。

被害拠点感染端末持込端末

mssecsvc.exe mssecsvc2.0サービス

①

②⑤

⑦

⑥

③

インターネット④

61



＊ IoT機器XとYは同型の機器であり、OS、ライブラリ、各種ファイルをコピーして使用していた。

3. 対応事例　－　❷ ランサムウェア「WannaCry」の感染拡大

感染の確認方法背景

・IPAから「情報セキュリティ10大脅威2018」としてIoT機器関連がランクインしており、IoT機器に対する脅威が年々高まってきている。今後もより一層の注意が必要な状況である。

・「個人」の9位に「IoT機器の不適切な管理」・「組織」の7位に「IoT機器の脆弱性の顕在化」

・NTT-CERTでも「IoT機器」に関する問い合わせをいくつか対応している。その中でも昨今注目されている「サプライチェーン攻撃」と考えられる事案を紹介する。

❸ IoTを利用したサプライチェーン攻撃

概要

●通信ログの確認

●依頼までの流れ

●解析結果

●関連ファイルのスキャンと確認

・実行ファイルであるmssecsvc.exeのプロセス有無や動作を確認

・イベントログから関連サービスの動作状況を確認

対策方法

●端末で実施できる対策方法

●企業内ネットワーク環境で実施できる対策方法

●企業体制から実施できる対策方法

NTT-CERTへマルウェアの挙動および駆除方法の調査のためフォレンジック依頼を実施した。

マルウェアの機能・GoogleDNSサーバ（8.8.8.8と8.8.4.4）へのDNS通信機能・指定したプロセスをkill、また対応ファイルの削除機能・unameコマンドによる端末情報収集（カーネル名、ハードウェア名）する機能・機器起動時に、自己（マルウェア）を複製する機能

BIOSやホストOSへの影響や他ネットワークへの影響の可能性は低い。

検証環境お客さま環境インターネット

IoT機器X DNS 複数のネットワーク機器 IoT機器Y FW

③不審なDNSクエリ

④不審なファイルあり　ネットワークから切り離し②設定変更 ⑤ネットワークから

　切り離し

①大量トラフィック

・DNSのクエリログ：キルスイッチへの接続の有無※亜種にはキルスイッチへの接続を実施しないものも存在する。

・ファイアウォールのログ：インターネットまたは社内ネットワークからの不審なTCP445ポート接続の有無

※WannaCryのキルスイッチとは？WannaCry自身の動作を停止する条件。設定されたドメインへ接続できた場合、WannaCryはファイル暗号化や身代金要求画面の表示などの動作を停止する。

・IT資産の管理と把握の徹底・セキュリティアップデートの管理・ウイルス対策製品の管理・PC端末やUSBの持込管理

・インシデント発生時の対応手順や社内エスカレーションの事前準備

・ファイアウォールによる不審なTCP445ポート接続のブロック・定期的なデータバックアップの取得、およびネットワークに常時接続されていない装置へのバックアップ保存・ネットワークセグメントの適切な分離

・セキュリティパッチ（MS07-010）の適用・利用されなくなったTCP445ポートの無効化・ウイルス対策ソフトのパターンファイルの最新化

①A社の検証環境において、DNSサーバへの大量トラフィックを検知した。②IoT機器Xからの発信であったため、一時的にIoT機器自体の設定変更で対応した。③後日、別の環境でIoT機器Y*から不審なDNSクエリが発生していることを検知した。④確認を進めた結果、不審なファイルを複数発見したため、ネットワークから物理的に切り離した。⑤IoT機器Yと関連のあるIoT機器Xもネットワークから物理的に切り離した。

・該当の不審なファイルを複数の市販アンチウィルスソフトでスキャンしたところ、DDoS攻撃を行うマルウェアと判定した。

・IoT機器やネットワーク機器のログから、実際に危険なサイトと通信が成功していることが分かった。・IoT機器Yについては通信が成功していないが、IoT機器Xについては通信が成功していた。　ログから分かる範囲では、情報漏えいの可能性は低いが外部から制御可能であった可能性が高い。

・マルウェアの作成日時やヒアリング結果から、IoT機器の納品前から混入していた可能性が高いことが分かった。・DDoS以外にワーム機能による他機器への感染やダウンローダ機能がないかマルウェアの機能を調査した。

他閉域内ネットワーク

62


3

＊ IoT機器XとYは同型の機器であり、OS、ライブラリ、各種ファイルをコピーして使用していた。

3. 対応事例　－　❷ ランサムウェア「WannaCry」の感染拡大

感染の確認方法背景

・IPAから「情報セキュリティ10大脅威2018」としてIoT機器関連がランクインしており、IoT機器に対する脅威が年々高まってきている。今後もより一層の注意が必要な状況である。

・「個人」の9位に「IoT機器の不適切な管理」・「組織」の7位に「IoT機器の脆弱性の顕在化」

・NTT-CERTでも「IoT機器」に関する問い合わせをいくつか対応している。その中でも昨今注目されている「サプライチェーン攻撃」と考えられる事案を紹介する。

❸ IoTを利用したサプライチェーン攻撃

概要

●通信ログの確認

●依頼までの流れ

●解析結果

●関連ファイルのスキャンと確認

・実行ファイルであるmssecsvc.exeのプロセス有無や動作を確認

・イベントログから関連サービスの動作状況を確認

対策方法

●端末で実施できる対策方法

●企業内ネットワーク環境で実施できる対策方法

●企業体制から実施できる対策方法

NTT-CERTへマルウェアの挙動および駆除方法の調査のためフォレンジック依頼を実施した。

マルウェアの機能・GoogleDNSサーバ（8.8.8.8と8.8.4.4）へのDNS通信機能・指定したプロセスをkill、また対応ファイルの削除機能・unameコマンドによる端末情報収集（カーネル名、ハードウェア名）する機能・機器起動時に、自己（マルウェア）を複製する機能

BIOSやホストOSへの影響や他ネットワークへの影響の可能性は低い。

検証環境お客さま環境インターネット

IoT機器X DNS 複数のネットワーク機器 IoT機器Y FW

③不審なDNSクエリ

④不審なファイルあり　ネットワークから切り離し②設定変更 ⑤ネットワークから

　切り離し

①大量トラフィック

・DNSのクエリログ：キルスイッチへの接続の有無※亜種にはキルスイッチへの接続を実施しないものも存在する。

・ファイアウォールのログ：インターネットまたは社内ネットワークからの不審なTCP445ポート接続の有無

※WannaCryのキルスイッチとは？WannaCry自身の動作を停止する条件。設定されたドメインへ接続できた場合、WannaCryはファイル暗号化や身代金要求画面の表示などの動作を停止する。

・IT資産の管理と把握の徹底・セキュリティアップデートの管理・ウイルス対策製品の管理・PC端末やUSBの持込管理

・インシデント発生時の対応手順や社内エスカレーションの事前準備

・ファイアウォールによる不審なTCP445ポート接続のブロック・定期的なデータバックアップの取得、およびネットワークに常時接続されていない装置へのバックアップ保存・ネットワークセグメントの適切な分離

・セキュリティパッチ（MS07-010）の適用・利用されなくなったTCP445ポートの無効化・ウイルス対策ソフトのパターンファイルの最新化

①A社の検証環境において、DNSサーバへの大量トラフィックを検知した。②IoT機器Xからの発信であったため、一時的にIoT機器自体の設定変更で対応した。③後日、別の環境でIoT機器Y*から不審なDNSクエリが発生していることを検知した。④確認を進めた結果、不審なファイルを複数発見したため、ネットワークから物理的に切り離した。⑤IoT機器Yと関連のあるIoT機器Xもネットワークから物理的に切り離した。

・該当の不審なファイルを複数の市販アンチウィルスソフトでスキャンしたところ、DDoS攻撃を行うマルウェアと判定した。

・IoT機器やネットワーク機器のログから、実際に危険なサイトと通信が成功していることが分かった。・IoT機器Yについては通信が成功していないが、IoT機器Xについては通信が成功していた。　ログから分かる範囲では、情報漏えいの可能性は低いが外部から制御可能であった可能性が高い。

・マルウェアの作成日時やヒアリング結果から、IoT機器の納品前から混入していた可能性が高いことが分かった。・DDoS以外にワーム機能による他機器への感染やダウンローダ機能がないかマルウェアの機能を調査した。

他閉域内ネットワーク

63



＊ IoT セキュリティガイドライン ver 1.0 －総務省　http://www.soumu.go.jp/main_content/000428393.pdf

3. 対応事例　－　❸ IoTを利用したサプライチェーン攻撃

影響、復旧方法、対策インシデントの概要

フォレンジック調査の結果

❹ 不審メールに添付されていたOfficeファイルを開いてしまった

●影響

●復旧方法以下に記載の復旧方法についてはNTT-CERTとしては推奨案として提示しており、有効性やその結果については適宜依頼元で確認していただいている。

・対象の複数のIoT機器に対して、アンチウイルスチェックソフトによるマルウェア駆除の実施・外部との通信が確認できなかった端末（IoT機器Y）については以下実施で経過観察する。

・アンチウイルスソフトによるマルウェアが駆除できること・DNS（8.8.8.8, 8.8.4.4）への通信がないこと・上記を満たさなければOS自体の再構築を実施する。

・外部との通信が確認できた端末（IoT機器X）については以下実施予定である。・OS自体の再構築を実施する、もしくは新規に別機器を調達する。・アンチウイルスソフトによるフルスキャンを実施し問題がでないことを確認する。

●対策今回の攻撃はIoT機器に対するサプライチェーン攻撃の一種である。今後の対策を考える上では、開発者／サプライヤーと利用者ごとに以下の対策を参考にリスクアセスメントを実施することを推奨する。また、総務省が発行しているガイドライン＊を確認することを推奨する。

開発者／サプライヤー・セキュリティ対策が施されている環境での開発・アンチウイルスソフトによるチェック・脆弱性診断

利用者・検証環境での動作確認・アンチウイルスソフトによるチェック・脆弱性診断・IoT機器を利用するサービス全体としてセキュリティを確保（通信の制御など）

今回届いた添付ファイル付きの不審メール【日付】　2018年6月7日【件名】　請求書を添付【本文】　なし【添付ファイル】　御請求書.xls

Excel内に何の記述もなし

外注先

インストーラ

マルウェア感染マルウェア感染発注先会社B

IoT機器

A社

今回の調査範囲

IoT機器

機器にインストール他複数のIoT機器にコピー

納品納品納品納品

A社検証環境

お客さま環境

○○環境

保管

①不審なメール「件名：請求書を添付」（本文なし）に添付されていたOfficeファイル（請求書.xls）を端末に保存し、ダブルクリックして開いてしまった。また、ファイルを開いた際にマクロを有効にしてしまった。

②ファイルを開いてもExcelに何も記入されていないこと、メールの本文が何もないことなどから、怪しいと判断およそ5分後に端末をネットワークから切り離した。

③ネットワークから切り離した状態で、端末にインストールされているアンチウイルスソフトでフルスキャンを実施しかし、何も検知されなかった。

④端末が本当にウイルスに感染していないのか、もし感染していた場合には、ほかの端末へも感染してしまうのかどうかが不明NTT-CERTに端末のフォレンジックを依頼し、その後の対応を相談した。

①添付ファイルのマクロを有効にするとどうなるか？メールに添付されていたのはExcelファイルで、開くとマクロを有効にするように促される。有効にすると勝手に不正なサイトにアクセスされ、バンキングマルウェア（URSNIF）のダウンロードが開始される。

②添付ファイルのマルウェアをアンチウイルスで必ず検知できるか？4種類のアンチウイルス製品でスキャンを実施したところ、その内の1つしか検知しなかった。検知したマルウェアはW97m.Downloader。製品によっては検知しないものもあるため、複数の製品でスキャンできることが望ましい。

③端末はマルウェアに感染していたのか？フォレンジック調査の結果、今回の場合はバンキングマルウェア（URSNIF）には感染していなかった。ファイルを展開した後、早めにネットワークから切り離したのが功を奏した。

IoT機器

IoT機器

・その後の調査でインストーラ自体にマルウェアが元々存在していたことが判明した。・感染原因は外注先で実施している納品前試験において、セキュリティ対策の施されていない状態での一般回線への接続試験と推測している。

・各会社間での納品時にウイルスチェックをしていなかったことから、すり抜けたと見られる。・納品後A社で複数のIoT機器にコピーしたため、事象発覚時のIoT機器X、Y以外にも影響があると考えられる環境が複数あることが判明した。

64


3

＊ IoT セキュリティガイドライン ver 1.0 －総務省　http://www.soumu.go.jp/main_content/000428393.pdf

3. 対応事例　－　❸ IoTを利用したサプライチェーン攻撃

影響、復旧方法、対策インシデントの概要

フォレンジック調査の結果

❹ 不審メールに添付されていたOfficeファイルを開いてしまった

●影響

●復旧方法以下に記載の復旧方法についてはNTT-CERTとしては推奨案として提示しており、有効性やその結果については適宜依頼元で確認していただいている。

・対象の複数のIoT機器に対して、アンチウイルスチェックソフトによるマルウェア駆除の実施・外部との通信が確認できなかった端末（IoT機器Y）については以下実施で経過観察する。

・アンチウイルスソフトによるマルウェアが駆除できること・DNS（8.8.8.8, 8.8.4.4）への通信がないこと・上記を満たさなければOS自体の再構築を実施する。

・外部との通信が確認できた端末（IoT機器X）については以下実施予定である。・OS自体の再構築を実施する、もしくは新規に別機器を調達する。・アンチウイルスソフトによるフルスキャンを実施し問題がでないことを確認する。

●対策今回の攻撃はIoT機器に対するサプライチェーン攻撃の一種である。今後の対策を考える上では、開発者／サプライヤーと利用者ごとに以下の対策を参考にリスクアセスメントを実施することを推奨する。また、総務省が発行しているガイドライン＊を確認することを推奨する。

開発者／サプライヤー・セキュリティ対策が施されている環境での開発・アンチウイルスソフトによるチェック・脆弱性診断

利用者・検証環境での動作確認・アンチウイルスソフトによるチェック・脆弱性診断・IoT機器を利用するサービス全体としてセキュリティを確保（通信の制御など）

今回届いた添付ファイル付きの不審メール【日付】　2018年6月7日【件名】　請求書を添付【本文】　なし【添付ファイル】　御請求書.xls

Excel内に何の記述もなし

外注先

インストーラ

マルウェア感染マルウェア感染発注先会社B

IoT機器

A社

今回の調査範囲

IoT機器

機器にインストール他複数のIoT機器にコピー

納品納品納品納品

A社検証環境

お客さま環境

○○環境

保管

①不審なメール「件名：請求書を添付」（本文なし）に添付されていたOfficeファイル（請求書.xls）を端末に保存し、ダブルクリックして開いてしまった。また、ファイルを開いた際にマクロを有効にしてしまった。

②ファイルを開いてもExcelに何も記入されていないこと、メールの本文が何もないことなどから、怪しいと判断およそ5分後に端末をネットワークから切り離した。

③ネットワークから切り離した状態で、端末にインストールされているアンチウイルスソフトでフルスキャンを実施しかし、何も検知されなかった。

④端末が本当にウイルスに感染していないのか、もし感染していた場合には、ほかの端末へも感染してしまうのかどうかが不明NTT-CERTに端末のフォレンジックを依頼し、その後の対応を相談した。

①添付ファイルのマクロを有効にするとどうなるか？メールに添付されていたのはExcelファイルで、開くとマクロを有効にするように促される。有効にすると勝手に不正なサイトにアクセスされ、バンキングマルウェア（URSNIF）のダウンロードが開始される。

②添付ファイルのマルウェアをアンチウイルスで必ず検知できるか？4種類のアンチウイルス製品でスキャンを実施したところ、その内の1つしか検知しなかった。検知したマルウェアはW97m.Downloader。製品によっては検知しないものもあるため、複数の製品でスキャンできることが望ましい。

③端末はマルウェアに感染していたのか？フォレンジック調査の結果、今回の場合はバンキングマルウェア（URSNIF）には感染していなかった。ファイルを展開した後、早めにネットワークから切り離したのが功を奏した。

IoT機器

IoT機器

・その後の調査でインストーラ自体にマルウェアが元々存在していたことが判明した。・感染原因は外注先で実施している納品前試験において、セキュリティ対策の施されていない状態での一般回線への接続試験と推測している。

・各会社間での納品時にウイルスチェックをしていなかったことから、すり抜けたと見られる。・納品後A社で複数のIoT機器にコピーしたため、事象発覚時のIoT機器X、Y以外にも影響があると考えられる環境が複数あることが判明した。

65



＊ダークウェブ：特定のソフトウェアを用いてアクセスが可能になるWebサイト。トラフィックが匿名化されている性質もあり、違法な取引が行われているWebサイトも存在している。

３. 対応事例　－　❹ 不審メールに添付されていたOfficeファイルを開いてしまった

バンキングマルウェアURSNIFとははじめに

❺ クレデンシャル情報流失について

・ネットバンキングやクレジットカード情報の窃取、不正送金などを目的としたマルウェア・主な感染方法はメールに添付されたダウンローダー・Officeファイルのマクロを有効にするとマルウェアをダウンロードして感染する。類似のマルウェアにDreambotがある。

●URSNIF（アースニフ）とは？ ●概要

●「怪しいメールは開かない！」というのは基本だが・・・。

MS Officeファイルのマクロを有効化するとマルウェアの本体がダウンロードされてしまう。

メールアドレスとパスワードらしき情報が流失している

WordやExcelに用意されているセキュリティセンターの設定でマクロを強制的に無効にすることによって、URSNIFへの感染を防ぐことができる。

[ ファイル ]→[ オプション ]→左ペインの [ セキュリティセンター ]→右ペインの [ セキュリティセンターの設定 ]→左ペインの[マクロの設定]→右ペインでマクロの設定を無効にする。

大量のクレデンシャル情報がダークウェブ＊にて発見されたという情報があり調査した結果、約40GBのクレデンシャル情報をWebサイトにて発見した。中身を調査した結果、NTTグループ社員のクレデンシャル情報も含まれていることを確認できた。

流失したクレデンシャル情報について

我々が実際に入手したクレデンシャル情報は、コミュニティサイトで誰でも入手可能であり、約数億件のメールアドレスとパスワードと思われる情報が確認できた。その中からNTTグループ社員のクレデンシャル情報は、以下の件数が確認できた。・流失を確認したNTTグループ企業：10社・NTT社員のクレデンシャル情報数：1,065件

上記の特徴により過去に流失したファイル群を統合したファイルが今回の流失したファイルと想定できる。

●対応NTTグループ社員がWebサービスなどに会社情報を登録した際にクレデンシャル情報が流失したと考えられ、関連するNTTグループに周知を実施した。

対策

●自分のクレデンシャル情報を流失しないためには・不必要なサービスの登録は行わない。・個人情報を入力するWebサイトでは安全の確認を十分に行う。

●自分のクレデンシャル情報が漏れてしまったら・すぐにパスワードの変更を実施する。・クレジットカードなどの情報が流失した場合は速やかに停止処理を行う。・情報流失後は標的型メールのターゲットにされてしまう可能性があるので、日々のメールチェックに十分に注意する。

●今回流失したファイルの特徴・過去に流失したクレデンシャル情報が含まれていることを確認できた。・流失したファイルの中に「impoted.log」というログがあり、過去に流失したと思われる多数のサービス名を統合して

いる挙動を確認できた。

●実際に流失したファイルの一部

●impoted.logの一部

●ファイルの構成

メールアドレスがアルファベット順にソートされており、悪用しやすファイルになっている

過去に流失したと思われるファイルが実際にログとして確認できる。

66


3

＊ダークウェブ：特定のソフトウェアを用いてアクセスが可能になるWebサイト。トラフィックが匿名化されている性質もあり、違法な取引が行われているWebサイトも存在している。

３. 対応事例　－　❹ 不審メールに添付されていたOfficeファイルを開いてしまった

バンキングマルウェアURSNIFとははじめに

❺ クレデンシャル情報流失について

・ネットバンキングやクレジットカード情報の窃取、不正送金などを目的としたマルウェア・主な感染方法はメールに添付されたダウンローダー・Officeファイルのマクロを有効にするとマルウェアをダウンロードして感染する。類似のマルウェアにDreambotがある。

●URSNIF（アースニフ）とは？ ●概要

●「怪しいメールは開かない！」というのは基本だが・・・。

MS Officeファイルのマクロを有効化するとマルウェアの本体がダウンロードされてしまう。

メールアドレスとパスワードらしき情報が流失している

WordやExcelに用意されているセキュリティセンターの設定でマクロを強制的に無効にすることによって、URSNIFへの感染を防ぐことができる。

[ ファイル ]→[ オプション ]→左ペインの [ セキュリティセンター ]→右ペインの [ セキュリティセンターの設定 ]→左ペインの[マクロの設定]→右ペインでマクロの設定を無効にする。

大量のクレデンシャル情報がダークウェブ＊にて発見されたという情報があり調査した結果、約40GBのクレデンシャル情報をWebサイトにて発見した。中身を調査した結果、NTTグループ社員のクレデンシャル情報も含まれていることを確認できた。

流失したクレデンシャル情報について

我々が実際に入手したクレデンシャル情報は、コミュニティサイトで誰でも入手可能であり、約数億件のメールアドレスとパスワードと思われる情報が確認できた。その中からNTTグループ社員のクレデンシャル情報は、以下の件数が確認できた。・流失を確認したNTTグループ企業：10社・NTT社員のクレデンシャル情報数：1,065件

上記の特徴により過去に流失したファイル群を統合したファイルが今回の流失したファイルと想定できる。

●対応NTTグループ社員がWebサービスなどに会社情報を登録した際にクレデンシャル情報が流失したと考えられ、関連するNTTグループに周知を実施した。

対策

●自分のクレデンシャル情報を流失しないためには・不必要なサービスの登録は行わない。・個人情報を入力するWebサイトでは安全の確認を十分に行う。

●自分のクレデンシャル情報が漏れてしまったら・すぐにパスワードの変更を実施する。・クレジットカードなどの情報が流失した場合は速やかに停止処理を行う。・情報流失後は標的型メールのターゲットにされてしまう可能性があるので、日々のメールチェックに十分に注意する。

●今回流失したファイルの特徴・過去に流失したクレデンシャル情報が含まれていることを確認できた。・流失したファイルの中に「impoted.log」というログがあり、過去に流失したと思われる多数のサービス名を統合して

いる挙動を確認できた。

●実際に流失したファイルの一部

●impoted.logの一部

●ファイルの構成

メールアドレスがアルファベット順にソートされており、悪用しやすファイルになっている

過去に流失したと思われるファイルが実際にログとして確認できる。

67



３. 対応事例

概要 Coinhiveの問題点

❻ Coinhiveについて

ユーザのCPUパワーを消費する。オプトインとオプトアウトの2種類のスクリプトが提供されているが、多くの場合オプトアウトが採用され設置されている。そのため閲覧者にとっては知らない間に電力を消費され、PCの動作が重くなるなどの被害を被ることになる。

Coinhiveの改良型

・CPUパワーの使用率を抑えることでユーザに気付かれにくくするタイプが出現・ポップアップウィンドウを使用することで元サイトのタブを閉じても生き残ってしまうタイプも出現

インシデント対応事例

NTTグループ内より、アンチウイルスソフトがとあるサイトへのアクセスをブロックしたとのことで、そのURLの調査依頼があった。以下の調査結果を報告している。

・マイニングによりCPUリソースが占有され、その他の動作がほぼできないほどの影響が見られた。・Coinhiveによるマイニング以外の不振なものが見つからなかった。・JavaScriptで作られているためブラウザを閉じれば動作は停止し、ブラウザを再起動しても問題ないことを確認

・CoinhiveはWebサイトにJavaScriptを埋め込むことでサイト閲覧者のCPUパワーを使い、仮想通貨のMoneroを採掘させることにより収益を生むサービス

・世界最大のトレントサイト「The Pirate Bay」がその新たな収益化方法としてひそかに導入していたことでその存在が知られるようになり、スターバックス（AU）のWi-Fiがハイジャックされ、そこに埋め込まれる事件により一気に有名になった。

・Coinhiveのトップページには「コンテンツ閲覧中にその対価として」「特定のコンテンツに遷移する前に一定量の採掘をさせることでアクセス制御」「投稿前に採掘させることでスパム抑制」など、さまざまな応用ができると書かれている。

・しかし、実際にサービスの一部として採用されたという話がなくはないが、その話題で盛り上がることはあまりなく、大手サイトが改ざんされ、Coinhiveのスクリプトが埋め込まれたという話題の方が目立っている。

Coinhiveのしくみ

・サイト運営者はCoinhiveのスクリプトをWebページに設置する。

・ブラウザはスクリプトに従いCoinhiveへアクセスし採掘するデータを受け取る。

・ブラウザは採掘結果をCoinhiveへ送信する。・Coinhiveは採掘量に応じてサイト運営者へ報酬を支払う。

●Coinhiveのしくみ

Coinhiveをブロック

・単純にCoinhiveへの通信をブロック→プロキシを経由するスクリプトにすることで回避可能

で多くのプロキシが実際に立てられている。・スクリプト自体を動かさないようにするブロッカーの方

が筋としては良さそう。・アンチウイルスソフトは多くの場合ブロックできている

模様

●Coinhiveをブロック

Coinhive

Coinhive設置

報酬採掘指示結果送信

サイト運営者スクリプト設置者

サイト閲覧者

Coinhive


サイト閲覧者

Coinhive proxy

68


3

３. 対応事例

概要 Coinhiveの問題点

❻ Coinhiveについて

ユーザのCPUパワーを消費する。オプトインとオプトアウトの2種類のスクリプトが提供されているが、多くの場合オプトアウトが採用され設置されている。そのため閲覧者にとっては知らない間に電力を消費され、PCの動作が重くなるなどの被害を被ることになる。

Coinhiveの改良型

・CPUパワーの使用率を抑えることでユーザに気付かれにくくするタイプが出現・ポップアップウィンドウを使用することで元サイトのタブを閉じても生き残ってしまうタイプも出現

インシデント対応事例

NTTグループ内より、アンチウイルスソフトがとあるサイトへのアクセスをブロックしたとのことで、そのURLの調査依頼があった。以下の調査結果を報告している。

・マイニングによりCPUリソースが占有され、その他の動作がほぼできないほどの影響が見られた。・Coinhiveによるマイニング以外の不振なものが見つからなかった。・JavaScriptで作られているためブラウザを閉じれば動作は停止し、ブラウザを再起動しても問題ないことを確認

・CoinhiveはWebサイトにJavaScriptを埋め込むことでサイト閲覧者のCPUパワーを使い、仮想通貨のMoneroを採掘させることにより収益を生むサービス

・世界最大のトレントサイト「The Pirate Bay」がその新たな収益化方法としてひそかに導入していたことでその存在が知られるようになり、スターバックス（AU）のWi-Fiがハイジャックされ、そこに埋め込まれる事件により一気に有名になった。

・Coinhiveのトップページには「コンテンツ閲覧中にその対価として」「特定のコンテンツに遷移する前に一定量の採掘をさせることでアクセス制御」「投稿前に採掘させることでスパム抑制」など、さまざまな応用ができると書かれている。

・しかし、実際にサービスの一部として採用されたという話がなくはないが、その話題で盛り上がることはあまりなく、大手サイトが改ざんされ、Coinhiveのスクリプトが埋め込まれたという話題の方が目立っている。

Coinhiveのしくみ

・サイト運営者はCoinhiveのスクリプトをWebページに設置する。

・ブラウザはスクリプトに従いCoinhiveへアクセスし採掘するデータを受け取る。

・ブラウザは採掘結果をCoinhiveへ送信する。・Coinhiveは採掘量に応じてサイト運営者へ報酬を支払う。

●Coinhiveのしくみ

Coinhiveをブロック

・単純にCoinhiveへの通信をブロック→プロキシを経由するスクリプトにすることで回避可能

で多くのプロキシが実際に立てられている。・スクリプト自体を動かさないようにするブロッカーの方

が筋としては良さそう。・アンチウイルスソフトは多くの場合ブロックできている

模様

●Coinhiveをブロック

Coinhive

Coinhive設置

報酬採掘指示結果送信


サイト閲覧者

Coinhive


サイト閲覧者

Coinhive proxy

69



外部団体でのNTT-CERTの活動状況

●NTT-CERTの主な活動の場所・国内では日本シーサート協議会（NCA）、日本セキュリティオペレーション事業者協議会（ISOG-J）に参加・国外では、FIRST（The Forum of Incident Response and Security Teams）、NCFTA（National Cyber-Forensics

and Training Alliance）に参加

国内：日本シーサート協議会

●日本シーサート協議会（NCA：Nippon CSIRT Association）・日本企業のCSIRTコミュニティ・井上吉隆が代表を担当・加盟継続、各種活動の推進に貢献

●NTT-CERTが担当する主なポスト・杉浦芳樹運営委員・神谷造セキュリティレポーティングワーキンググループ（WG）主査・神谷造 Honeynet Project Japan Chapter WG主査・小村誠一 CSIRT評価モデル検討WG主査・富居姿寿子 TRANSITS Workshop講師

●NTT-CERTが参加するNCAのワーキンググループ（WG）／サブワーキンググループ（SWG）WG/SGWの説明出典：http://www.nca.gr.jp/activity/index.html・シーサート課題検討SWG（旧：組織内シーサート課題検討WG）[2007年9月～ ]

シーサート協議会のメンバー、およびこれから組織内シーサートの構築や運用を考えている方々との勉強会やディスカッションを通じ、組織内シーサートの構築や運用に必要な課題を抽出しています。

・脅威情報共有WG｠[2007年9月～ ]緊密かつ信頼関係のあるシーサート間においてコンピュータセキュリティインシデントに関する脅威情報を共有する活動を進めています。

・インシデント情報活用フレームワーク検討WG｠[2008年7月～ ]脆弱性対策情報やインシデント情報を活用（共有、交換、公開）するためのフレームワークを検討する。具体的には、適切な素材を取り上げ、手順（共有、交換、公開など）の整備を試みています。

・シーサートWG｠[2012年7月～ ]シーサートWGは、加盟チームと加盟を希望するチームとの交流の場を提供することを目的として、2012年7月に設立しました。また、活動の一体化のために、シーサート課題検討、シーサート構築推奨、CSIRT人材SWGを、シーサートWGのサブワーキンググループとして位置付けています。

・Honeynet Project Japan Chapter WG｠[2012年8月～ ]Honeynet Project は、CSIRT 活動で広く使われる Honeypot 系ソフトウェアの開発母体であると同時にKnow Your Enemyなどのインテリジェンスレポートも発出するセキュリティ技術者のコミュニティです。Honeynet Projectの日本Chapterとしての活動も進めています。

・インシデント事例分析WG｠[2013年11月～ ]複数の企業でインシデント事例を分析することにより『効率的な対応』や『効果的な対策』が導き出せることを目的とし、社内および社外への連絡方法、社内体制（法務、営業など）、効果的な再発防止策に関する分析を行っています。

・インシデント対応検討WG｠[2013年12月～ ]現状のサイバー上の脅威に対しての対応策などを検討し、国内組織のセキュリティ対策レベルの向上に貢献することを目的として活動しています。

・トランジッツWG｠[2014年3月～ ]ヨーロッパで開発されたCSIRTの構築、運用のための教育プログラムであるTRANSITSのマテリアルの更新、講師の養成、TRANSITSの方向性の検討、日本語版の作成の検討を行っています。

・SSHサーバセキュリティ設定検討WG｠[2014年3月～ ]インシデントによっては、SSHサーバのセキュリティ設定で未然に防げるものも多いと考えています。SSHサーバの設定の重要性について、注意喚起の契機となるようなセキュリティ設定に関するドキュメント作成し、普及啓発をめざしています。

国内：日本セキュリティオペレーション事業者協議会

●日本セキュリティオペレーション事業者協議会（ISOG-J：Information Security Operation providers Group Japan）・セキュリティオペレーションに携わる人々のコミュニティ・今野俊一が代表を担当・活動継続、各種活動の推進に貢献

●NTT-CERTが参加するISOG-Jのワーキンググループ（WG）／プロジェクトWG ／プロジェクトの説明出典：http://isog-j.org/activities/index.html・【WG1】セキュリティオペレーションガイドラインWG（2012年7月発足）

ユーザ向けセキュリティ診断サービスの解説書や、事業者向けのセキュリティ診断サービスのガイドラインを作成することをめざします。

・【WG2】セキュリティオペレーション技術WG（2008年6月発足）最新の技術動向を調査し、最適なセキュリティオペレーション技術を探究し、技術者の交流を図ります。

・グローバル動静共有プロジェクト（2016年6月～ 2017年12月）セキュリティオペレーションに求められるニーズやモチベーションは日々ダイナミックに変遷している。技術の変遷はWG2でフォローできているが、技術だけではカバーしきれない“動静”、特にグローバルでの変化にスコープを当てる。さらに、各社のSOCが時代の先手を打つため、グローバルな動静情報を持ち寄り断片的な情報から関連性を見出し共有を行います。

・CSIRT人材WG｠[2014年10月～ ]参加組織の人事部門などの意見も可能な範囲で取り入れながら知見の共有を行い、各CSIRTの運営において活用できるドキュメントの作成を行い、NCA内でも活用するための活動を進めています。

・インシデント対応訓練手法検討WG｠[2016年4月～ 2018年3月]インシデント対応訓練を実施することにより、インシデント発生に備えた事前準備を効果的に行うことが可能になります。本WGでは、ITリスク管理と連携した、軽量かつコスト効果の高い机上訓練の実施方法について検討しています。

・セキュリティレポーティングWG｠[2016年4月～ ]セキュリティレポーティングWGではセキュリティに関するレポート作成方法の知見を共有し合い、各CSIRTにおけるレポーティング能力の向上をめざします。

・CSIRTチームトレーニングWG｠[2016年5月～ ]短期的ならびに長期的に必要となるCSIRTに関してトレーニングおよびドキュメントを整理・検討し、その方向性を検討するWGです。

・ログ分析WG｠[2016年7月～ ]本WGでは主にOSSを用いたログ分析基盤の構築・運用およびログ分析による異常検知手法の学習・ノウハウの共有を行い、低コストで異常検知能力を向上させる方法を研究します。

・CSIRT評価モデル検討WG｠[2016年11月～ ]CSIRT活動を安定して実施、改善するために考慮すべき項目や、優れた対応能力を持つCSIRTの特徴などを検討、整理します。

・法制度研究WG｠[2017年1月～ ]CSIRT活動に関連する法制度の整理や早期把握などを行い、NCAに加盟する組織へわかりやすい形での情報発信をするとともに法制度の悩みを共有（時に解決）し、各組織に法制度面から貢献できる活動を行います。

・ツール共有WG｠[2017年12月～ ]CSIRTを運用していく上で欠かせないツールやスクリプトの共有を行います。自作ツールやOSSの活用マニュアル整備など、互いの知見を共有することでCSIRT活動の高度化・効率化をめざします。

4. 外部団体でのNTT-CERT活動状況

70


3

外部団体でのNTT-CERTの活動状況

●NTT-CERTの主な活動の場所・国内では日本シーサート協議会（NCA）、日本セキュリティオペレーション事業者協議会（ISOG-J）に参加・国外では、FIRST（The Forum of Incident Response and Security Teams）、NCFTA（National Cyber-Forensics

and Training Alliance）に参加

国内：日本シーサート協議会

●日本シーサート協議会（NCA：Nippon CSIRT Association）・日本企業のCSIRTコミュニティ・井上吉隆が代表を担当・加盟継続、各種活動の推進に貢献

●NTT-CERTが担当する主なポスト・杉浦芳樹運営委員・神谷造セキュリティレポーティングワーキンググループ（WG）主査・神谷造 Honeynet Project Japan Chapter WG主査・小村誠一 CSIRT評価モデル検討WG主査・富居姿寿子 TRANSITS Workshop講師

●NTT-CERTが参加するNCAのワーキンググループ（WG）／サブワーキンググループ（SWG）WG/SGWの説明出典：http://www.nca.gr.jp/activity/index.html・シーサート課題検討SWG（旧：組織内シーサート課題検討WG）[2007年9月～ ]

シーサート協議会のメンバー、およびこれから組織内シーサートの構築や運用を考えている方々との勉強会やディスカッションを通じ、組織内シーサートの構築や運用に必要な課題を抽出しています。

・脅威情報共有WG｠[2007年9月～ ]緊密かつ信頼関係のあるシーサート間においてコンピュータセキュリティインシデントに関する脅威情報を共有する活動を進めています。

・インシデント情報活用フレームワーク検討WG｠[2008年7月～ ]脆弱性対策情報やインシデント情報を活用（共有、交換、公開）するためのフレームワークを検討する。具体的には、適切な素材を取り上げ、手順（共有、交換、公開など）の整備を試みています。

・シーサートWG｠[2012年7月～ ]シーサートWGは、加盟チームと加盟を希望するチームとの交流の場を提供することを目的として、2012年7月に設立しました。また、活動の一体化のために、シーサート課題検討、シーサート構築推奨、CSIRT人材SWGを、シーサートWGのサブワーキンググループとして位置付けています。

・Honeynet Project Japan Chapter WG｠[2012年8月～ ]Honeynet Project は、CSIRT 活動で広く使われる Honeypot 系ソフトウェアの開発母体であると同時にKnow Your Enemyなどのインテリジェンスレポートも発出するセキュリティ技術者のコミュニティです。Honeynet Projectの日本Chapterとしての活動も進めています。

・インシデント事例分析WG｠[2013年11月～ ]複数の企業でインシデント事例を分析することにより『効率的な対応』や『効果的な対策』が導き出せることを目的とし、社内および社外への連絡方法、社内体制（法務、営業など）、効果的な再発防止策に関する分析を行っています。

・インシデント対応検討WG｠[2013年12月～ ]現状のサイバー上の脅威に対しての対応策などを検討し、国内組織のセキュリティ対策レベルの向上に貢献することを目的として活動しています。

・トランジッツWG｠[2014年3月～ ]ヨーロッパで開発されたCSIRTの構築、運用のための教育プログラムであるTRANSITSのマテリアルの更新、講師の養成、TRANSITSの方向性の検討、日本語版の作成の検討を行っています。

・SSHサーバセキュリティ設定検討WG｠[2014年3月～ ]インシデントによっては、SSHサーバのセキュリティ設定で未然に防げるものも多いと考えています。SSHサーバの設定の重要性について、注意喚起の契機となるようなセキュリティ設定に関するドキュメント作成し、普及啓発をめざしています。

国内：日本セキュリティオペレーション事業者協議会

●日本セキュリティオペレーション事業者協議会（ISOG-J：Information Security Operation providers Group Japan）・セキュリティオペレーションに携わる人々のコミュニティ・今野俊一が代表を担当・活動継続、各種活動の推進に貢献

●NTT-CERTが参加するISOG-Jのワーキンググループ（WG）／プロジェクトWG ／プロジェクトの説明出典：http://isog-j.org/activities/index.html・【WG1】セキュリティオペレーションガイドラインWG（2012年7月発足）

ユーザ向けセキュリティ診断サービスの解説書や、事業者向けのセキュリティ診断サービスのガイドラインを作成することをめざします。

・【WG2】セキュリティオペレーション技術WG（2008年6月発足）最新の技術動向を調査し、最適なセキュリティオペレーション技術を探究し、技術者の交流を図ります。

・グローバル動静共有プロジェクト（2016年6月～ 2017年12月）セキュリティオペレーションに求められるニーズやモチベーションは日々ダイナミックに変遷している。技術の変遷はWG2でフォローできているが、技術だけではカバーしきれない“動静”、特にグローバルでの変化にスコープを当てる。さらに、各社のSOCが時代の先手を打つため、グローバルな動静情報を持ち寄り断片的な情報から関連性を見出し共有を行います。

・CSIRT人材WG｠[2014年10月～ ]参加組織の人事部門などの意見も可能な範囲で取り入れながら知見の共有を行い、各CSIRTの運営において活用できるドキュメントの作成を行い、NCA内でも活用するための活動を進めています。

・インシデント対応訓練手法検討WG｠[2016年4月～ 2018年3月]インシデント対応訓練を実施することにより、インシデント発生に備えた事前準備を効果的に行うことが可能になります。本WGでは、ITリスク管理と連携した、軽量かつコスト効果の高い机上訓練の実施方法について検討しています。

・セキュリティレポーティングWG｠[2016年4月～ ]セキュリティレポーティングWGではセキュリティに関するレポート作成方法の知見を共有し合い、各CSIRTにおけるレポーティング能力の向上をめざします。

・CSIRTチームトレーニングWG｠[2016年5月～ ]短期的ならびに長期的に必要となるCSIRTに関してトレーニングおよびドキュメントを整理・検討し、その方向性を検討するWGです。

・ログ分析WG｠[2016年7月～ ]本WGでは主にOSSを用いたログ分析基盤の構築・運用およびログ分析による異常検知手法の学習・ノウハウの共有を行い、低コストで異常検知能力を向上させる方法を研究します。

・CSIRT評価モデル検討WG｠[2016年11月～ ]CSIRT活動を安定して実施、改善するために考慮すべき項目や、優れた対応能力を持つCSIRTの特徴などを検討、整理します。

・法制度研究WG｠[2017年1月～ ]CSIRT活動に関連する法制度の整理や早期把握などを行い、NCAに加盟する組織へわかりやすい形での情報発信をするとともに法制度の悩みを共有（時に解決）し、各組織に法制度面から貢献できる活動を行います。

・ツール共有WG｠[2017年12月～ ]CSIRTを運用していく上で欠かせないツールやスクリプトの共有を行います。自作ツールやOSSの活用マニュアル整備など、互いの知見を共有することでCSIRT活動の高度化・効率化をめざします。

4. 外部団体でのNTT-CERT活動状況

71



国内：参加会議などその他の活動

●主な参加会議・第21回白浜シンポジウム・NCA 10th Anniversary Conference・情報セキュリティワークショップin越後湯沢2017・サイバーセキュリティシンポジウム道後2018

●その他・情報セキュリティ大学院大学「サイバーインテリジェンス」講義実施・情報セキュリティワークショップin越後湯沢2017　車座座長実施

国外：FIRST、NCFTA

●FIRST（The Forum of Incident Response and Security Teams）・世界のCSIRTコミュニティ・神谷造が代表を担当

●NTT-CERTがFIRSTにて担当する主なポスト・足立真一セッションチェア（2017年次会合）・足立真一プログラム委員（2017年次会合、2018年次会合）・井上吉隆プログラム委員（2018年次会合）・神谷造プログラム委員（2018年次会合）・FIRST TC大阪実行委員会メンバー（杉浦芳樹、井上吉隆、神谷造、石井中）

●NCFTA（National Cyber-Forensics and Training Alliance）・500以上の法執行機関、民間企業、学術界などのサイバーセキュリティ専門家とともに、サイバー犯罪に関する情報

共有や無力化に向けたオペレーション連携を行う非営利団体・秋葉淳哉が窓口・オンラインの月次会合、研修、年次会合への参加

国外：参加会議

●主な参加会議・29th FIRST Annual Conference・Defcon 25・USENIX Security '17・HITCON Community 2017・Underground Economy 2017・CODE BLUE 2017・VB 2017・RISE-Cambodia・TRANSITS I in Prague・FIRST Borderless Cyber and Technical Symposium・HITCON Pacific 2017・34C3・NCSC.nl One Conference 2018・FIRST Regional Symposium Europe・FIRST TC Osaka

4. 外部団体でのNTT-CERT活動状況 5. 脆弱性情報の動向

NTT- CERTでは、脆弱性情報の収集分析活動において、複数の情報源を組み合わせて業務を実施している。以下に、主な情報源と利用方法を示す。

概要・特徴利用目的情報名称情報提供組織

公開前脆弱性情報

情報セキュリティ早期警戒パートナーシップの早期警戒／注意喚起情報

IntelGraph Intelligence Report（次節以降参照）

National Vulnerability Database (NVD)

JPCERT/CCおよびIPA

Accenture (Verisign)

NIST

一般公開前の脆弱性について、脆弱性情報と関連情報（対応パッチなど）を適切に公開するための取り組み。一般公開までは、厳重な守秘管理のもとで取り扱う。

NTTグループ内のプロダクト開発関係者への情報提供・調停を実施

Japan Vulnerability Notes (JVN)

JPCERT/IPAが上記の公開前脆弱性情報として報告され調整した脆弱性情報や、CERT/CCなど海外の調整機関と連携した脆弱性情報を提供している。

NTT-CERT内における技術調査、NTT-CERTへの問い合わせ対応、NTTグループのセキュリティ関係者への情報共有に利用

JPCERT/CCのパートナーシップメンバーに提供される脆弱性情報などの提供サービス

NTTグループのセキュリティ関係者へメールなどにて情報共有

世界最大級の脆弱性情報DB。CVEを網羅する。CVEごとに関連情報へのリンクがあり、ベンダが提供するアドバイザリへの最新リンクが網羅された状態が維持されている。

NTT-CERT内における技術調査、NTT-CERTへの問い合わせ対応などに利用

Accenture社が提供する脆弱性や脅威の情報提供サービス。日本語翻訳は日立システムズ社が担当。NTT持株技術企画部門のNTTグループ内セキュリティ情報共有の取り組みとしてNTTグループ向けに情報を提供。一般公開された情報が中心だが、iDefense独自情報などを含むほか、影響を受けるプロダクト情報など、事業との情報共有に有効な情報が多い。

NTT-CERT内における技術調査、NTT-CERTへの問い合わせ対応、NTT-CERTの特定プロダクトに関連する脆弱性情報提供などに利用

増加し続ける公開脆弱性情報（年間出現数の推移）　情報ソースはAccenture（Verisign社）提供のIntelGraph（iDefense）情報

●傾向分析IntelGraph（iDefense）のソースで報告された、2017年の脆弱性情報の件数は、年間合計：29,749件、月平均：約2,479件であった（ただし、更新の情報も別計上で、かつ更新情報件数が半数強を占める）。 2016年との比較で約3割の増加となり、アニュアルレポートでデータを取り始めた2013年以降、毎年純増となっており、今後減少に転じそうな気配は見られない。

35,000

30,000

25,000

20,000

15,000

10,000

5,000

02013 2014 2015 2016 2017

72


3

国内：参加会議などその他の活動

●主な参加会議・第21回白浜シンポジウム・NCA 10th Anniversary Conference・情報セキュリティワークショップin越後湯沢2017・サイバーセキュリティシンポジウム道後2018

●その他・情報セキュリティ大学院大学「サイバーインテリジェンス」講義実施・情報セキュリティワークショップin越後湯沢2017　車座座長実施

国外：FIRST、NCFTA

●FIRST（The Forum of Incident Response and Security Teams）・世界のCSIRTコミュニティ・神谷造が代表を担当

●NTT-CERTがFIRSTにて担当する主なポスト・足立真一セッションチェア（2017年次会合）・足立真一プログラム委員（2017年次会合、2018年次会合）・井上吉隆プログラム委員（2018年次会合）・神谷造プログラム委員（2018年次会合）・FIRST TC大阪実行委員会メンバー（杉浦芳樹、井上吉隆、神谷造、石井中）

●NCFTA（National Cyber-Forensics and Training Alliance）・500以上の法執行機関、民間企業、学術界などのサイバーセキュリティ専門家とともに、サイバー犯罪に関する情報

共有や無力化に向けたオペレーション連携を行う非営利団体・秋葉淳哉が窓口・オンラインの月次会合、研修、年次会合への参加

国外：参加会議

●主な参加会議・29th FIRST Annual Conference・Defcon 25・USENIX Security '17・HITCON Community 2017・Underground Economy 2017・CODE BLUE 2017・VB 2017・RISE-Cambodia・TRANSITS I in Prague・FIRST Borderless Cyber and Technical Symposium・HITCON Pacific 2017・34C3・NCSC.nl One Conference 2018・FIRST Regional Symposium Europe・FIRST TC Osaka

4. 外部団体でのNTT-CERT活動状況 5. 脆弱性情報の動向

NTT- CERTでは、脆弱性情報の収集分析活動において、複数の情報源を組み合わせて業務を実施している。以下に、主な情報源と利用方法を示す。

概要・特徴利用目的情報名称情報提供組織

公開前脆弱性情報

情報セキュリティ早期警戒パートナーシップの早期警戒／注意喚起情報

IntelGraph Intelligence Report（次節以降参照）

National Vulnerability Database (NVD)

JPCERT/CCおよびIPA

Accenture (Verisign)

NIST

一般公開前の脆弱性について、脆弱性情報と関連情報（対応パッチなど）を適切に公開するための取り組み。一般公開までは、厳重な守秘管理のもとで取り扱う。

NTTグループ内のプロダクト開発関係者への情報提供・調停を実施

Japan Vulnerability Notes (JVN)

JPCERT/IPAが上記の公開前脆弱性情報として報告され調整した脆弱性情報や、CERT/CCなど海外の調整機関と連携した脆弱性情報を提供している。

NTT-CERT内における技術調査、NTT-CERTへの問い合わせ対応、NTTグループのセキュリティ関係者への情報共有に利用

JPCERT/CCのパートナーシップメンバーに提供される脆弱性情報などの提供サービス

NTTグループのセキュリティ関係者へメールなどにて情報共有

世界最大級の脆弱性情報DB。CVEを網羅する。CVEごとに関連情報へのリンクがあり、ベンダが提供するアドバイザリへの最新リンクが網羅された状態が維持されている。

NTT-CERT内における技術調査、NTT-CERTへの問い合わせ対応などに利用

Accenture社が提供する脆弱性や脅威の情報提供サービス。日本語翻訳は日立システムズ社が担当。NTT持株技術企画部門のNTTグループ内セキュリティ情報共有の取り組みとしてNTTグループ向けに情報を提供。一般公開された情報が中心だが、iDefense独自情報などを含むほか、影響を受けるプロダクト情報など、事業との情報共有に有効な情報が多い。

NTT-CERT内における技術調査、NTT-CERTへの問い合わせ対応、NTT-CERTの特定プロダクトに関連する脆弱性情報提供などに利用

増加し続ける公開脆弱性情報（年間出現数の推移）　情報ソースはAccenture（Verisign社）提供のIntelGraph（iDefense）情報

●傾向分析IntelGraph（iDefense）のソースで報告された、2017年の脆弱性情報の件数は、年間合計：29,749件、月平均：約2,479件であった（ただし、更新の情報も別計上で、かつ更新情報件数が半数強を占める）。 2016年との比較で約3割の増加となり、アニュアルレポートでデータを取り始めた2013年以降、毎年純増となっており、今後減少に転じそうな気配は見られない。

35,000

30,000

25,000

20,000

15,000

10,000

5,000

02013 2014 2015 2016 2017

73



5. 脆弱性情報の動向

●傾向分析IntelGraph（iDefense）のソースで報告された、2017年度の脆弱性情報の件数は、年間合計：29,744件（2016年22,727件）、月平均：約2,479件（2016年1,894件）となった（ただし、更新の情報も別計上で、かつ更新情報件数が半数強を占める）。最多月が8月で3,659件、最少月が1月で1,758件とばらつきがある。2017年の最少月件数1,758件は、前年2016年の最多月件数の1,666件より多く、ばらつきがある中でも2017年は2016年と比べて大幅増加となっていることが分かる。2017年の件数の多かった月（8～10月）の内訳としては、Oracle Jave：362件、Android OS：267件がそれぞれ最多と次点であった。

3000

3500

4000

2500

2000

1500

1000

500

0

■High　■ Medium　■Low

■攻撃コードなし、対策あり ■攻撃コードあり、対策あり■攻撃コードなし、対策なし ■攻撃コードあり、対策なし

2017/01 2017/02 2017/03 2017/04 2017/05 2017/06 2017/07 2017/08 2017/09 2017/10 2017/11 2017/12

NTT-CERTが扱った公開脆弱性情報の月別／リスクレベル別件数情報ソースはAccenture社提供のIntelGraph情報（2017年1月～12月）

●傾向分析一般に脆弱性情報公開には対策（アップデートや暫定対処）が伴っていることが望ましいとされている。IntelGraphによる2017年4月から12月までの24,008件の案件について統計を取ってみた。約94％の案件に何らかの対策情報が伴っていた。対策の伴わない案件が約5.7％あり、攻撃コードありなのに対策のない最も危険な取り合わせも0.5％存在した。対策の内訳は、パッチありのものが22,579件で全体の94％で、パッチなしで暫定対処ありのもの68件(0.3％ )と比較して、大半を占めている。

攻撃コードの有無、対策（アップデートや暫定対処の有無）情報ソースはAccenture社提供のIntelGraph情報（2017年4月～12月）

対策の内訳としてパッチありのものが22,579件 (94.0％)パッチなしで暫定対処ありのものが68件 (0.3％)

0.5％5.2％

5.2％

89.1％

ブラウザ系（レンダリングエンジン含む）の脆弱性件数　IntelGraph（iDefense）情報（2017年1月～12月）　

●傾向分析Mozilla Firefoxの脆弱性の件数は増加し、2016年と比較して1位がGoogle ChromeからMozilla Firefoxに入れ替わった。2015年からWindows10のデフォルトブラウザとして利用が広がっているMicrosoft Edgeが、2016年は59件から165件に大幅に増加して、2017年は3位となっている。また、2017年はWebkitの脆弱性が減少、5位に後退している。

※同一案件で更新情報が重なっているものは、1件に集約して計上

300

0Google Chrome WebkitMicrosoft Edge Microsoft IEMozilla Firefox

250

200

150

100

50

w3m

■2017　■2016

典型的な端末ソフト（ブラウザ系を除く）の脆弱性件数　IntelGraph（iDefense）情報（2017年1月～12月）

●傾向分析2017年は前年同様、Adobe Flash、Adobe Reader and Acrobat、ImageMagickの脆弱性が上位を占めている。しかし、4年連続上位のAdobeの2製品が、件数ベースでは昨年比で減少した。一方、多種の画像フォーマットに対応する画像処理ソフトXnViewが、2017年に急伸し4位となった。


250

200

350

300

450

400

150

100

50

0Adobe Flash Adobe Reader

and AcrobatMicrosoft

OfficeImageMagick JasPer GraphicsMagick FFmpeg Adobe Digital

EditionsXnview Foxit Reader

■2017　■2016

74


3


●傾向分析IntelGraph（iDefense）のソースで報告された、2017年度の脆弱性情報の件数は、年間合計：29,744件（2016年22,727件）、月平均：約2,479件（2016年1,894件）となった（ただし、更新の情報も別計上で、かつ更新情報件数が半数強を占める）。最多月が8月で3,659件、最少月が1月で1,758件とばらつきがある。2017年の最少月件数1,758件は、前年2016年の最多月件数の1,666件より多く、ばらつきがある中でも2017年は2016年と比べて大幅増加となっていることが分かる。2017年の件数の多かった月（8～10月）の内訳としては、Oracle Jave：362件、Android OS：267件がそれぞれ最多と次点であった。

3000

3500

4000

2500

2000

1500

1000

500

0

■High　■ Medium　■Low

■攻撃コードなし、対策あり ■攻撃コードあり、対策あり■攻撃コードなし、対策なし ■攻撃コードあり、対策なし

2017/01 2017/02 2017/03 2017/04 2017/05 2017/06 2017/07 2017/08 2017/09 2017/10 2017/11 2017/12

NTT-CERTが扱った公開脆弱性情報の月別／リスクレベル別件数情報ソースはAccenture社提供のIntelGraph情報（2017年1月～12月）

●傾向分析一般に脆弱性情報公開には対策（アップデートや暫定対処）が伴っていることが望ましいとされている。IntelGraphによる2017年4月から12月までの24,008件の案件について統計を取ってみた。約94％の案件に何らかの対策情報が伴っていた。対策の伴わない案件が約5.7％あり、攻撃コードありなのに対策のない最も危険な取り合わせも0.5％存在した。対策の内訳は、パッチありのものが22,579件で全体の94％で、パッチなしで暫定対処ありのもの68件(0.3％ )と比較して、大半を占めている。

攻撃コードの有無、対策（アップデートや暫定対処の有無）情報ソースはAccenture社提供のIntelGraph情報（2017年4月～12月）

対策の内訳としてパッチありのものが22,579件 (94.0％)パッチなしで暫定対処ありのものが68件 (0.3％)

0.5％5.2％

5.2％

89.1％

ブラウザ系（レンダリングエンジン含む）の脆弱性件数　IntelGraph（iDefense）情報（2017年1月～12月）　

●傾向分析Mozilla Firefoxの脆弱性の件数は増加し、2016年と比較して1位がGoogle ChromeからMozilla Firefoxに入れ替わった。2015年からWindows10のデフォルトブラウザとして利用が広がっているMicrosoft Edgeが、2016年は59件から165件に大幅に増加して、2017年は3位となっている。また、2017年はWebkitの脆弱性が減少、5位に後退している。


300

0Google Chrome WebkitMicrosoft Edge Microsoft IEMozilla Firefox

250

200

150

100

50

w3m

■2017　■2016

典型的な端末ソフト（ブラウザ系を除く）の脆弱性件数　IntelGraph（iDefense）情報（2017年1月～12月）

●傾向分析2017年は前年同様、Adobe Flash、Adobe Reader and Acrobat、ImageMagickの脆弱性が上位を占めている。しかし、4年連続上位のAdobeの2製品が、件数ベースでは昨年比で減少した。一方、多種の画像フォーマットに対応する画像処理ソフトXnViewが、2017年に急伸し4位となった。


250

200

350

300

450

400

150

100

50

0Adobe Flash Adobe Reader

and AcrobatMicrosoft

OfficeImageMagick JasPer GraphicsMagick FFmpeg Adobe Digital

EditionsXnview Foxit Reader

■2017　■2016

75




●傾向分析2017年は、上位4位までは2016年と変わらず、Androidの脆弱性が約2倍に増加し1位となった。スマートフォン・タブレットOSに限定すると7位のApple iOSが上位だが、件数でAndroidが圧倒している結果となった。Microsoft Windowsは脆弱性がわずかに増加、Linux Kernelはわずかに減少しているが、それぞれ順位は2位、3位のままであった。Apple Mac OS Xは6位に後退した。

タイプ別脆弱性件数（JVN iPedia情報より）OSの脆弱性件数　IntelGraph（iDefense）情報（2017年1月～12月）　

●傾向分析2016年に引き続き、バッファエラー（CWE-119）、XSS（CWE-79）、情報漏えい（CWE-200）、認可・権限・アクセス制御

（CWE-264）、不適切な入力確認（CWE-20）の出現が多く、傾向は2016年と似ているが、それぞれの案件数については2017年は2016年比で大幅に増加している。

※CWEのタイプ別を集計した。なお、 iDefense情報はCWEとの関連付けがないため、JVN iPediaを用いている。


●傾向分析端末系ソフトやOS以外の、ミドルウェア、言語、データベースなどをひとまとめにプロットした。Oracle製ソフトウェア、すなわち、Oracle E-Business Suites、Oracle Java SE、Oracle Hospitality、Oracle PeopleSoftなど、増加傾向のものが複数ある。前年度1位のPHPは6位に後退した。Tcpdumpが上位に現れ、Qemu、node.js、Jenkinsなどが上位に現れている。

その他（言語、MW、DB、など）の脆弱性件数　IntelGraph（iDefense）情報（2017年1月～12月）　


1400

1200

1000

800

600

400

200

0Juniper

Junos OSOracleSolaris

Cisco IOSAndroid Linux Kernel Apple iOSMicrosoftWindows

Apple MacOS

Apple MacOS X

■2017　■2016

350

400

450

300

250

200

150

100

50

0

■2017　■2016

■2017　■2016　■2015

2000

1500

1000

500

0

2500

3000

環境設定：CWE-16

不適切な入力確認：CWE-20

パストラバーサル：CWE-22

暗号の問題：CWE-310

CSRF：

CWE-352

競合状態：CWE-362

リソース管理の問題：CWE-399

情報漏えい：CWE-200

証明書・パスワード管理：CWE-255

認可・権限・アクセス制御：CWE-264

不適切な認証：CWE-287

書式・文字列の問題：CWE-134

数値処理の問題：CWE-189

XSS：

CWE-79

OSコマンドインジェクション：CWE-7

8

リンク解釈の問題：CWE-59

SQLイ

ンジェクション：CWE-89

コードインジェクション：CWE-94

バッファエラー：CWE-119

Oracle J

ava SE

Oracle E

-Busines

s Suite

Tcpdump

Oracle M

ySQL S

erver

Qemu

PHPno

de.js

Jenkin

s

Oracle H

ospitality

GNU Projec

t binu

tils

Oracle F

lexCub

elibtiff

Oracle P

eolpeSo

ft

phpMyA

dmin

Advantec

h Web

Access NTP

IBM Web

Sphere

Wireshar

k

autotra

ce

Wordpress

IBM BigFix

OpenSSL Xen

IBM Ratio

nal

Apache T

omcat

libarchiv

e

openjpeg

F5 BIG-IPX.org

NetApp

IBM Kenexa

Oracle V

M Virtualb

ox

76


3


●傾向分析2017年は、上位4位までは2016年と変わらず、Androidの脆弱性が約2倍に増加し1位となった。スマートフォン・タブレットOSに限定すると7位のApple iOSが上位だが、件数でAndroidが圧倒している結果となった。Microsoft Windowsは脆弱性がわずかに増加、Linux Kernelはわずかに減少しているが、それぞれ順位は2位、3位のままであった。Apple Mac OS Xは6位に後退した。

タイプ別脆弱性件数（JVN iPedia情報より）OSの脆弱性件数　IntelGraph（iDefense）情報（2017年1月～12月）　

●傾向分析2016年に引き続き、バッファエラー（CWE-119）、XSS（CWE-79）、情報漏えい（CWE-200）、認可・権限・アクセス制御

（CWE-264）、不適切な入力確認（CWE-20）の出現が多く、傾向は2016年と似ているが、それぞれの案件数については2017年は2016年比で大幅に増加している。

※CWEのタイプ別を集計した。なお、 iDefense情報はCWEとの関連付けがないため、JVN iPediaを用いている。


●傾向分析端末系ソフトやOS以外の、ミドルウェア、言語、データベースなどをひとまとめにプロットした。Oracle製ソフトウェア、すなわち、Oracle E-Business Suites、Oracle Java SE、Oracle Hospitality、Oracle PeopleSoftなど、増加傾向のものが複数ある。前年度1位のPHPは6位に後退した。Tcpdumpが上位に現れ、Qemu、node.js、Jenkinsなどが上位に現れている。

その他（言語、MW、DB、など）の脆弱性件数　IntelGraph（iDefense）情報（2017年1月～12月）　


1400

1200

1000

800

600

400

200

0Juniper

Junos OSOracleSolaris

Cisco IOSAndroid Linux Kernel Apple iOSMicrosoftWindows

Apple MacOS

Apple MacOS X

■2017　■2016

350

400

450

300

250

200

150

100

50

0

■2017　■2016

■2017　■2016　■2015

2000

1500

1000

500

0

2500

3000

環境設定：CWE-16

不適切な入力確認：CWE-20

パストラバーサル：CWE-22

暗号の問題：CWE-310

CSRF：

CWE-352

競合状態：CWE-362

リソース管理の問題：CWE-399

情報漏えい：CWE-200

証明書・パスワード管理：CWE-255

認可・権限・アクセス制御：CWE-264

不適切な認証：CWE-287

書式・文字列の問題：CWE-134

数値処理の問題：CWE-189

XSS：

CWE-79

OSコマンドインジェクション：CWE-7

8

リンク解釈の問題：CWE-59

SQLイ

ンジェクション：CWE-89

コードインジェクション：CWE-94

バッファエラー：CWE-119

Oracle J

ava SE

Oracle E

-Busines

s Suite

Tcpdump

Oracle M

ySQL S

erver

Qemu

PHPno

de.js

Jenkin

s

Oracle H

ospitality

GNU Projec

t binu

tils

Oracle F

lexCub

elibtiff

Oracle P

eolpeSo

ft

phpMyA

dmin

Advantec

h Web

Access NTP

IBM Web

Sphere

Wireshar

k

autotra

ce

Wordpress

IBM BigFix

OpenSSL Xen

IBM Ratio

nal

Apache T

omcat

libarchiv

e

openjpeg

F5 BIG-IPX.org

NetApp

IBM Kenexa

Oracle V

M Virtualb

ox

77



6. NTTグループの活動

有事のグループ連携による重大な脆弱性やインシデントへの対応

❶ NTTグループにおけるサイバーセキュリティ対策の連携

NTTグループでは2015年7月より、各社（持株直接帰属会社）のCISOの下、有事における情報セキュリティマネジメントの統制役としてCSIRT（サイバーセキュリティ対策チーム）を設置し、重大な脆弱性やインシデントの発生時にグループで連携して対処を行っている。さらに有事だけでなく平時においても、各社が持つセキュリティの脅威情報や運用ノウハウなどをお互いに共有することにより、グループ全体のサイバー攻撃に対する対応力の強化を図っている。ここでは、NTTグループにおけるサイバーセキュリティ対策の有事・平時における連携について紹介する。

・NTT-CERTの調査において、脅威レベルの高い脆弱性が発見された場合、NTT（持株会社）を中心に緊急のグループ連携体制を立ち上げ、電話会議やツールを用いて、脆弱性有無の調査方法や対処方法を速やかにグループ全社へ共有することにより、世の中でサイバー攻撃が活発化する前に各社で対処を行い防御を図っている。

・また万が一、グループ内でサイバーインシデントが発生した場合、ほかの会社も同様の攻撃を受けないように、速やかにグループ内に情報を共有し、同様に対処を行っている。

●有事のグループ連携のイメージ

平時のセキュリティの脅威情報や運用ノウハウなどの情報共有

・各社のシステム運用の中で発見したC&CサーバのIPアドレスなどのブラックリストや標的型攻撃メールの文面やヘッダー情報などをグループ内で共有し、各社のF/Wやプロキシサーバなどのフィルタリング設定に反映している。

・また実際に各社で発生したインシデントの対応事例や、CSIRTの運用マニュアル、情報セキュリティの社員教育コンテンツ、利用ツールなどのノウハウを共有し、各社のセキュリティ対応業務の改善に役立てている。

・これらの情報共有に当たりCSIRTのメンバーやSOCなどのアナリストのコミュニティを立ち上げ、日常のツールを使ったコミュニケーションと、定期的な会合の開催による顔の見える信頼関係を作っている。

サイバー攻撃対応演習の実施

・有事の際に各社が、グループ連携のルールと各社ごとに取り決めているインシデントハンドリングのルールに基づいて、的確に行動が取れるかどうかを確認し、改善や強化につなげるために、NTTグループ合同によるサイバー攻撃対応演習を定期的に実施している。

・また、NISC（内閣サイバーセキュリティセンター）が主催する重要インフラ事業者を対象にした国全体での「分野横断的演習」にNTTグループ合同で参加し、グループ内だけでなく、外部組織との情報連携についても確認している。

●平時の情報共有のイメージ

●NTTグループサイバー攻撃対応演習（2018.3） ●分野横断的演習（2017.12）

その他グループ会社

地域通信事業地域通信事業長距離・国際通信事業セキュリティ事業移動通信事業データ通信事業その他の事業

持株サイバーセキュリティ対策チーム情報共有ツールの活用

CSIRT CSIRT CSIRT CSIRT CSIRT CSIRT CSIRT

KADAN

TopicRoom

グループ連携による対処・防御

攻撃成立条件、脆弱性有無の調査方法、対処方法など

2017年度の脅威対応例・ WordPress（2017.5）・ Struts2（2017.7, 9）・ Tomcat（2017.9）・ WebLogic（2017.12）

攻撃の特徴情報（IoC）・ブラックリスト・標的型攻撃メール・マルウェア

ノウハウ情報・インシデント対応事例・ CSIRT運用マニュアル・教育コンテンツ・製品利用ノウハウ

重大な脆弱性・インシデントの発生

発見

CSIRTコミュニティアナリストコミュニティ

【各社間の情報共有】

外部機関BB社 A社

外部組織A外部組織B

他分野省庁系

C社

外部機関A

外部組織

キャリアなど外部インテリジェンス

NTTグループのCSIRT連携

インテリベンダ

西

東

コム NTT-CERT

NTT（持株）

ディメンションデータセキュリティドコモ

データ

【情報配信】

78


3


有事のグループ連携による重大な脆弱性やインシデントへの対応

❶ NTTグループにおけるサイバーセキュリティ対策の連携

NTTグループでは2015年7月より、各社（持株直接帰属会社）のCISOの下、有事における情報セキュリティマネジメントの統制役としてCSIRT（サイバーセキュリティ対策チーム）を設置し、重大な脆弱性やインシデントの発生時にグループで連携して対処を行っている。さらに有事だけでなく平時においても、各社が持つセキュリティの脅威情報や運用ノウハウなどをお互いに共有することにより、グループ全体のサイバー攻撃に対する対応力の強化を図っている。ここでは、NTTグループにおけるサイバーセキュリティ対策の有事・平時における連携について紹介する。

・NTT-CERTの調査において、脅威レベルの高い脆弱性が発見された場合、NTT（持株会社）を中心に緊急のグループ連携体制を立ち上げ、電話会議やツールを用いて、脆弱性有無の調査方法や対処方法を速やかにグループ全社へ共有することにより、世の中でサイバー攻撃が活発化する前に各社で対処を行い防御を図っている。

・また万が一、グループ内でサイバーインシデントが発生した場合、ほかの会社も同様の攻撃を受けないように、速やかにグループ内に情報を共有し、同様に対処を行っている。

●有事のグループ連携のイメージ

平時のセキュリティの脅威情報や運用ノウハウなどの情報共有

・各社のシステム運用の中で発見したC&CサーバのIPアドレスなどのブラックリストや標的型攻撃メールの文面やヘッダー情報などをグループ内で共有し、各社のF/Wやプロキシサーバなどのフィルタリング設定に反映している。

・また実際に各社で発生したインシデントの対応事例や、CSIRTの運用マニュアル、情報セキュリティの社員教育コンテンツ、利用ツールなどのノウハウを共有し、各社のセキュリティ対応業務の改善に役立てている。

・これらの情報共有に当たりCSIRTのメンバーやSOCなどのアナリストのコミュニティを立ち上げ、日常のツールを使ったコミュニケーションと、定期的な会合の開催による顔の見える信頼関係を作っている。

サイバー攻撃対応演習の実施

・有事の際に各社が、グループ連携のルールと各社ごとに取り決めているインシデントハンドリングのルールに基づいて、的確に行動が取れるかどうかを確認し、改善や強化につなげるために、NTTグループ合同によるサイバー攻撃対応演習を定期的に実施している。

・また、NISC（内閣サイバーセキュリティセンター）が主催する重要インフラ事業者を対象にした国全体での「分野横断的演習」にNTTグループ合同で参加し、グループ内だけでなく、外部組織との情報連携についても確認している。

●平時の情報共有のイメージ

●NTTグループサイバー攻撃対応演習（2018.3） ●分野横断的演習（2017.12）

その他グループ会社

地域通信事業地域通信事業長距離・国際通信事業セキュリティ事業移動通信事業データ通信事業その他の事業

持株サイバーセキュリティ対策チーム情報共有ツールの活用

CSIRT CSIRT CSIRT CSIRT CSIRT CSIRT CSIRT

KADAN

TopicRoom

グループ連携による対処・防御

攻撃成立条件、脆弱性有無の調査方法、対処方法など

2017年度の脅威対応例・ WordPress（2017.5）・ Struts2（2017.7, 9）・ Tomcat（2017.9）・ WebLogic（2017.12）

攻撃の特徴情報（IoC）・ブラックリスト・標的型攻撃メール・マルウェア

ノウハウ情報・インシデント対応事例・ CSIRT運用マニュアル・教育コンテンツ・製品利用ノウハウ

重大な脆弱性・インシデントの発生

発見

CSIRTコミュニティアナリストコミュニティ

【各社間の情報共有】

外部機関BB社 A社

外部組織A外部組織B

他分野省庁系

C社

外部機関A

外部組織

キャリアなど外部インテリジェンス

NTTグループのCSIRT連携

インテリベンダ

西

東

コム NTT-CERT

NTT（持株）

ディメンションデータセキュリティドコモ

データ

【情報配信】

79




概要

❷ 中部地域におけるサイバーセキュリティ演習の取り組み

中部地域の企業連携コミュニティ発足の経緯

コミュニティの特色

2017年の活動内容

サイバーセキュリティ演習

＊1 ISAC: Information Sharing and Analysis Center（情報共有組織）＊2 ISACA名古屋支部、名古屋情報セキュリティ勉強会、CISSP東海コミュニティ

＊1 重要インフラ事業者などの情報共有・分析機能および当該機能を担う組織。各重要インフラ分野の業界団体ごとに事務局が設けられている。

＊ NISC: National center of Incident readiness and Strategy for Cybersecurity（内閣サイバーセキュリティセンター）

●地域連携シナリオのイメージ

●状況付与（サービス停止予告）

時間経過ベースシナリオ追加シナリオWebサーバにつながらない

県警からの情報共有

インターネット接続不可

県警からの情報共有マルウェア感染情報（A部署）

県警のヒアリングマルウェア感染情報（B部署）

サイバーテロ予告県警のヒアリング

経営幹部からの報告指示DDoS攻撃を検知

ダークウェブに犯行情報

幹部からの報告指示

JPCERT/CCからの情報提供

社内からの情報共有幹部からの報告指示

情報共有がうまくいかないと発動

他社サービス停止を考慮できるか

0分5分

10分

20分25分

30分

35分

55分65分70分

90分（終了）

このコミュニティの特色は、前述のように業界団体によって作られるISAC＊1ではなく、中部地域のサイバーセキュリティ防護という“地域連携”の観点を持つことである。また、企業のコミュニティであると同時に、個人が所属するセキュリティの専門家コミュニティ＊2の代表者も有識者として活動に参加することで、長期的には中小企業の情報セキュリティ向上や、地域のセキュリティ人材のエコシステム形成を視野に入れていることも特色となっている。

2017年2月に名古屋工業大学渡辺研二教授の呼びかけで、中部地域の重要インフラ事業者を中心とした複数企業、団体によるサイバーセキュリティに関するコミュニティが発足した。このコミュニティは中部地域のサイバーセキュリティ防護のため、関係者（重要インフラ事業者、重要産業事業者、大学、行政・警察、個人コミュニティ）間におけるセキュリティ情報の共有・施策連携を行うことを目的としている。発足の背景には、今後のサイバーセキュリティインシデントが、地震や台風などの自然災害と同様にサービス提供停止や操業停止を引き起こし、その影響が地域的にサービス依存関係のある周辺企業に波及していく可能性があるという共通の課題認識を各社が持っていたことがある。

コミュニティの2017年度の活動内容を決定するに当たり、以下の4テーマを候補として検討を行った。①サイバー攻撃発生時における重要インフラ事業者などでの情報共有②中部地域での情報交換の場形成③地域のセキュリティ人材の育成④中小企業の情報セキュリティ向上支援これらのテーマから、コミュニティとして「顔の見えるネットワーク構築」と「短期的な実現可能性」を重視した結果、2017年度の活動としてNISC＊の分野横断的演習を活用したサイバーセキュリティ演習を通して、①に取り組むことに決まった。

NISCの分野横断的演習とは、重要インフラ分野におけるサービス障害への対応能力の維持・向上を図ることを目的として2006 年度から毎年実施されているサイバーセキュリティ演習である。2017年度の演習には、通信、金融、交通、エネルギー、水道、医療などの重要インフラ13分野の事業者から、約2,600名が参加したと発表されている。

●NISC分野横断的演習とは

●演習のベースシナリオ分野横断的演習では、事前にNISCから最新のサイバー情勢を踏まえたベースシナリオが提供される。このベースシナリオは、進行役のコントローラーがタイムラインに沿って状況付与を行い、演習プレイヤーが次々と与えられる状況に応じて、自社での対応、セプター＊1事務局や関係機関への情報共有、顧客やマスコミへの情報開示などの必要な対処をリアルタイムに判断し実行していくという構造になっている。演習参加企業はこのNISCのベースシナリオをカスタマイズし、自社の状況に合った演習シナリオを準備する。なお、カスタマイズは演習進行役のコントローラーが行い、演習プレイヤーは演習シナリオの内容を知らない状態で演習に臨む。

●地域連携シナリオの作成

●演習の模様

今回の地域コミュニティでの取り組みでは、ベースシナリオのカスタマイズに当たって5回のシナリオ検討会を経て、「地域で情報共有を行うこと」「演習の中で各社にサービスの相互依存を考慮させること」の2つの観点を加えたシナリオを完成させた。

演習当日はNTT西日本や県警を含む8社が名古屋市内の会場に集まり、3時間の合同演習を実施した。各社の体制はさまざまで、参加人数も3～20名と幅があり、メンバー構成も情報システム部門だけで構成した企業、情報システム部門・総務部門の混成構成とした企業など、それぞれの企業におけるサイバーインシデントに対する一次対応の体制が反映されたものとなっていた。また、演習時のプレイヤーの座席配置、ホワイトボードの使い方、使用する情報共有ツールなどにも各社の特色が出ていた。

観点①：地域で情報共有を行うこと各業界のセプターを経由した分野横断に加え、県警をハブとした情報共有を行うシナリオとした。県警をハブとした情報共有がうまくいかないとシナリオ進行の難易度が上がる設定となっている。

観点②：演習の中で各社にサービスの相互依存を考慮させることサイバー攻撃によるサービス停止予告を盛り込んだシナリオとした。影響範囲が不明確であると同時に時間的猶予がない中で他社のサービス停止の影響まで考慮した対処を求める状況設定となっている。

なお、県警をハブとした理由は、県警がインシデント発生時に能動的に企業から情報収集する役割をすでに持っているため、地域という切り口で分野横断的に情報共有・連携を実現する上で、最も現実的で合理的な方法と考えたためである。

2017年度、NTT西日本は中部地域における情報共有のためのコミュニティ活動に参加した。具体的な取り組みとしては中部地域の重要インフラ事業者数社と合同でNISCの分野横断的演習を活用した地域連携型のサイバーセキュリティ演習を実施した。

80


3


概要

❷ 中部地域におけるサイバーセキュリティ演習の取り組み

中部地域の企業連携コミュニティ発足の経緯

コミュニティの特色

2017年の活動内容

サイバーセキュリティ演習

＊1 ISAC: Information Sharing and Analysis Center（情報共有組織）＊2 ISACA名古屋支部、名古屋情報セキュリティ勉強会、CISSP東海コミュニティ

＊1 重要インフラ事業者などの情報共有・分析機能および当該機能を担う組織。各重要インフラ分野の業界団体ごとに事務局が設けられている。

＊ NISC: National center of Incident readiness and Strategy for Cybersecurity（内閣サイバーセキュリティセンター）

●地域連携シナリオのイメージ

●状況付与（サービス停止予告）

時間経過ベースシナリオ追加シナリオWebサーバにつながらない

県警からの情報共有

インターネット接続不可

県警からの情報共有マルウェア感染情報（A部署）

県警のヒアリングマルウェア感染情報（B部署）

サイバーテロ予告県警のヒアリング

経営幹部からの報告指示DDoS攻撃を検知

ダークウェブに犯行情報

幹部からの報告指示

JPCERT/CCからの情報提供

社内からの情報共有幹部からの報告指示

情報共有がうまくいかないと発動

他社サービス停止を考慮できるか

0分5分

10分

20分25分

30分

35分

55分65分70分

90分（終了）

このコミュニティの特色は、前述のように業界団体によって作られるISAC＊1ではなく、中部地域のサイバーセキュリティ防護という“地域連携”の観点を持つことである。また、企業のコミュニティであると同時に、個人が所属するセキュリティの専門家コミュニティ＊2の代表者も有識者として活動に参加することで、長期的には中小企業の情報セキュリティ向上や、地域のセキュリティ人材のエコシステム形成を視野に入れていることも特色となっている。

2017年2月に名古屋工業大学渡辺研二教授の呼びかけで、中部地域の重要インフラ事業者を中心とした複数企業、団体によるサイバーセキュリティに関するコミュニティが発足した。このコミュニティは中部地域のサイバーセキュリティ防護のため、関係者（重要インフラ事業者、重要産業事業者、大学、行政・警察、個人コミュニティ）間におけるセキュリティ情報の共有・施策連携を行うことを目的としている。発足の背景には、今後のサイバーセキュリティインシデントが、地震や台風などの自然災害と同様にサービス提供停止や操業停止を引き起こし、その影響が地域的にサービス依存関係のある周辺企業に波及していく可能性があるという共通の課題認識を各社が持っていたことがある。

コミュニティの2017年度の活動内容を決定するに当たり、以下の4テーマを候補として検討を行った。①サイバー攻撃発生時における重要インフラ事業者などでの情報共有②中部地域での情報交換の場形成③地域のセキュリティ人材の育成④中小企業の情報セキュリティ向上支援これらのテーマから、コミュニティとして「顔の見えるネットワーク構築」と「短期的な実現可能性」を重視した結果、2017年度の活動としてNISC＊の分野横断的演習を活用したサイバーセキュリティ演習を通して、①に取り組むことに決まった。

NISCの分野横断的演習とは、重要インフラ分野におけるサービス障害への対応能力の維持・向上を図ることを目的として2006 年度から毎年実施されているサイバーセキュリティ演習である。2017年度の演習には、通信、金融、交通、エネルギー、水道、医療などの重要インフラ13分野の事業者から、約2,600名が参加したと発表されている。

●NISC分野横断的演習とは

●演習のベースシナリオ分野横断的演習では、事前にNISCから最新のサイバー情勢を踏まえたベースシナリオが提供される。このベースシナリオは、進行役のコントローラーがタイムラインに沿って状況付与を行い、演習プレイヤーが次々と与えられる状況に応じて、自社での対応、セプター＊1事務局や関係機関への情報共有、顧客やマスコミへの情報開示などの必要な対処をリアルタイムに判断し実行していくという構造になっている。演習参加企業はこのNISCのベースシナリオをカスタマイズし、自社の状況に合った演習シナリオを準備する。なお、カスタマイズは演習進行役のコントローラーが行い、演習プレイヤーは演習シナリオの内容を知らない状態で演習に臨む。

●地域連携シナリオの作成

●演習の模様

今回の地域コミュニティでの取り組みでは、ベースシナリオのカスタマイズに当たって5回のシナリオ検討会を経て、「地域で情報共有を行うこと」「演習の中で各社にサービスの相互依存を考慮させること」の2つの観点を加えたシナリオを完成させた。

演習当日はNTT西日本や県警を含む8社が名古屋市内の会場に集まり、3時間の合同演習を実施した。各社の体制はさまざまで、参加人数も3～20名と幅があり、メンバー構成も情報システム部門だけで構成した企業、情報システム部門・総務部門の混成構成とした企業など、それぞれの企業におけるサイバーインシデントに対する一次対応の体制が反映されたものとなっていた。また、演習時のプレイヤーの座席配置、ホワイトボードの使い方、使用する情報共有ツールなどにも各社の特色が出ていた。

観点①：地域で情報共有を行うこと各業界のセプターを経由した分野横断に加え、県警をハブとした情報共有を行うシナリオとした。県警をハブとした情報共有がうまくいかないとシナリオ進行の難易度が上がる設定となっている。

観点②：演習の中で各社にサービスの相互依存を考慮させることサイバー攻撃によるサービス停止予告を盛り込んだシナリオとした。影響範囲が不明確であると同時に時間的猶予がない中で他社のサービス停止の影響まで考慮した対処を求める状況設定となっている。

なお、県警をハブとした理由は、県警がインシデント発生時に能動的に企業から情報収集する役割をすでに持っているため、地域という切り口で分野横断的に情報共有・連携を実現する上で、最も現実的で合理的な方法と考えたためである。

2017年度、NTT西日本は中部地域における情報共有のためのコミュニティ活動に参加した。具体的な取り組みとしては中部地域の重要インフラ事業者数社と合同でNISCの分野横断的演習を活用した地域連携型のサイバーセキュリティ演習を実施した。

81



＊1 マルウェア対策については、検知方法が異なり評価観点が異なるため、「予防・抑止」「異常行動検知」に分けて評価＊2 端末の行動履歴を分析することで、マルウェア感染を事後に検知するもの

6. NTTグループの活動　－　❷ 中部地域におけるサイバーセキュリティ演習の取り組み

まとめ

コミュニティの初年度活動として取り組んだ今回のサイバーセキュリティ演習では、「顔が見えるネットワーク構築」「県警をハブとした地域連携方法の模索」「情報共有における課題の洗い出し」「演習シナリオの改善点の明確化」を行うことができ、コミュニティのテーマの一つである「サイバー攻撃発生時における重要インフラ事業者などでの情報共有」に対して一定の成果を上げることができた。2年目となる2018年度は、初年度の成果を元に継続してサイバーセキュリティ演習を実施するとともに、以下の点に注力して演習内容の高度化に取り組む予定である。●サービスの相互依存性についての演習シナリオの改善●ノイズ情報（間違った情報、無関係な情報、優先度の低い情報）の追加●サービス停止の経営層判断をスコープに入れたシナリオ作りさらに初年度に取り組めなかったテーマについても改めて見直し、単にサイバーセキュリティ演習を行うだけではなく、コミュニティの目的である中部地域のサイバーセキュリティ防護につながるよう、地域のBCM的な側面を担える自治体との関係も深めながら、セキュリティ情報の共有とセキュリティ施策の連携について取り組んでいく。

また、これらの次年度の活動と並行して、攻撃者優位のサイバーセキュリティの現状において“地域連携”により、リスクを軽減していくという本アプローチについて、継続的に外部への情報発信にも取り組んでいく。

演習では、県警を介した情報共有が各社ともに行われ、観点①として意図していた県警を地域のハブとした状況共有体制が機能することが確認できた。同時に県警への情報共有ではタイミング、粒度、頻度の観点で各社に改善すべき点があることも明確にすることができた。観点②として意図していたサービスの相互依存性の考慮については、チーム構成により結果が左右される傾向が見られた。具体的には、BCM＊2的な観点で対処を進めたチームがある一方で、主に情報システム部門のみで構成されたチームでは、他社サービスとの相互依存が発生する内容については社内担当部署に情報をエスカレーションして対応が終了してしまい、シナリオ作成時に意図したサービスの相互依存性を考慮したアクション実施の評価にまで至らないケースが存在した。情報のエスカレーションだけではなくBCM的な観点での対処実施までを求める状況付与を行うという次回シナリオ作成時のテーマを洗い出すことができた。

●演習結果と課題

＊2 BCM: Business Continuity Management（事業継続マネジメント）

概要NTTグループでは、市販製品を用いたセキュリティ対策の高度化・効率化に向けた「製品評価」と「製品オペレーション統一」の取り組みを実施している。・新たな技術を用いており導入効果が明確でないもの対して、「製品評価」を実施・すでに導入実績がある製品において、高度な技術が必要であり、グループでの集約効果が高い作業は「製品オペレー

ション統一」を実施し一元化

「製品評価」は、３製品群について実機評価結果をグループに展開「製品オペレーション統一」は、「シグネチャ配信」の対象機器拡大を実施

❸ セキュリティ製品の評価について

2017年度の取り組み

エンドポイントセキュリティ製品評価

CASB製品評価

●製品評価・製品評価を通して各セキュリティ製品の適応領域を明確にし、グループ展開を図る。・製品評価の対象機器は、世の中の動向やグループ各社の要望を踏まえて抽出し、実機評価を実施

●対象製品高度化、巧妙化するマルウェアに対応するため、エンドポイントセキュリティ製品の中で「予防・防止」を中心機能とした8製品を選定し比較●評価方法各製品および設定（環境）ごとに以下を比較

・「既知のマルウェア」および「未知のマルウェア」の検知率・「正常ファイル」に対する誤検知率を比較・運用を意識した評価（構築のしやすさ、運用のしやすさ）

●対象製品クラウド利用が進む中、その可視化や制御を実施するためのCASB製品について、代表的な4製品を選定し比較●評価方法利用シーンに応じた基本シナリオと、その中で検証する条件・内容を想定し、対応している項目数を比較する。チェック項目については、可視化、脅威からの防御など、具備する機能を中心に評価したが、利用の前提条件など制約があるため、評価結果に現れるよう留意した。

●製品オペレーション・オペレーションにおいて高度な技術が必要な製品の選定を行い、そのオペレーションをグループで統一化し、効率化を図る。・対象とする製品とオペレーションは、近年の脅威に対する効果、グループ各社の要望を踏まえて選定し、業務

フローの整理を図る。

●近年の脅威動向・IT動向・マルウェアの高度化、巧妙化と検知の限界　・脆弱性ゼロデイ攻撃の増加　・クラウド利用が進み、情報漏えい対策が必要

対策に有効なセキュリティ製品群を抽出

実機評価実施

グループ会社の実機評価結果を共有

実機評価実施

シグネチャ配信対象機器拡大

実機評価実施


実機評価実施


マルウェア対策＊1 予防・抑止

異常行動検知＊2

CASB（Cloud Access Security Broker）

WebアプリケーションFW製品オペレーション統一対象

製品評価対象

製品群対応

●評価結果イメージ（CASB製品）

●評価結果イメージ（エンドポイントセキュリティ製品）

可視化

価格

脅威防御データセキュリティ

コンプライアンス

82


3

＊1 マルウェア対策については、検知方法が異なり評価観点が異なるため、「予防・抑止」「異常行動検知」に分けて評価＊2 端末の行動履歴を分析することで、マルウェア感染を事後に検知するもの

6. NTTグループの活動　－　❷ 中部地域におけるサイバーセキュリティ演習の取り組み

まとめ

コミュニティの初年度活動として取り組んだ今回のサイバーセキュリティ演習では、「顔が見えるネットワーク構築」「県警をハブとした地域連携方法の模索」「情報共有における課題の洗い出し」「演習シナリオの改善点の明確化」を行うことができ、コミュニティのテーマの一つである「サイバー攻撃発生時における重要インフラ事業者などでの情報共有」に対して一定の成果を上げることができた。2年目となる2018年度は、初年度の成果を元に継続してサイバーセキュリティ演習を実施するとともに、以下の点に注力して演習内容の高度化に取り組む予定である。●サービスの相互依存性についての演習シナリオの改善●ノイズ情報（間違った情報、無関係な情報、優先度の低い情報）の追加●サービス停止の経営層判断をスコープに入れたシナリオ作りさらに初年度に取り組めなかったテーマについても改めて見直し、単にサイバーセキュリティ演習を行うだけではなく、コミュニティの目的である中部地域のサイバーセキュリティ防護につながるよう、地域のBCM的な側面を担える自治体との関係も深めながら、セキュリティ情報の共有とセキュリティ施策の連携について取り組んでいく。

また、これらの次年度の活動と並行して、攻撃者優位のサイバーセキュリティの現状において“地域連携”により、リスクを軽減していくという本アプローチについて、継続的に外部への情報発信にも取り組んでいく。

演習では、県警を介した情報共有が各社ともに行われ、観点①として意図していた県警を地域のハブとした状況共有体制が機能することが確認できた。同時に県警への情報共有ではタイミング、粒度、頻度の観点で各社に改善すべき点があることも明確にすることができた。観点②として意図していたサービスの相互依存性の考慮については、チーム構成により結果が左右される傾向が見られた。具体的には、BCM＊2的な観点で対処を進めたチームがある一方で、主に情報システム部門のみで構成されたチームでは、他社サービスとの相互依存が発生する内容については社内担当部署に情報をエスカレーションして対応が終了してしまい、シナリオ作成時に意図したサービスの相互依存性を考慮したアクション実施の評価にまで至らないケースが存在した。情報のエスカレーションだけではなくBCM的な観点での対処実施までを求める状況付与を行うという次回シナリオ作成時のテーマを洗い出すことができた。

●演習結果と課題

＊2 BCM: Business Continuity Management（事業継続マネジメント）

概要NTTグループでは、市販製品を用いたセキュリティ対策の高度化・効率化に向けた「製品評価」と「製品オペレーション統一」の取り組みを実施している。・新たな技術を用いており導入効果が明確でないもの対して、「製品評価」を実施・すでに導入実績がある製品において、高度な技術が必要であり、グループでの集約効果が高い作業は「製品オペレー

ション統一」を実施し一元化

「製品評価」は、３製品群について実機評価結果をグループに展開「製品オペレーション統一」は、「シグネチャ配信」の対象機器拡大を実施

❸ セキュリティ製品の評価について

2017年度の取り組み

エンドポイントセキュリティ製品評価

CASB製品評価

●製品評価・製品評価を通して各セキュリティ製品の適応領域を明確にし、グループ展開を図る。・製品評価の対象機器は、世の中の動向やグループ各社の要望を踏まえて抽出し、実機評価を実施

●対象製品高度化、巧妙化するマルウェアに対応するため、エンドポイントセキュリティ製品の中で「予防・防止」を中心機能とした8製品を選定し比較●評価方法各製品および設定（環境）ごとに以下を比較

・「既知のマルウェア」および「未知のマルウェア」の検知率・「正常ファイル」に対する誤検知率を比較・運用を意識した評価（構築のしやすさ、運用のしやすさ）

●対象製品クラウド利用が進む中、その可視化や制御を実施するためのCASB製品について、代表的な4製品を選定し比較●評価方法利用シーンに応じた基本シナリオと、その中で検証する条件・内容を想定し、対応している項目数を比較する。チェック項目については、可視化、脅威からの防御など、具備する機能を中心に評価したが、利用の前提条件など制約があるため、評価結果に現れるよう留意した。

●製品オペレーション・オペレーションにおいて高度な技術が必要な製品の選定を行い、そのオペレーションをグループで統一化し、効率化を図る。・対象とする製品とオペレーションは、近年の脅威に対する効果、グループ各社の要望を踏まえて選定し、業務

フローの整理を図る。

●近年の脅威動向・IT動向・マルウェアの高度化、巧妙化と検知の限界　・脆弱性ゼロデイ攻撃の増加　・クラウド利用が進み、情報漏えい対策が必要

対策に有効なセキュリティ製品群を抽出

実機評価実施


実機評価実施


実機評価実施


実機評価実施


マルウェア対策＊1 予防・抑止

異常行動検知＊2

CASB（Cloud Access Security Broker）

WebアプリケーションFW製品オペレーション統一対象

製品評価対象

製品群対応

●評価結果イメージ（CASB製品）

●評価結果イメージ（エンドポイントセキュリティ製品）

可視化

価格

脅威防御データセキュリティ

コンプライアンス

83



＊ https://www.ppc.go.jp/personal/legal/ からダウンロード可能

法政令規則ガイド通ガイド匿QAレポート

：個人情報の保護に関する法律：個人情報の保護に関する法律施行令：個人情報の保護に関する法律施行規則：個人情報の保護に関する法律についてのガイドライン（通則編）：個人情報の保護に関する法律についてのガイドライン（匿名加工情報編）：「個人情報の保護に関する法律についてのガイドライン」および「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A：事務局レポート　匿名加工情報　「パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」（これのみ表中記載略）

1. 匿名加工情報作成基準の法令・ガイドラインの読み方

概要

改正個人情報保護法で導入された匿名加工情報は、パーソナルデータの流通の仕組みとして期待されるものである。匿名加工情報は法令やガイドラインに定められた基準を満たす必要がある。しかしながら、その基準が分かりにくいという話をよく聞く。本節では、匿名加工情報作成基準に関する法令やガイドラインの読み方を解説する。

はじめに

匿名加工情報とは改正個人情報保護法で新たに導入された制度で、個人情報を特定の個人を識別できないように加工した情報について、一定のルールの下で本人に同意を得ることなく、目的外の利用や第三者提供を可能とするものである。本節は匿名加工情報を作成に役立つことを目標に、匿名加工情報のルールを紹介し、それに対する技術を解説する。

本節で紹介する法令・ガイドライン類を以下に示す＊。

匿名加工情報とは

匿名加工情報は法（第2条第9項）で以下のように定められている。

・「個人情報を加工して得られる個人に関する情報」で、「特定の個人を識別することができない」「当該個人情報を復元することができない」ようにしたもの。

さらに加工は個人情報の区分に応じて定められている。・法第2条第1項第1号に該当する個人情報はそこに「含まれる記述等の一部を削除（置き換え）＊」する。・同第2号に該当する個人情報はそこに「含まれる個人識別符号の全部を削除（置き換え）」する。

前者の個人情報とは、従来からよく知られている定義「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）」であり、後者の個人情報とは「個人識別符号が含まれるもの」である。

この中で理解が難しいと言われるのが以下の記述である。

①特定の個人を識別することができる記述とは何か？②「特定の個人を識別することができない」「当該個人情報を復元できない」ようにするとは何か？

法は①の一部を明確に構成する「個人識別符号」を政令で定めるとしている。また、②に関連して「加工基準」を委員会規則で定めるとしている。

・個人識別符号は符号であって、当該特定の個人（利用者若しくは購入者又は発行を受ける者）を識別することができるもので政令で定める（法第2条第2項）。

・「特定の個人を識別することができない」「当該個人情報を復元することができない」ようにするために、「個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない」（法第36条第1項）

法第2条第1項、ガイド通2-1、QA Q1-1～18

法第2条第2項、政令第1条、規則第2条第3条第4条、ガイド通2-2、QA Q1-19～23

法第2条第9項、ガイド匿2-1、QA Q11-1～3

法第36条第1項、規則第19条、ガイド匿3-2、QA Q11-4～10

個人情報の定義

個人識別符号の定義

匿名加工情報の定義

匿名加工情報の作成

＊匿名加工情報の制度においては、しばしば「削除する（当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）」という措置が言及されるが、本節では「削除（置き換え）」と書くこととする。

4 2017年度のサイバーセキュリティ関連トピックおよび技術レポート第4章では、2017年度に話題となったサイバーセキュリティに関連する重要なトピックを取り上げて解説する。

84

＊ https://www.ppc.go.jp/personal/legal/ からダウンロード可能

法政令規則ガイド通ガイド匿QAレポート

：個人情報の保護に関する法律：個人情報の保護に関する法律施行令：個人情報の保護に関する法律施行規則：個人情報の保護に関する法律についてのガイドライン（通則編）：個人情報の保護に関する法律についてのガイドライン（匿名加工情報編）：「個人情報の保護に関する法律についてのガイドライン」および「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A：事務局レポート　匿名加工情報　「パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」（これのみ表中記載略）


概要

改正個人情報保護法で導入された匿名加工情報は、パーソナルデータの流通の仕組みとして期待されるものである。匿名加工情報は法令やガイドラインに定められた基準を満たす必要がある。しかしながら、その基準が分かりにくいという話をよく聞く。本節では、匿名加工情報作成基準に関する法令やガイドラインの読み方を解説する。

はじめに

匿名加工情報とは改正個人情報保護法で新たに導入された制度で、個人情報を特定の個人を識別できないように加工した情報について、一定のルールの下で本人に同意を得ることなく、目的外の利用や第三者提供を可能とするものである。本節は匿名加工情報を作成に役立つことを目標に、匿名加工情報のルールを紹介し、それに対する技術を解説する。

本節で紹介する法令・ガイドライン類を以下に示す＊。

匿名加工情報とは

匿名加工情報は法（第2条第9項）で以下のように定められている。

・「個人情報を加工して得られる個人に関する情報」で、「特定の個人を識別することができない」「当該個人情報を復元することができない」ようにしたもの。

さらに加工は個人情報の区分に応じて定められている。・法第2条第1項第1号に該当する個人情報はそこに「含まれる記述等の一部を削除（置き換え）＊」する。・同第2号に該当する個人情報はそこに「含まれる個人識別符号の全部を削除（置き換え）」する。

前者の個人情報とは、従来からよく知られている定義「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）」であり、後者の個人情報とは「個人識別符号が含まれるもの」である。

この中で理解が難しいと言われるのが以下の記述である。

①特定の個人を識別することができる記述とは何か？②「特定の個人を識別することができない」「当該個人情報を復元できない」ようにするとは何か？

法は①の一部を明確に構成する「個人識別符号」を政令で定めるとしている。また、②に関連して「加工基準」を委員会規則で定めるとしている。

・個人識別符号は符号であって、当該特定の個人（利用者若しくは購入者又は発行を受ける者）を識別することができるもので政令で定める（法第2条第2項）。

・「特定の個人を識別することができない」「当該個人情報を復元することができない」ようにするために、「個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない」（法第36条第1項）

法第2条第1項、ガイド通2-1、QA Q1-1～18

法第2条第2項、政令第1条、規則第2条第3条第4条、ガイド通2-2、QA Q1-19～23

法第2条第9項、ガイド匿2-1、QA Q11-1～3

法第36条第1項、規則第19条、ガイド匿3-2、QA Q11-4～10

個人情報の定義

個人識別符号の定義

匿名加工情報の定義

匿名加工情報の作成

＊匿名加工情報の制度においては、しばしば「削除する（当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）」という措置が言及されるが、本節では「削除（置き換え）」と書くこととする。

85




さらに、「識別できる」「復元できる」に関しては、ガイド匿 2-1 において、これらの状態とレベル（一般人ができない）を説明している。

「特定の個人を識別することができる」とは、・情報単体または複数の情報を組み合わせて保存されているものから社会通念上そのように判断できるもの・一般人の判断力または理解力をもって生存する具体的な人物と情報の間に同一性を認めることができるもの

「当該個人情報を復元することができないようにしたもの」とは、・通常の方法では、匿名加工情報から（匿名加工情報の作成の元となった個人情報に含まれていた）、特定の個人を識別

することとなる記述等又は個人識別符号の内容を特定することなどにより、匿名加工情報を個人情報に戻すことができない状態にすること（括弧は筆者が加えた）

また特定と復元のレベルに関しての追加的記述が、両者共通に次のようにある。・あらゆる手法によって特定（復元）することができないよう技術的側面からすべての可能性を排除することまでを求める

ものではなく、少なくとも、一般人および一般的な事業者の能力、手法などを基準として当該情報を個人情報取扱事業者または匿名加工情報取扱事業者が通常の方法により特定（復元）できないような状態にすることを求めるものである

（括弧書き（復元）は筆者が加えた）。

ガイド匿 3-2-1は、氏名のような単体だけでなく、住所、生年月日など記述の組み合わせで特定の個人を識別できるものを削除（置き換え）することとしている。・事例①：氏名、住所、生年月日が含まれる個人情報の場合、氏名を削除し、住所を削除、または○○県△△市に置き

換え、生年月日を削除、または日を削除し、生年月に置き換える。・事例②：会員ID、氏名、住所、電話番号が含まれる個人情報の場合、会員ID、氏名、電話番号を削除し、住所を削除、

または○○県△△市に置き換える。

次にレポート4.1.1には加工レベルについて補足する記述があり、住所や生年月日を例に、加工レベルを柔軟に設定できる考え方が紹介されている。・住所であれば「○○市」まで（人口の多い都心部であれば、「○○区」まで）、生年月日であれば「生年月」あるいは「生年」

までといったように、情報の項目それぞれについて一定程度曖昧化されるように部分的な削除や置換えを行う考え方が想定される。

・住所・生年月日・性別などの複数の項目の組み合わせで一意にならないように各項目の加工レベルを調整する考え方も想定される。

同じくレポートに、加工対象についての補足があり、携帯電話番号など個人識別符号から除外されたものも1号として対象となりうることが紹介されている。・携帯電話番号や電子メールアドレス、SNSなどのID、クレジットカード番号などは、法人所有番号との区別がつかない

などの理由で個人識別符号からは除外されているが、事業者において単体またはほかの情報との組み合わせにより、これらの情報が特定の個人のものとして認識されている場合については、個人情報として扱われるべきものである。

なお、1号を含む各号の措置を理解するために、「仮ID」の扱いの理解が必要である。これは後でまとめて解説する。

匿名加工情報の加工基準

匿名加工情報の加工基準は規則第19条1号から5号として定められおり、順を追って解説する。なお、各号の措置はどれか一つではなく、該当する情報がある限り「各号に定める措置を選択的に講ずればよいものではなく、各号すべての措置を行う必要」がある（QA A11-5）とされている。

●規則第19条第１号個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること（当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む）

規則第1号について

1号は規則で「特定の個人を識別することができる記述等の全部又は一部」を削除（置き換え）するとされている。

個人識別符号は政令で細かく限定的に規定されており、本人や被発行者などを識別できる生体データの符号と公的番号の2種類である。さらに生体データは、規則第2条で定められた「特定の個人を識別することができる水準」にあるものが該当する。公的付番の符号については、規則第3条第4条で詳細化されている。個人識別符号の詳細については述べないが、政令を確認いただきたい。

●規則第19条第2号個人情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む）


2号は個人識別符号全部の削除（置き換え）である。

なお連結符号の具体例はガイド匿 3-2-3あるように、安全管理の観点から（複数のテーブルに）分割して相互に連結できるようにしたIDなどである。「現に情報を相互に連結する符号に限る」については、「実際に取り扱う情報を相互に連結するように利用されているもの」としている。

●規則第19条第3号個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号（現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る）を削除すること（当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む）


3号は連結符号の削除（置き換え）である。

特異な記述を加工する理由は、ガイド匿 3-2-4に・一般的にみて、珍しい事実に関する記述等又は他の個人と著しい差異が認められる記述等は特定の個人の識別に

つながる恐れがある。とした上で、特異な記述は、

・特異であるがために特定の個人を識別できる記述等に至り得るものを指すもの・他の個人と異なるものであっても特定の個人の識別にはつながり得ないものは該当しない

としている。実際に特異かどうかの判断は、

・情報の性質などを勘案して、個別の事例ごとに客観的に判断する必要がある。・一般的なあらゆる場面において特異であると社会通念上認められる記述等が該当する。

と判断を作成者に求めている。

紹介される事例には以下がある。・事例①：症例数の極めて少ない病歴を削除する。・事例②：年齢が「116歳」という情報を「90歳以上」に置き換える。

上記に付け加えてレポートには次の説明が補足されている。・社会通念上特異であるものが対象になるため、特異であるものであっても、分布の調査結果が存在しないもの、存在

したとしても一般人には知りえないものについては、本号の「特異」には該当しないものと考えられる。

●規則第19条第4号特異な記述等を削除すること（当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む）


第4号は特異な記述の削除（置き換え）である。

86

2017年度のサイバーセキュリティ関連トピックおよび技術レポート

41. 法令・ガイドラインなどにみる基準に則した匿名加工情報の作成


さらに、「識別できる」「復元できる」に関しては、ガイド匿 2-1 において、これらの状態とレベル（一般人ができない）を説明している。

「特定の個人を識別することができる」とは、・情報単体または複数の情報を組み合わせて保存されているものから社会通念上そのように判断できるもの・一般人の判断力または理解力をもって生存する具体的な人物と情報の間に同一性を認めることができるもの

「当該個人情報を復元することができないようにしたもの」とは、・通常の方法では、匿名加工情報から（匿名加工情報の作成の元となった個人情報に含まれていた）、特定の個人を識別

することとなる記述等又は個人識別符号の内容を特定することなどにより、匿名加工情報を個人情報に戻すことができない状態にすること（括弧は筆者が加えた）

また特定と復元のレベルに関しての追加的記述が、両者共通に次のようにある。・あらゆる手法によって特定（復元）することができないよう技術的側面からすべての可能性を排除することまでを求める

ものではなく、少なくとも、一般人および一般的な事業者の能力、手法などを基準として当該情報を個人情報取扱事業者または匿名加工情報取扱事業者が通常の方法により特定（復元）できないような状態にすることを求めるものである

（括弧書き（復元）は筆者が加えた）。

ガイド匿 3-2-1は、氏名のような単体だけでなく、住所、生年月日など記述の組み合わせで特定の個人を識別できるものを削除（置き換え）することとしている。・事例①：氏名、住所、生年月日が含まれる個人情報の場合、氏名を削除し、住所を削除、または○○県△△市に置き

換え、生年月日を削除、または日を削除し、生年月に置き換える。・事例②：会員ID、氏名、住所、電話番号が含まれる個人情報の場合、会員ID、氏名、電話番号を削除し、住所を削除、

または○○県△△市に置き換える。

次にレポート4.1.1には加工レベルについて補足する記述があり、住所や生年月日を例に、加工レベルを柔軟に設定できる考え方が紹介されている。・住所であれば「○○市」まで（人口の多い都心部であれば、「○○区」まで）、生年月日であれば「生年月」あるいは「生年」

までといったように、情報の項目それぞれについて一定程度曖昧化されるように部分的な削除や置換えを行う考え方が想定される。

・住所・生年月日・性別などの複数の項目の組み合わせで一意にならないように各項目の加工レベルを調整する考え方も想定される。

同じくレポートに、加工対象についての補足があり、携帯電話番号など個人識別符号から除外されたものも1号として対象となりうることが紹介されている。・携帯電話番号や電子メールアドレス、SNSなどのID、クレジットカード番号などは、法人所有番号との区別がつかない

などの理由で個人識別符号からは除外されているが、事業者において単体またはほかの情報との組み合わせにより、これらの情報が特定の個人のものとして認識されている場合については、個人情報として扱われるべきものである。

なお、1号を含む各号の措置を理解するために、「仮ID」の扱いの理解が必要である。これは後でまとめて解説する。

匿名加工情報の加工基準

匿名加工情報の加工基準は規則第19条1号から5号として定められおり、順を追って解説する。なお、各号の措置はどれか一つではなく、該当する情報がある限り「各号に定める措置を選択的に講ずればよいものではなく、各号すべての措置を行う必要」がある（QA A11-5）とされている。

●規則第19条第１号個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること（当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む）


1号は規則で「特定の個人を識別することができる記述等の全部又は一部」を削除（置き換え）するとされている。

個人識別符号は政令で細かく限定的に規定されており、本人や被発行者などを識別できる生体データの符号と公的番号の2種類である。さらに生体データは、規則第2条で定められた「特定の個人を識別することができる水準」にあるものが該当する。公的付番の符号については、規則第3条第4条で詳細化されている。個人識別符号の詳細については述べないが、政令を確認いただきたい。

●規則第19条第2号個人情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む）


2号は個人識別符号全部の削除（置き換え）である。

なお連結符号の具体例はガイド匿 3-2-3あるように、安全管理の観点から（複数のテーブルに）分割して相互に連結できるようにしたIDなどである。「現に情報を相互に連結する符号に限る」については、「実際に取り扱う情報を相互に連結するように利用されているもの」としている。

●規則第19条第3号個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号（現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る）を削除すること（当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む）


3号は連結符号の削除（置き換え）である。

特異な記述を加工する理由は、ガイド匿 3-2-4に・一般的にみて、珍しい事実に関する記述等又は他の個人と著しい差異が認められる記述等は特定の個人の識別に

つながる恐れがある。とした上で、特異な記述は、

・特異であるがために特定の個人を識別できる記述等に至り得るものを指すもの・他の個人と異なるものであっても特定の個人の識別にはつながり得ないものは該当しない

としている。実際に特異かどうかの判断は、

・情報の性質などを勘案して、個別の事例ごとに客観的に判断する必要がある。・一般的なあらゆる場面において特異であると社会通念上認められる記述等が該当する。

と判断を作成者に求めている。

紹介される事例には以下がある。・事例①：症例数の極めて少ない病歴を削除する。・事例②：年齢が「116歳」という情報を「90歳以上」に置き換える。

上記に付け加えてレポートには次の説明が補足されている。・社会通念上特異であるものが対象になるため、特異であるものであっても、分布の調査結果が存在しないもの、存在

したとしても一般人には知りえないものについては、本号の「特異」には該当しないものと考えられる。

●規則第19条第4号特異な記述等を削除すること（当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む）


第4号は特異な記述の削除（置き換え）である。

87



＊1 レポート4.2.2 には「入手し得る情報の種類」と「情報のマッチングのしやすさ」の観点から考えることができる、としている。＊2 いわゆる「k-匿名性」の考え＊3 本加工は最も「強い」レベルのものであり、正しく行えばこれだけで匿名加工の要件は概ね満たされるものと考えられる。しかし残念ながら元データと「かけ離れた」データが

作成されることは避けがたい。


5号の措置は「規則第19条第1号から第4号までの加工を施した情報であっても、一般的にみて、特定の個人を識別することが可能である状態あるいは元の個人情報を復元できる状態のままであるといえる場合」に「適切な措置」を行うとするものである（ガイド匿 3-2-5）。掲載事例を紹介する。・事例①：移動履歴には自宅や職場などの所在が推定できる位置情報（経度・緯度情報）が含まれており、「特定の個人の

識別又は元の個人情報の復元につながるおそれがある場合に」（以下事例②③とも同じ）、推定できる所定範囲の位置情報を削除する（項目削除／レコード削除／セル削除）。

・事例②：小売店の購買履歴には、当該小売店での購入者が極めて限定されている商品の購買履歴が含まれており、具体的な商品情報（品番・色）を一般的な商品カテゴリーに置き換える（一般化）。

・事例③：小学校の身体検査の情報は、ある児童の身長が170cmというほかの児童と比べて差異が大きい情報があり、身長が150cm以上の情報について「150cm以上」という情報に置き換える（トップコーディング）。

5号には「個人情報に含まれる記述等」と「当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等」との差異を勘案せよとの記述がある。これは加工対象のデータ内において「値や記述等が相対的に特異である」

（レポート4.1.5.1）ことへの対応であり（QA A11-9 も関連）その典型例が上記事例③の「身長170cmの小学生」であり、事例②の「限定された商品の購入」である。しかし、5号は「その他の当該個人情報データベース等の性質を勘案し」が続き、データに応じて考えよと求めている。その例が事例①の移動履歴である。

・特に、購買履歴、位置に関する情報などを含む個人情報データベース等において反復して行われる行動に関する情報が含まれる場合には、これが蓄積されることにより、個人の行動習慣が分かるような場合があり得る」（ガイド匿3-2-5）

ガイド匿での5号の対象の説明はここまでだがレポート（4.1.5.2）においては追加記述があり、「不変性の高いID、多数の事業者で取得されるサービスID等」「時刻に関する情報」「位置情報（移動履歴）」の3項目があげられ、適切な措置の検討が求められている。それでは、加工の程度はどうであろう。1から4号では「削除（置き換え）」を求めているが、5号は「適切な措置」である。適切な措置に関して、ガイド匿 3-2-5は次の記述をしている。

・必要に応じて、別表1の手法などにより、適切な措置を講じなければならない。・加工対象の性質によって加工の対象および加工の程度は変わり得るため、どの情報をどの程度加工する必要があるかは、

加工対象の性質も勘案して個別具体的に判断する必要がある。別表1は匿名加工情報の加工に係る手法例である。ここに掲載しないが、削除、一般化、トップコーディングなどの手法の一般的な性質を一覧で説明したにすぎず、程度は作成者に判断を委ねられている。

●規則第19条第5号前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異、その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。


5号は個人情報データベースなどの性質を踏まえたその他の措置である。

仮IDについて

仮IDは、ガイド匿 3-2-1に初出し、特定の個人を識別することができる記述等の「規則性を有しない置き換え」の例として取り上げられている。指摘事項は、作成した仮IDから元の情報が漏れたり、元の情報が当てられたりすることのないよう（例えば）ハッシュ関数を正しく使うという基本に加えて、仮IDは「提供事業者ごとに変更」「定期的に変更」の2点が望ましいとしている。さらにレポート（4.1.1）には追加して踏み込んだ解説がある。仮ID利用で生じるリスクを管理できないのであれば、仮IDは使うべきではない。・（提供事業者ごとに変更）事業者間でその個人に関する手持ちのデータを連結できる恐れがある。・（定期的に変更）同一の人物の情報が蓄積され続けることにより、元の個人情報に係る本人を識別できるリスクが高く

なることも想定される。・仮IDが不要である場合には、再識別リスクを低減する意味からも、仮IDへの置き換えを行わないことが望ましい。

現時点で明らかになっていない事項

まとめ

ここまで、主に匿名加工情報の作成について、法、ガイドラインなどの関連箇所を振り返り整理を行った。なお、本節ではレポート後半の「匿名加工情報のユースケースと加工例」を紹介しなかったが、各種履歴データなどの事例が丁寧に紹介されている。この中で、加工の水準と方法が具体的に示されているが、データ項目ごとに想定リスクを検討して、個々に望ましい加工方法を検討する形をとっている。このことは残念ながら本節冒頭で掲げた実務上重要と思われる以下①②の疑問に直接答えてくれてはいない。

①特定の個人を識別することができる記述とは何か？②「特定の個人を識別することができない」「当該個人情報を復元できない」ようにする。

①特定の個人を識別することができる記述について法とガイドラインから氏名、住所、性別、生年月日、顔画像、（ある会社に所属する個人であることが分かる）メールアドレス、および個人識別符号については個人識別性があると明確に分かる。これらは（情報自体で）「個人を識別する」と扱われている。このほかにも、情報自体では「特定の個人を識別する」とは言えないが、外部のほかの情報を参照することにより「特定の個人を識別する」こととなるパターンが存在する。個人識別性を以下の分類で考えてみる。

A. 情報自体の個人識別性B. 作成の元となった個人情報を参照することによる個人識別性C. 世の中の他の情報を参照することによる個人識別性

A.の対象は氏名、住所、性別、生年月日などの外延である。その具体（とその組み合わせ）を見極めるのは深淵な問題であるが、A.を運用に取り込むために何かの選択基準が必要である。B.は元データと加工データが行ごとに関連を残す限り、加工データすべてが対象である。最後にC.は世の中の他の情報と参照することによる識別が可能な記述が該当する。例えば、年収で考えると、1円単位の個人別年収情報がもし一般入手可能であれば、年収はこの情報を参照することにより、特定の個人を識別することができる。C.を運用に取り込むならば、参照リスクの考察が必要になる＊1。現状、A.B.C.それぞれの対応の要否とその程度が明確になっていない。

②「特定の個人を識別することができない」「当該個人情報を復元できない」ようにすることについて個人識別性のあるもの（A.B.C.の必要なもの）に対して、一般人を基準として個人識別性が失われているようにすることであると考えられる。A.への対応としてガイド匿が示す措置には、氏名の削除や、住所を「○○県△△市に置き換える」となどがある。ただしこれのみで、匿名加工情報の根幹である個人識別性の排除に答えることとなるのか判断し難い。また、逆に過剰な加工になっていないかなどの疑問にも十分には答えることができない課題がある。レポート 4.1.1 に「住所・生年月日・性別などの複数の項目の組み合わせで一意にならないように各項目の加工レベルを調整する考え方も想定される」とあるが、単独でA.となる記述を削除した上で、組み合わせでA.となる記述の部分が複数になるような措置を行えば、個人識別性の排除に一定の主張ができる＊2。B.への対応をするならば、対象は加工データのすべての記述なので、項目すべてに何らかの加工を行い元データとの関連を排除することとなる＊3。ただしB.への対応は、レポートで不要である旨の見解が述べられている（3.4.2 容易照合性との関係）。C. の対象は例えば参照リスクのある年収である。特定の個人が識別できない加工が求められる。加工の程度は、第5号についての箇所で指摘した通り、作成者に判断が委ねられている。匿名加工情報に関する識別禁止義務を根拠に、年収を加工しないことは認められない。

●今後に向けて①（対象）と②（程度・方法）の問題に関して検討を行ったものに国立情報学研究所の「匿名加工情報の適正な加工の方法に関する報告書」（NII報告書）がある。NII報告書は、「A.情報自体で個人識別性を持つもの」を1号の対象、「C. 参照リスクによる個人識別性」を5号の対象と分け、前者には組み合わせで一意とならないなどの明確な個人識別性の排除が必要とし、後者には「データベース等の性質を勘案した適切な措置」となるような加工方法を複数提案している。このようにまずは①②とその関係性を明確に整理し、共通の考えのもとに業界などで事例を積み上げることが必要である。

匿名加工情報の作成基準について、現在までに公表されている法・ガイドラインなどを当たり、加工基準として具体的に確定した事項をまとめた。また、未確定事項で重要なものについては、その対象と加工の程度・方法に注目して、方向性について論じた。

88


41. 法令・ガイドラインなどにみる基準に則した匿名加工情報の作成

＊1 レポート4.2.2 には「入手し得る情報の種類」と「情報のマッチングのしやすさ」の観点から考えることができる、としている。＊2 いわゆる「k-匿名性」の考え＊3 本加工は最も「強い」レベルのものであり、正しく行えばこれだけで匿名加工の要件は概ね満たされるものと考えられる。しかし残念ながら元データと「かけ離れた」データが

作成されることは避けがたい。


5号の措置は「規則第19条第1号から第4号までの加工を施した情報であっても、一般的にみて、特定の個人を識別することが可能である状態あるいは元の個人情報を復元できる状態のままであるといえる場合」に「適切な措置」を行うとするものである（ガイド匿 3-2-5）。掲載事例を紹介する。・事例①：移動履歴には自宅や職場などの所在が推定できる位置情報（経度・緯度情報）が含まれており、「特定の個人の

識別又は元の個人情報の復元につながるおそれがある場合に」（以下事例②③とも同じ）、推定できる所定範囲の位置情報を削除する（項目削除／レコード削除／セル削除）。

・事例②：小売店の購買履歴には、当該小売店での購入者が極めて限定されている商品の購買履歴が含まれており、具体的な商品情報（品番・色）を一般的な商品カテゴリーに置き換える（一般化）。

・事例③：小学校の身体検査の情報は、ある児童の身長が170cmというほかの児童と比べて差異が大きい情報があり、身長が150cm以上の情報について「150cm以上」という情報に置き換える（トップコーディング）。

5号には「個人情報に含まれる記述等」と「当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等」との差異を勘案せよとの記述がある。これは加工対象のデータ内において「値や記述等が相対的に特異である」

（レポート4.1.5.1）ことへの対応であり（QA A11-9 も関連）その典型例が上記事例③の「身長170cmの小学生」であり、事例②の「限定された商品の購入」である。しかし、5号は「その他の当該個人情報データベース等の性質を勘案し」が続き、データに応じて考えよと求めている。その例が事例①の移動履歴である。

・特に、購買履歴、位置に関する情報などを含む個人情報データベース等において反復して行われる行動に関する情報が含まれる場合には、これが蓄積されることにより、個人の行動習慣が分かるような場合があり得る」（ガイド匿3-2-5）

ガイド匿での5号の対象の説明はここまでだがレポート（4.1.5.2）においては追加記述があり、「不変性の高いID、多数の事業者で取得されるサービスID等」「時刻に関する情報」「位置情報（移動履歴）」の3項目があげられ、適切な措置の検討が求められている。それでは、加工の程度はどうであろう。1から4号では「削除（置き換え）」を求めているが、5号は「適切な措置」である。適切な措置に関して、ガイド匿 3-2-5は次の記述をしている。

・必要に応じて、別表1の手法などにより、適切な措置を講じなければならない。・加工対象の性質によって加工の対象および加工の程度は変わり得るため、どの情報をどの程度加工する必要があるかは、

加工対象の性質も勘案して個別具体的に判断する必要がある。別表1は匿名加工情報の加工に係る手法例である。ここに掲載しないが、削除、一般化、トップコーディングなどの手法の一般的な性質を一覧で説明したにすぎず、程度は作成者に判断を委ねられている。

●規則第19条第5号前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異、その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。


5号は個人情報データベースなどの性質を踏まえたその他の措置である。

仮IDについて

仮IDは、ガイド匿 3-2-1に初出し、特定の個人を識別することができる記述等の「規則性を有しない置き換え」の例として取り上げられている。指摘事項は、作成した仮IDから元の情報が漏れたり、元の情報が当てられたりすることのないよう（例えば）ハッシュ関数を正しく使うという基本に加えて、仮IDは「提供事業者ごとに変更」「定期的に変更」の2点が望ましいとしている。さらにレポート（4.1.1）には追加して踏み込んだ解説がある。仮ID利用で生じるリスクを管理できないのであれば、仮IDは使うべきではない。・（提供事業者ごとに変更）事業者間でその個人に関する手持ちのデータを連結できる恐れがある。・（定期的に変更）同一の人物の情報が蓄積され続けることにより、元の個人情報に係る本人を識別できるリスクが高く

なることも想定される。・仮IDが不要である場合には、再識別リスクを低減する意味からも、仮IDへの置き換えを行わないことが望ましい。

現時点で明らかになっていない事項

まとめ

ここまで、主に匿名加工情報の作成について、法、ガイドラインなどの関連箇所を振り返り整理を行った。なお、本節ではレポート後半の「匿名加工情報のユースケースと加工例」を紹介しなかったが、各種履歴データなどの事例が丁寧に紹介されている。この中で、加工の水準と方法が具体的に示されているが、データ項目ごとに想定リスクを検討して、個々に望ましい加工方法を検討する形をとっている。このことは残念ながら本節冒頭で掲げた実務上重要と思われる以下①②の疑問に直接答えてくれてはいない。

①特定の個人を識別することができる記述とは何か？②「特定の個人を識別することができない」「当該個人情報を復元できない」ようにする。

①特定の個人を識別することができる記述について法とガイドラインから氏名、住所、性別、生年月日、顔画像、（ある会社に所属する個人であることが分かる）メールアドレス、および個人識別符号については個人識別性があると明確に分かる。これらは（情報自体で）「個人を識別する」と扱われている。このほかにも、情報自体では「特定の個人を識別する」とは言えないが、外部のほかの情報を参照することにより「特定の個人を識別する」こととなるパターンが存在する。個人識別性を以下の分類で考えてみる。

A. 情報自体の個人識別性B. 作成の元となった個人情報を参照することによる個人識別性C. 世の中の他の情報を参照することによる個人識別性

A.の対象は氏名、住所、性別、生年月日などの外延である。その具体（とその組み合わせ）を見極めるのは深淵な問題であるが、A.を運用に取り込むために何かの選択基準が必要である。B.は元データと加工データが行ごとに関連を残す限り、加工データすべてが対象である。最後にC.は世の中の他の情報と参照することによる識別が可能な記述が該当する。例えば、年収で考えると、1円単位の個人別年収情報がもし一般入手可能であれば、年収はこの情報を参照することにより、特定の個人を識別することができる。C.を運用に取り込むならば、参照リスクの考察が必要になる＊1。現状、A.B.C.それぞれの対応の要否とその程度が明確になっていない。

②「特定の個人を識別することができない」「当該個人情報を復元できない」ようにすることについて個人識別性のあるもの（A.B.C.の必要なもの）に対して、一般人を基準として個人識別性が失われているようにすることであると考えられる。A.への対応としてガイド匿が示す措置には、氏名の削除や、住所を「○○県△△市に置き換える」となどがある。ただしこれのみで、匿名加工情報の根幹である個人識別性の排除に答えることとなるのか判断し難い。また、逆に過剰な加工になっていないかなどの疑問にも十分には答えることができない課題がある。レポート 4.1.1 に「住所・生年月日・性別などの複数の項目の組み合わせで一意にならないように各項目の加工レベルを調整する考え方も想定される」とあるが、単独でA.となる記述を削除した上で、組み合わせでA.となる記述の部分が複数になるような措置を行えば、個人識別性の排除に一定の主張ができる＊2。B.への対応をするならば、対象は加工データのすべての記述なので、項目すべてに何らかの加工を行い元データとの関連を排除することとなる＊3。ただしB.への対応は、レポートで不要である旨の見解が述べられている（3.4.2 容易照合性との関係）。C. の対象は例えば参照リスクのある年収である。特定の個人が識別できない加工が求められる。加工の程度は、第5号についての箇所で指摘した通り、作成者に判断が委ねられている。匿名加工情報に関する識別禁止義務を根拠に、年収を加工しないことは認められない。

●今後に向けて①（対象）と②（程度・方法）の問題に関して検討を行ったものに国立情報学研究所の「匿名加工情報の適正な加工の方法に関する報告書」（NII報告書）がある。NII報告書は、「A.情報自体で個人識別性を持つもの」を1号の対象、「C. 参照リスクによる個人識別性」を5号の対象と分け、前者には組み合わせで一意とならないなどの明確な個人識別性の排除が必要とし、後者には「データベース等の性質を勘案した適切な措置」となるような加工方法を複数提案している。このようにまずは①②とその関係性を明確に整理し、共通の考えのもとに業界などで事例を積み上げることが必要である。

匿名加工情報の作成基準について、現在までに公表されている法・ガイドラインなどを当たり、加工基準として具体的に確定した事項をまとめた。また、未確定事項で重要なものについては、その対象と加工の程度・方法に注目して、方向性について論じた。

89



暗号通貨に関わるサイバー攻撃

近年、暗号通貨業界への攻撃が相次いで発生している。暗号通貨にはBitcoinのほかにEthereum、NEMなど、さまざまな実装がある。その中には匿名性が高く、犯罪に用いられても足が付きにくいものもある。また、暗号通貨の保管方法として、取引所に預ける方法とワレットに格納する方法に大別される。攻撃者は保管方法に応じて攻撃方法を使い分けている。

攻撃事例

攻撃者について2014年以降の攻撃事例を紹介する。

攻撃者は匿名性が高く、換金ルートが開拓できる暗号通貨をターゲットとして、暗号通貨の交換所や利用者から暗号通貨を盗み出すほか、交換所へのDDoSや、一般市民のリソースを不正使用して暗号通貨を稼ぐCryptojackingなどの攻撃手法も見られる。これらの攻撃のいくつかは国家の関与を指摘する意見もある。本記事では具体的な攻撃事例を紹介し、そのうち、暗号通貨利用者でなくても被害者となるCryptojackingについて詳細に解説する。

2. 暗号通貨への攻撃の動向

●暗号通貨の保管方法

e.g. Ledger Nano S参照：https://www.ledgerwallet.com/

products/ledger-nano-s

e.g. Bitcoin.com Wallet（注: Bitcoinの公式アプリではない）参照：https://play.google.com/store/apps/

details?id=com.bitcoin.mwallet&hl=ja

取引所に預けるワレットで手元保管

・ソフトウェア・ハードウェア

●暗号通貨交換所への攻撃（1）暗号通貨の盗難が、ここ5年間に世界中で相次いで発生している。・MT. Gox, Japan … BTC stolen in 2014/Feb

・MtGOXが突然閉鎖数年で74万BTC盗難され預かり資産を喪失か（楠正憲） https://news.yahoo.co.jp/byline/kusunokimasanori/20140225-00033012/

・Bithumb, South Korea … BTC and ETH stolen in 2017/Jun・Bithumb Hacked: Bitcoin, Ethereum Stolen From Popular Cryptocurrency Exchange

http://www.ibtimes.com/bithumb-hacked-bitcoin-ethereum-stolen-popular-cryptocurrency-exchange-2561627・Youbit exchange, South Korea … BTC stolen in 2017/Apr and 17% of assets lost in 2017/Dec

・Bitcoin exchange Youbit shuts after second hack attack http://www.bbc.com/news/technology-42409815

・Coincheck, Japan … NEM stolen in 2018/Jan・仮想通貨NEMの不正送金に関するご報告と対応について http://corporate.coincheck.com/2018/03/08/46.html

●暗号通貨利用者への攻撃さまざまな手段にて暗号通貨を不正に盗む攻撃が発生している。・所有者のPCの不正利用

・仮想通貨不正入手ウイルス作成容疑、大阪の高３男子逮捕…狙った通貨は「モナコイン」 http://www.sankei.com/west/news/180130/wst1801300079-n1.html

・交換所APIの不正利用・一部のお客様のAPIキーを不正使用した取引および出金のご報告と対策のお願いhttps://corp.zaif.jp/info/8231/

・その他に今後発生し得る手段として、感染済みワレットの販売も考えられる。

一般的に、金銭に関心のあるものと考えられる。具体的な攻撃者像として、韓国の国家情報院が、一部取引所への攻撃のバックグラウンドに北朝鮮の存在を指摘している報道がある。同報道で引用されている韓国国会金炳基（キム・ビョンギ）議員の発言によれば、攻撃先の特徴に合わせて巧妙にマルウェアを送り込む、高度な標的型攻撃者像が伺える。“北朝鮮は国内有名メーカーのウイルス対策ソフトを無力化する技術を使用し、仮想通貨会社が新入社員を随時採用している点に着眼して、入社志願書を装ったハッキングメールを発送した事実も確認された” －韓国国会金炳基（キム・ビョンギ）議員・Source: 国家情報院「北朝鮮、ハッキングで仮想通貨数億円を奪取」http://japan.hani.co.kr/arti/politics/29706.html

また、コインチェックの記者会見でもコインチェック社員に対して標的型攻撃が行われたことを伺わせる発言があった。・コインチェック、来週めどに補償開始へ　標的型攻撃が流出原因かhttp://www.itmedia.co.jp/business/articles/1803/08/news123.html

●一般市民への攻撃（Cryptojacking）・CryptojackingないしDrive-by-Miningとして知られる、ユーザの同意なしにブラウザ上で仮想通貨のマイニングを

実行させられる攻撃が一般的になってきた。・詳細について後半で解説する。

（2）DDoS攻撃が2017年後半より多く観測されるようになってきている。・Zaif, Japan … DDoSed in 2017/Sep

・本日発生したアクセスしにくい現象に関するご報告 https://corp.zaif.jp/info/6534/

・bitFlyer, Japan … DDoSed in 2017/Sep・ビットコイン、大手取引所「bitFlyer」にサイバー攻撃 ―5時間にわたり影響https://internetcom.jp/203437/bitflyer-ddos

・HitBTC … DDoSed in 2017/Dec・Dear traders, we are under heavy DDoS attack and currently working on bringing our platform back

online.https://twitter.com/hitbtc/status/941359354007183360

・DDoS攻撃単体では攻撃者に利益が発生しにくいが、脅迫型DDoS攻撃により金銭を得ようとする事例がECサイトに対して発生しており、この手法を暗号通貨取引所相手に適用することも可能である。

90


4

暗号通貨に関わるサイバー攻撃

近年、暗号通貨業界への攻撃が相次いで発生している。暗号通貨にはBitcoinのほかにEthereum、NEMなど、さまざまな実装がある。その中には匿名性が高く、犯罪に用いられても足が付きにくいものもある。また、暗号通貨の保管方法として、取引所に預ける方法とワレットに格納する方法に大別される。攻撃者は保管方法に応じて攻撃方法を使い分けている。

攻撃事例

攻撃者について2014年以降の攻撃事例を紹介する。

攻撃者は匿名性が高く、換金ルートが開拓できる暗号通貨をターゲットとして、暗号通貨の交換所や利用者から暗号通貨を盗み出すほか、交換所へのDDoSや、一般市民のリソースを不正使用して暗号通貨を稼ぐCryptojackingなどの攻撃手法も見られる。これらの攻撃のいくつかは国家の関与を指摘する意見もある。本記事では具体的な攻撃事例を紹介し、そのうち、暗号通貨利用者でなくても被害者となるCryptojackingについて詳細に解説する。

2. 暗号通貨への攻撃の動向

●暗号通貨の保管方法

e.g. Ledger Nano S参照：https://www.ledgerwallet.com/

products/ledger-nano-s

e.g. Bitcoin.com Wallet（注: Bitcoinの公式アプリではない）参照：https://play.google.com/store/apps/

details?id=com.bitcoin.mwallet&hl=ja

取引所に預けるワレットで手元保管

・ソフトウェア・ハードウェア

●暗号通貨交換所への攻撃（1）暗号通貨の盗難が、ここ5年間に世界中で相次いで発生している。・MT. Gox, Japan … BTC stolen in 2014/Feb

・MtGOXが突然閉鎖数年で74万BTC盗難され預かり資産を喪失か（楠正憲） https://news.yahoo.co.jp/byline/kusunokimasanori/20140225-00033012/

・Bithumb, South Korea … BTC and ETH stolen in 2017/Jun・Bithumb Hacked: Bitcoin, Ethereum Stolen From Popular Cryptocurrency Exchange

http://www.ibtimes.com/bithumb-hacked-bitcoin-ethereum-stolen-popular-cryptocurrency-exchange-2561627・Youbit exchange, South Korea … BTC stolen in 2017/Apr and 17% of assets lost in 2017/Dec

・Bitcoin exchange Youbit shuts after second hack attack http://www.bbc.com/news/technology-42409815

・Coincheck, Japan … NEM stolen in 2018/Jan・仮想通貨NEMの不正送金に関するご報告と対応について http://corporate.coincheck.com/2018/03/08/46.html

●暗号通貨利用者への攻撃さまざまな手段にて暗号通貨を不正に盗む攻撃が発生している。・所有者のPCの不正利用

・仮想通貨不正入手ウイルス作成容疑、大阪の高３男子逮捕…狙った通貨は「モナコイン」 http://www.sankei.com/west/news/180130/wst1801300079-n1.html

・交換所APIの不正利用・一部のお客様のAPIキーを不正使用した取引および出金のご報告と対策のお願いhttps://corp.zaif.jp/info/8231/

・その他に今後発生し得る手段として、感染済みワレットの販売も考えられる。

一般的に、金銭に関心のあるものと考えられる。具体的な攻撃者像として、韓国の国家情報院が、一部取引所への攻撃のバックグラウンドに北朝鮮の存在を指摘している報道がある。同報道で引用されている韓国国会金炳基（キム・ビョンギ）議員の発言によれば、攻撃先の特徴に合わせて巧妙にマルウェアを送り込む、高度な標的型攻撃者像が伺える。“北朝鮮は国内有名メーカーのウイルス対策ソフトを無力化する技術を使用し、仮想通貨会社が新入社員を随時採用している点に着眼して、入社志願書を装ったハッキングメールを発送した事実も確認された” －韓国国会金炳基（キム・ビョンギ）議員・Source: 国家情報院「北朝鮮、ハッキングで仮想通貨数億円を奪取」http://japan.hani.co.kr/arti/politics/29706.html

また、コインチェックの記者会見でもコインチェック社員に対して標的型攻撃が行われたことを伺わせる発言があった。・コインチェック、来週めどに補償開始へ　標的型攻撃が流出原因かhttp://www.itmedia.co.jp/business/articles/1803/08/news123.html

●一般市民への攻撃（Cryptojacking）・CryptojackingないしDrive-by-Miningとして知られる、ユーザの同意なしにブラウザ上で仮想通貨のマイニングを

実行させられる攻撃が一般的になってきた。・詳細について後半で解説する。

（2）DDoS攻撃が2017年後半より多く観測されるようになってきている。・Zaif, Japan … DDoSed in 2017/Sep

・本日発生したアクセスしにくい現象に関するご報告 https://corp.zaif.jp/info/6534/

・bitFlyer, Japan … DDoSed in 2017/Sep・ビットコイン、大手取引所「bitFlyer」にサイバー攻撃 ―5時間にわたり影響https://internetcom.jp/203437/bitflyer-ddos

・HitBTC … DDoSed in 2017/Dec・Dear traders, we are under heavy DDoS attack and currently working on bringing our platform back

online.https://twitter.com/hitbtc/status/941359354007183360

・DDoS攻撃単体では攻撃者に利益が発生しにくいが、脅迫型DDoS攻撃により金銭を得ようとする事例がECサイトに対して発生しており、この手法を暗号通貨取引所相手に適用することも可能である。

91



Cryptojackingとは JavaScript実装の仮想通貨マイナー

3. 暗号通貨への攻撃方法例

●CryptojackingとはSource: ENISA: Cryptojacking ‒ Cryptomining in the browser参照：https://www.enisa.europa.eu/publications/info-notes/cryptojacking-cryptomining-in-the-browser

なぜ流行しているのか?

●Coinhive

●Coinhiveロゴ

●Coinhiveの埋め込み状況

●某H大学のWebサイトにCoinhiveが埋め込まれた事例

End-users

Cryptocurrencymining

Threat actorCompromised website with

cryptomining script embedded

Cryptojacking

Steps1. The threat actor compromises a website2. Users connect to the compromised website and the cryptomining script executes 3. Users unknowingly start mining cryptocurrency on behalf of the threat actor4. Upon successfully adding a new block to the blockchain, the threat actor receives a reward in cryptocurrency coins

12

43

3

・金銭目的の攻撃者が、例えばランサムウェアを用いて利益を得ようとする場合のシナリオは以下の通り①何らかの手法で被害者をランサムウェアに感染させる。②情報を暗号化するなどして、被害者に仮想通貨を振り込ませるよう脅迫する。③被害者が仮想通貨を用意する。④被害者が仮想通貨を攻撃者に振り込む。

・Cryptojackingの攻撃シナリオと比較すると、ランサムウェアの場合、被害者が仮想通貨を用意する + それを攻撃者に振り込むというステップが余計に必要となる。この中でも「被害者が仮想通貨を用意する」というのは意外に難しいタスクであることが知られている。

・NTTセキュリティは、仮想通貨について明るくない一般のエンドユーザを対象に、ランサムウェアに感染したと仮定して、7日間以内に300 USD相当のBitcoinが入手できるかという実験を行った。その結果、該当のエンドユーザは制限時間以内にこのタスクを完了させることができなかった。この実験の詳細については、以下のレポートを参照してください。

・NTT Security: NTT Security Monthly Threat Report May 2017 https://www.nttsecurity.com/docs/librariesprovider3/resources/gtic-monthly-threat-report-may-2017

・このため、Cryptojackingの方が攻撃者にとってより効率の良い攻撃手法だと考えられる。

・攻撃シナリオは以下の通り①攻撃者がWebサイトを改ざんし、Webサイト上にCoinhiveなどのマイニング用JavaScriptを埋め込む。②Webサイトの閲覧者のCPUリソースを用いて、仮想通貨をマイニングし、攻撃者が利益を得る。

・本節では取引所への攻撃と並行して事例が増えつつあるCryptojacking攻撃について扱う。2017年9月にCoinhiveが登場して以降、この用語が使われるようになっている。

・まずはCryptojackingの代表格と言えるCoinhiveを紹介する。・CoinhiveはMoneroのブロックチェーンを採掘するJS実装の仮想

通貨マイナーである。JS実装の仮想通貨マイナーの先駆であり、この分野において大きなシェアを占めている。PublicWWWで検索すると、34,000件以上のWebサイトにCoinhiveが埋め込まれていることが分かる（検索日： 2017/12/11）。

・Cryptojackingで使用されるJavaScript（JS）実装の仮想通貨マイナーを紹介する。

・Sucuriがレポートしているように、攻撃者がWebサイトを改ざんし、このCoinhiveを埋め込む事例が頻発している。・Sucuri: Hacked Websites Mine Cryptocurrencies https://blog.sucuri.net/2017/09/hacked-websites-mine-crypocurrencies.html

・Sucuri: Cryptominers on Hacked Sites ‒ Part 2 https://blog.sucuri.net/2017/10/cryptominers-on-hacked-sites-part-2.html

・日本国内でも、Webサイトが改ざんされ、Coinhiveが埋め込まれた事例が観測されている。・IIJ: Webサイトの改ざんに伴う仮想通貨マイニングスクリプトの埋め込み事例 https://wizsafe.iij.ad.jp/2017/10/94/

・上記の事例はCoinhiveを難読化し、一般的に用いられるライブラリに偽装する形で埋め込むという比較的高度なもの・典型的には以下のように、難読化せずにCoinhiveが埋め込まれる事例が多く見られる。

・某H大学のWebサイトが改ざんされた例。現在は修正済み（観測日: 2017/11/29）

92


4

Cryptojackingとは JavaScript実装の仮想通貨マイナー


●CryptojackingとはSource: ENISA: Cryptojacking ‒ Cryptomining in the browser参照：https://www.enisa.europa.eu/publications/info-notes/cryptojacking-cryptomining-in-the-browser

なぜ流行しているのか?

●Coinhive

●Coinhiveロゴ

●Coinhiveの埋め込み状況

●某H大学のWebサイトにCoinhiveが埋め込まれた事例

End-users

Cryptocurrencymining

Threat actorCompromised website with

cryptomining script embedded

Cryptojacking

Steps1. The threat actor compromises a website2. Users connect to the compromised website and the cryptomining script executes 3. Users unknowingly start mining cryptocurrency on behalf of the threat actor4. Upon successfully adding a new block to the blockchain, the threat actor receives a reward in cryptocurrency coins

12

43

3

・金銭目的の攻撃者が、例えばランサムウェアを用いて利益を得ようとする場合のシナリオは以下の通り①何らかの手法で被害者をランサムウェアに感染させる。②情報を暗号化するなどして、被害者に仮想通貨を振り込ませるよう脅迫する。③被害者が仮想通貨を用意する。④被害者が仮想通貨を攻撃者に振り込む。

・Cryptojackingの攻撃シナリオと比較すると、ランサムウェアの場合、被害者が仮想通貨を用意する + それを攻撃者に振り込むというステップが余計に必要となる。この中でも「被害者が仮想通貨を用意する」というのは意外に難しいタスクであることが知られている。

・NTTセキュリティは、仮想通貨について明るくない一般のエンドユーザを対象に、ランサムウェアに感染したと仮定して、7日間以内に300 USD相当のBitcoinが入手できるかという実験を行った。その結果、該当のエンドユーザは制限時間以内にこのタスクを完了させることができなかった。この実験の詳細については、以下のレポートを参照してください。

・NTT Security: NTT Security Monthly Threat Report May 2017 https://www.nttsecurity.com/docs/librariesprovider3/resources/gtic-monthly-threat-report-may-2017

・このため、Cryptojackingの方が攻撃者にとってより効率の良い攻撃手法だと考えられる。

・攻撃シナリオは以下の通り①攻撃者がWebサイトを改ざんし、Webサイト上にCoinhiveなどのマイニング用JavaScriptを埋め込む。②Webサイトの閲覧者のCPUリソースを用いて、仮想通貨をマイニングし、攻撃者が利益を得る。

・本節では取引所への攻撃と並行して事例が増えつつあるCryptojacking攻撃について扱う。2017年9月にCoinhiveが登場して以降、この用語が使われるようになっている。

・まずはCryptojackingの代表格と言えるCoinhiveを紹介する。・CoinhiveはMoneroのブロックチェーンを採掘するJS実装の仮想

通貨マイナーである。JS実装の仮想通貨マイナーの先駆であり、この分野において大きなシェアを占めている。PublicWWWで検索すると、34,000件以上のWebサイトにCoinhiveが埋め込まれていることが分かる（検索日： 2017/12/11）。

・Cryptojackingで使用されるJavaScript（JS）実装の仮想通貨マイナーを紹介する。

・Sucuriがレポートしているように、攻撃者がWebサイトを改ざんし、このCoinhiveを埋め込む事例が頻発している。・Sucuri: Hacked Websites Mine Cryptocurrencies https://blog.sucuri.net/2017/09/hacked-websites-mine-crypocurrencies.html

・Sucuri: Cryptominers on Hacked Sites ‒ Part 2 https://blog.sucuri.net/2017/10/cryptominers-on-hacked-sites-part-2.html

・日本国内でも、Webサイトが改ざんされ、Coinhiveが埋め込まれた事例が観測されている。・IIJ: Webサイトの改ざんに伴う仮想通貨マイニングスクリプトの埋め込み事例 https://wizsafe.iij.ad.jp/2017/10/94/

・上記の事例はCoinhiveを難読化し、一般的に用いられるライブラリに偽装する形で埋め込むという比較的高度なもの・典型的には以下のように、難読化せずにCoinhiveが埋め込まれる事例が多く見られる。

・某H大学のWebサイトが改ざんされた例。現在は修正済み（観測日: 2017/11/29）

93



Cryptojackingのまとめ

・前述したように、Cryptojackingは攻撃者にとって収益性の高い攻撃手法である。Cryptojackingで用いられるJS実装の仮想通貨マイナーは、Minrのようにウイルス対策ソフト／アドブロックなどの検知を逃れる方向に進化している。これらを勘案すると、Cyptojackingの被害がますます拡大することが懸念される。

・また、攻撃経路としてS3などのCDNを改ざんする事例が見つかっており、今後もCryptojacking攻撃は洗練されていくものと見られる。

・Unsecured AWS led to cryptojacking attack on LA Times https://nakedsecurity.sophos.com/2018/02/27/unsecured-aws-led-to-cryptojacking-attack-on-la-times/

・さて、このCryptojackingに対して、どのように対策をすれば良いか? エンドユーザ側・セキュリティ担当者側のそれぞれに推奨されるCryptojackingの対策方法を以下にまとめた。

攻撃の概要

平昌冬季オリンピックの開会式前後に公式Webサイトなどが一時停止となった。大会組織委員会はサイバー攻撃が原因と発表したが詳細については説明していない。


・2018年2月9日 20:00、開会式の開始直前に以下の事象が発生した。・オリンピックの公式Webサイトが一時停止、サイト閲覧や観戦チケット

の印刷が一時不可となった。・メインプレスセンターのテレビ視聴とインターネット通信が一時利用不可

となった。・オリンピックスタジアム内の無線LANが一時利用不可となった。

・大会組織委員会は「サイバー攻撃が原因だった」と説明した。・攻撃の詳細や攻撃者に関する情報については、「問題に対処中」を理由に

公表しなかった。・The Guradianは、ドーピング問題で処分を受けたロシアが攻撃に関与した

可能性を示唆した。・ロシア外務省は即座に関与を否定した。

エンドユーザ側の対策

セキュリティ担当者側の対策①仮想通貨マイナーが使用するドメインを定期的に調査し、ブラックリストとして運用する。

参考情報・CoinBlockerLists https://github.com/ZeroDot1/CoinBlockerLists

4. 平昌冬季オリンピックに関するサイバー攻撃

●攻撃を伝えるThe Guardianの記事参照：https://www.theguardian.com/sport/2018/

feb/11/winter-olympics-was-hit-by-cyber-attack-officials-confirm

Cisco Talosの分析結果

・Cisco Talosは2018年2月12日に、開会式前後の攻撃で使われたと見られるマルウェアOlympic Destroyerの分析結果を公表した。

・Windowsのシャドーコピーや起動時に必要な設定を消去し、コンピュータを使用できなくする。一方、情報窃取の機能はない。

・初期感染の経路は不明。一方、感染拡大はWebブラウザやWindowsから認証情報を窃取し、PsExecとWMIを用いてほかのコンピュータに不正ログインを試みる。

・攻撃者はオリンピックの情報システムの詳細を大量に把握している模様・ユーザ名、パスワード、ドメイン名、サーバの名称

・攻撃者の身元に関する情報は公表に含まれなかった。・情報セキュリティ各社もOlympic Destroyerの追加分析結果を公表した。

●Cisco Talosが分析結果を公表したブログ参照：http://blog.talosintelligence.com/2018/02/

olympic-destroyer.html

ニュースサイトCyberscoopの記事公開

・ニュースサイトCyberscoopは2018年2月14日に、平昌オリンピックの情報システムを構築した仏Atosに対し、2017年12月頃からサイバー攻撃が行われていた可能性がある、とする記事を公開した。

・2017年12月にOlympic Destroyerの検体がVirusTotalに投稿された際、投稿元がフランスおよびルーマニアだった。Atosの拠点と一致

・上記検体の解析で、コード中に「（ユーザ名）@atos.net」という文字列が存在した。Atosのシステムのユーザ名と推測される。

・Atosの広報担当者はCyberscoopに以下の通り説明した。・開会式の最中に発生したインシデントに対し、徹底的な調査を実施している。・Atosが2017年12月頃から攻撃を受けていたかどうかは言及せず。

・AtosはニュースサイトCRNに以下の通り説明した。・今回の攻撃による情報漏えいは発生していない。・Atosのインフラおよび顧客にダメージはない。

●Cyberscoopの記事参照：https://www.cyberscoop.com/atos-

olympics-hack-olympic-destroyer-malware-peyongchang/

①ウイルス対策ソフトの定義ファイルを常に最新の状態にする。②アドブロックを利用する（Adblock Plusなど、一部のアドブロッカーは仮想通貨マイナーをブロックする機能を持っている）。③仮想通貨マイナー専用のブロッカー（NoCoin、AntiMiner、 MinerBlockなど）を利用する。

94


4

Cryptojackingのまとめ

・前述したように、Cryptojackingは攻撃者にとって収益性の高い攻撃手法である。Cryptojackingで用いられるJS実装の仮想通貨マイナーは、Minrのようにウイルス対策ソフト／アドブロックなどの検知を逃れる方向に進化している。これらを勘案すると、Cyptojackingの被害がますます拡大することが懸念される。

・また、攻撃経路としてS3などのCDNを改ざんする事例が見つかっており、今後もCryptojacking攻撃は洗練されていくものと見られる。

・Unsecured AWS led to cryptojacking attack on LA Times https://nakedsecurity.sophos.com/2018/02/27/unsecured-aws-led-to-cryptojacking-attack-on-la-times/

・さて、このCryptojackingに対して、どのように対策をすれば良いか? エンドユーザ側・セキュリティ担当者側のそれぞれに推奨されるCryptojackingの対策方法を以下にまとめた。

攻撃の概要

平昌冬季オリンピックの開会式前後に公式Webサイトなどが一時停止となった。大会組織委員会はサイバー攻撃が原因と発表したが詳細については説明していない。


・2018年2月9日 20:00、開会式の開始直前に以下の事象が発生した。・オリンピックの公式Webサイトが一時停止、サイト閲覧や観戦チケット

の印刷が一時不可となった。・メインプレスセンターのテレビ視聴とインターネット通信が一時利用不可

となった。・オリンピックスタジアム内の無線LANが一時利用不可となった。

・大会組織委員会は「サイバー攻撃が原因だった」と説明した。・攻撃の詳細や攻撃者に関する情報については、「問題に対処中」を理由に

公表しなかった。・The Guradianは、ドーピング問題で処分を受けたロシアが攻撃に関与した

可能性を示唆した。・ロシア外務省は即座に関与を否定した。

エンドユーザ側の対策

セキュリティ担当者側の対策①仮想通貨マイナーが使用するドメインを定期的に調査し、ブラックリストとして運用する。

参考情報・CoinBlockerLists https://github.com/ZeroDot1/CoinBlockerLists




Cisco Talosの分析結果

・Cisco Talosは2018年2月12日に、開会式前後の攻撃で使われたと見られるマルウェアOlympic Destroyerの分析結果を公表した。

・Windowsのシャドーコピーや起動時に必要な設定を消去し、コンピュータを使用できなくする。一方、情報窃取の機能はない。

・初期感染の経路は不明。一方、感染拡大はWebブラウザやWindowsから認証情報を窃取し、PsExecとWMIを用いてほかのコンピュータに不正ログインを試みる。

・攻撃者はオリンピックの情報システムの詳細を大量に把握している模様・ユーザ名、パスワード、ドメイン名、サーバの名称

・攻撃者の身元に関する情報は公表に含まれなかった。・情報セキュリティ各社もOlympic Destroyerの追加分析結果を公表した。

●Cisco Talosが分析結果を公表したブログ参照：http://blog.talosintelligence.com/2018/02/

olympic-destroyer.html

ニュースサイトCyberscoopの記事公開

・ニュースサイトCyberscoopは2018年2月14日に、平昌オリンピックの情報システムを構築した仏Atosに対し、2017年12月頃からサイバー攻撃が行われていた可能性がある、とする記事を公開した。

・2017年12月にOlympic Destroyerの検体がVirusTotalに投稿された際、投稿元がフランスおよびルーマニアだった。Atosの拠点と一致

・上記検体の解析で、コード中に「（ユーザ名）@atos.net」という文字列が存在した。Atosのシステムのユーザ名と推測される。

・Atosの広報担当者はCyberscoopに以下の通り説明した。・開会式の最中に発生したインシデントに対し、徹底的な調査を実施している。・Atosが2017年12月頃から攻撃を受けていたかどうかは言及せず。

・AtosはニュースサイトCRNに以下の通り説明した。・今回の攻撃による情報漏えいは発生していない。・Atosのインフラおよび顧客にダメージはない。

●Cyberscoopの記事参照：https://www.cyberscoop.com/atos-

olympics-hack-olympic-destroyer-malware-peyongchang/

①ウイルス対策ソフトの定義ファイルを常に最新の状態にする。②アドブロックを利用する（Adblock Plusなど、一部のアドブロッカーは仮想通貨マイナーをブロックする機能を持っている）。③仮想通貨マイナー専用のブロッカー（NoCoin、AntiMiner、 MinerBlockなど）を利用する。

95



＊ PsExec: Microsoft謹製の強力な管理ツールで、認証情報があれば、ローカルにあるファイルをリモートにコピーした上で実行することが可能

マルウェアの主要な挙動

本マルウェアの主目的は情報搾取やボット化ではなく論理的なマシンの破壊である。以下のように破壊と感染を繰り返す。


・本体内に複数保持しているexeファイルをローカルマシン上にドロップ・exe1を使用してマシンの論理的破壊活動・exe2を実行してマシン内からクレデンシャル情報を搾取し、自身のコピーに埋め込む。・感染マシン上のARPテーブルからリモートホストを取得し感染先とする。・感染先ホストに対してexe3を使用して自身をリモートからコピー／実行することで感染

感染活動

具体的には以下により感染先ホストを検索し、ネットワーク内への感染活動を行う。

①感染マシンのARPテーブルから次の感染先ホストを探す。　→ARPを利用することからネットワーク内を感染の目標としていることが分かる。

②バイナリからドロップしたクレデンシャル搾取ツールを実行し、感染マシンのメモリから認証情報を入手する。その情報は自身のコピー内に埋め込む。このコピーを使用して感染するため、感染を繰り返すたびにクレデンシャルが増えていく。以下は検証環境で実際に動作させた際に追加されたクレデンシャル

③バイナリからドロップしたPsExec＊バイナリ（前述のexe3）を使用し、①で取得したリモートホストに対して、②で入手した認証情報を使用して自身の複製をリモートコピー＆実行することで感染活動を行う。

5. Olympic Destroyerの検証



Washington Postの報道

・米Washington Postは2018年2月24日、「ロシアが平昌オリンピックの関連組織に対しサイバー攻撃を行った」と米国政府の情報機関の関係者が主張した、と報道した。

・ロシア軍の情報機関GRUが2月初めより、オリンピックの関連組織の約300台のコンピュータに不正アクセスを行っていた、と関係者は主張した。

・北朝鮮の仕業に見せかけるため、北朝鮮のIPアドレスを使用するなどの偽装を行っていた。

・GRUが1月に韓国国内の複数のルーターをハッキングし、2月9日の開会式当日にマルウェアを拡散させた、とも関係者は主張した。

・ロシアの関与を示す具体的な根拠は示されなかった。・これらの攻撃が開会式前後の攻撃と関係しているかどうかは不明

となっている。

参考情報

平昌冬季オリンピックに関するサイバー攻撃・https://www.theguardian.com/sport/2018/feb/11/winter-olympics-was-hit-by-cyber-attack-officials-confirm・https://www.reuters.com/article/us-olympics-2018-cyber/games-organizers-confirm-cyber-attack-wont-reveal-source-idUSKBN1FV036

・http://blog.talosintelligence.com/2018/02/olympic-destroyer.html・https://motherboard.vice.com/en_us/article/d3w7jz/olympic-destroyer-opening-ceremony-hack・https://www.endgame.com/blog/technical-blog/stopping-olympic-destroyer-new-process-injection-insights・https://www.mbsd.jp/blog/20180215.html・https://www.cyberscoop.com/atos-olympics-hack-olympic-destroyer-malware-peyongchang/・https://www.crn.com/news/security/300099511/olympics-solution-provider-atos-cyberattack-caused-no-data-leakage-infrastructure-damage.htm

・https://www.washingtonpost.com/world/national-security/russian-spies-hacked-the-olympics-and-tried-to-make-it-look-like-north-korea-did-it-us-officials-say/2018/02/24/44b5468e-18f2-11e8-92c9-376b4fe57ff7_story.html?utm_term=.9bb52599d595

●Washington Postの記事参照：https://www.washingtonpost.com/world/

national-security/russian-spies-hacked-the-olympics-and-tried-to-make-it-look-like-north-korea-did-it-us-officials-say/2018/02/24/44b5468e-18f2-11e8-92c9-376b4fe57ff7_story.html?utm_term=.1adb2ecc75a5

●マルウェアの挙動

●バイナリ内の認証情報

検体にあらかじめ含まれていた部分

検証環境で実行したところ追加された部分

マシンA

マシンB

詐取したクレデンシャルを自身のコピーに追加

マルウェア本体


破壊活動

クレデンシャル詐取

リモートコピー＆実行

自身のコピー

感染するたびにクレデンシャルが増える

最初の感染経路は不明

exe1

exe2

exe3

96


4

＊ PsExec: Microsoft謹製の強力な管理ツールで、認証情報があれば、ローカルにあるファイルをリモートにコピーした上で実行することが可能

マルウェアの主要な挙動

本マルウェアの主目的は情報搾取やボット化ではなく論理的なマシンの破壊である。以下のように破壊と感染を繰り返す。


・本体内に複数保持しているexeファイルをローカルマシン上にドロップ・exe1を使用してマシンの論理的破壊活動・exe2を実行してマシン内からクレデンシャル情報を搾取し、自身のコピーに埋め込む。・感染マシン上のARPテーブルからリモートホストを取得し感染先とする。・感染先ホストに対してexe3を使用して自身をリモートからコピー／実行することで感染

感染活動

具体的には以下により感染先ホストを検索し、ネットワーク内への感染活動を行う。

①感染マシンのARPテーブルから次の感染先ホストを探す。　→ARPを利用することからネットワーク内を感染の目標としていることが分かる。

②バイナリからドロップしたクレデンシャル搾取ツールを実行し、感染マシンのメモリから認証情報を入手する。その情報は自身のコピー内に埋め込む。このコピーを使用して感染するため、感染を繰り返すたびにクレデンシャルが増えていく。以下は検証環境で実際に動作させた際に追加されたクレデンシャル

③バイナリからドロップしたPsExec＊バイナリ（前述のexe3）を使用し、①で取得したリモートホストに対して、②で入手した認証情報を使用して自身の複製をリモートコピー＆実行することで感染活動を行う。

5. Olympic Destroyerの検証



Washington Postの報道

・米Washington Postは2018年2月24日、「ロシアが平昌オリンピックの関連組織に対しサイバー攻撃を行った」と米国政府の情報機関の関係者が主張した、と報道した。

・ロシア軍の情報機関GRUが2月初めより、オリンピックの関連組織の約300台のコンピュータに不正アクセスを行っていた、と関係者は主張した。

・北朝鮮の仕業に見せかけるため、北朝鮮のIPアドレスを使用するなどの偽装を行っていた。

・GRUが1月に韓国国内の複数のルーターをハッキングし、2月9日の開会式当日にマルウェアを拡散させた、とも関係者は主張した。

・ロシアの関与を示す具体的な根拠は示されなかった。・これらの攻撃が開会式前後の攻撃と関係しているかどうかは不明

となっている。

参考情報

平昌冬季オリンピックに関するサイバー攻撃・https://www.theguardian.com/sport/2018/feb/11/winter-olympics-was-hit-by-cyber-attack-officials-confirm・https://www.reuters.com/article/us-olympics-2018-cyber/games-organizers-confirm-cyber-attack-wont-reveal-source-idUSKBN1FV036

・http://blog.talosintelligence.com/2018/02/olympic-destroyer.html・https://motherboard.vice.com/en_us/article/d3w7jz/olympic-destroyer-opening-ceremony-hack・https://www.endgame.com/blog/technical-blog/stopping-olympic-destroyer-new-process-injection-insights・https://www.mbsd.jp/blog/20180215.html・https://www.cyberscoop.com/atos-olympics-hack-olympic-destroyer-malware-peyongchang/・https://www.crn.com/news/security/300099511/olympics-solution-provider-atos-cyberattack-caused-no-data-leakage-infrastructure-damage.htm

・https://www.washingtonpost.com/world/national-security/russian-spies-hacked-the-olympics-and-tried-to-make-it-look-like-north-korea-did-it-us-officials-say/2018/02/24/44b5468e-18f2-11e8-92c9-376b4fe57ff7_story.html?utm_term=.9bb52599d595

●Washington Postの記事参照：https://www.washingtonpost.com/world/

national-security/russian-spies-hacked-the-olympics-and-tried-to-make-it-look-like-north-korea-did-it-us-officials-say/2018/02/24/44b5468e-18f2-11e8-92c9-376b4fe57ff7_story.html?utm_term=.1adb2ecc75a5

●マルウェアの挙動

●バイナリ内の認証情報

検体にあらかじめ含まれていた部分

検証環境で実行したところ追加された部分

マシンA

マシンB

詐取したクレデンシャルを自身のコピーに追加



破壊活動

クレデンシャル詐取

リモートコピー＆実行

自身のコピー

感染するたびにクレデンシャルが増える

最初の感染経路は不明

exe1

exe2

exe3

97



脆弱性の概要

どちらの脆弱性も不正なメモリアクセスにより情報を窃取する。

5. Olympic Destroyerの検証 6. MeltdownとSpectre

破壊活動

以下を実行後、一定時間経過後にマシンをシャットダウンする。

サービスの起動が禁止になっているため、OSを起動してもBSODとなる。その後は起動→BSOD→起動→BSOD…の無限ループとなる。復元データも削除されておりリカバリもできない。

まとめ

Windows 7以降でリモートからPsExecを使用するには、使用される側のマシンのレジストリに“localAccount-To-kenFilterPolicy”というエントリが明示的に追加されている必要がある（一部のサーバ集中管理ソリューションでは、導入時に上記レジストリを追加させるものもある）。また、破壊活動で説明した挙動はどれも管理者権限が必要になるレベルのものである。分析に使用したバイナリにはActive Directory環境のものと推測されるクレデンシャルが含まれており、その中には管理者を想像させるユーザ名もあった（簡易なパスワードのものも多数あった…）。その場合クレデンシャルを使い回すことができるため、多くのマシンで感染被害が出ることになってしまう。

特に大規模システムではマシン、ユーザなど各資源の一元管理は重要な機能であるが、このようなリスクがあることも気に留めておきたい。

バックアップ削除 wbadmin.exe delete catalog -quiet

イベントログの削除 wevtutil.exe cl Security

シャドウコピーの削除 c:¥Windows¥system32¥vssadmin.exe delete shadows /all /quiet

共有ファイルの削除リモートのファイルを開いて“0x00”でファイルの一部分を上書きする。

アクティブなサービスの停止＋シャットダウン WindowsAPIを使用してホスト上で起動している全サービスをの起動を禁止した後シャットダウンする。

スタートアップ修復の無効化、リカバリモードの無効化

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no

Meltdown Spectre項目

ユーザプロセスがOSのカーネルメモリの情報へアクセスできる。

CVE-2017-5754

アウトオブオーダー実行

Intel製、ARMベースのプロセッサ（Apple製）

悪意あるプログラムがOSのカーネルメモリから情報を窃取できる。

仮想環境（クラウドなど）で、攻撃者が仮想マシン上で脆弱性を悪用するコードを実行し、ホストやほかの仮想マシンのメモリから情報を窃取する。

悪意のあるアプリケーションが別のアプリケーションに割り当てられているメモリのデータを不正に取得できる。

CVE-2017-5715、 CVE-2017-5753投機的実行、分岐予測

Intel製、AMD製、ARM製、ARMベースのプロセッサ（Apple製、Samsung製、Qualcomm製）

悪意あるプログラムがほかのアプリケーションのメモリから情報を窃取できる。

脆弱性を悪用するJavaScriptを標的のWebブラウザに読み込ませる。・悪意あるWebサイトへの誘導・正規のWebサイトの改ざん・Webサイトの不正広告

脆弱性の仕組み

CVE番号

悪用される機能

影響を受けるプロセッサ

悪用された際の影響

想定される具体的な攻撃手法

対策

恒久対策には対策済みのCPUへの換装が必要だが、まだ販売されていないため、回避策の適用が必要

Meltdown Spectre対策の種類

脆弱性を修正したCPUへの換装　※ただし、2018年1月現在で脆弱性を修正したCPUは提供されていない。

・OSに対し修正プログラムを適用・CPUのマイクロコードの更新（BIOSの更新により実施）・アプリケーション（Webブラウザなど）に対し修正プログラムを適用

恒久対策

暫定回避策

影響を受ける製品

Meltdownは一部だが、Spectreはすべてのプロセッサに影響を及ぼす。（それを搭載したPC、サーバ、スマートフォン、モバイル機器なども対象）

以下の条件にて両脆弱性が悪用できることをNTT-CERTが確認OS　　: Ubuntu 16.04　　Kernel : 4.4.0-93-genericCPU　 : Intel Core i7-4790　

Meltdown Spectreベンダ

1995年以降に出荷されたすべてのプロセッサ（2013年以前のItaniumおよびAtomは影響を受けない）

※影響を受けない

一部で影響を受ける※ただし対象コアは発表段階で現状搭載された端末はない

すべてのプロセッサ

現在使用されているほぼすべてのプロセッサ

Intel

AMD

ARM

ＡＲＭベース

Apple

Samsung

Qualcomm



98


4

脆弱性の概要

どちらの脆弱性も不正なメモリアクセスにより情報を窃取する。

5. Olympic Destroyerの検証 6. MeltdownとSpectre

破壊活動

以下を実行後、一定時間経過後にマシンをシャットダウンする。

サービスの起動が禁止になっているため、OSを起動してもBSODとなる。その後は起動→BSOD→起動→BSOD…の無限ループとなる。復元データも削除されておりリカバリもできない。

まとめ

Windows 7以降でリモートからPsExecを使用するには、使用される側のマシンのレジストリに“localAccount-To-kenFilterPolicy”というエントリが明示的に追加されている必要がある（一部のサーバ集中管理ソリューションでは、導入時に上記レジストリを追加させるものもある）。また、破壊活動で説明した挙動はどれも管理者権限が必要になるレベルのものである。分析に使用したバイナリにはActive Directory環境のものと推測されるクレデンシャルが含まれており、その中には管理者を想像させるユーザ名もあった（簡易なパスワードのものも多数あった…）。その場合クレデンシャルを使い回すことができるため、多くのマシンで感染被害が出ることになってしまう。

特に大規模システムではマシン、ユーザなど各資源の一元管理は重要な機能であるが、このようなリスクがあることも気に留めておきたい。

バックアップ削除 wbadmin.exe delete catalog -quiet

イベントログの削除 wevtutil.exe cl Security

シャドウコピーの削除 c:¥Windows¥system32¥vssadmin.exe delete shadows /all /quiet

共有ファイルの削除リモートのファイルを開いて“0x00”でファイルの一部分を上書きする。

アクティブなサービスの停止＋シャットダウン WindowsAPIを使用してホスト上で起動している全サービスをの起動を禁止した後シャットダウンする。

スタートアップ修復の無効化、リカバリモードの無効化

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no

Meltdown Spectre項目

ユーザプロセスがOSのカーネルメモリの情報へアクセスできる。

CVE-2017-5754

アウトオブオーダー実行

Intel製、ARMベースのプロセッサ（Apple製）

悪意あるプログラムがOSのカーネルメモリから情報を窃取できる。

仮想環境（クラウドなど）で、攻撃者が仮想マシン上で脆弱性を悪用するコードを実行し、ホストやほかの仮想マシンのメモリから情報を窃取する。

悪意のあるアプリケーションが別のアプリケーションに割り当てられているメモリのデータを不正に取得できる。

CVE-2017-5715、 CVE-2017-5753投機的実行、分岐予測

Intel製、AMD製、ARM製、ARMベースのプロセッサ（Apple製、Samsung製、Qualcomm製）

悪意あるプログラムがほかのアプリケーションのメモリから情報を窃取できる。

脆弱性を悪用するJavaScriptを標的のWebブラウザに読み込ませる。・悪意あるWebサイトへの誘導・正規のWebサイトの改ざん・Webサイトの不正広告

脆弱性の仕組み

CVE番号

悪用される機能

影響を受けるプロセッサ

悪用された際の影響

想定される具体的な攻撃手法

対策

恒久対策には対策済みのCPUへの換装が必要だが、まだ販売されていないため、回避策の適用が必要

Meltdown Spectre対策の種類

脆弱性を修正したCPUへの換装　※ただし、2018年1月現在で脆弱性を修正したCPUは提供されていない。

・OSに対し修正プログラムを適用・CPUのマイクロコードの更新（BIOSの更新により実施）・アプリケーション（Webブラウザなど）に対し修正プログラムを適用

恒久対策

暫定回避策

影響を受ける製品

Meltdownは一部だが、Spectreはすべてのプロセッサに影響を及ぼす。（それを搭載したPC、サーバ、スマートフォン、モバイル機器なども対象）

以下の条件にて両脆弱性が悪用できることをNTT-CERTが確認OS　　: Ubuntu 16.04　　Kernel : 4.4.0-93-genericCPU　 : Intel Core i7-4790　

Meltdown Spectreベンダ

1995年以降に出荷されたすべてのプロセッサ（2013年以前のItaniumおよびAtomは影響を受けない）


一部で影響を受ける※ただし対象コアは発表段階で現状搭載された端末はない

すべてのプロセッサ

現在使用されているほぼすべてのプロセッサ

Intel

AMD

ARM

ＡＲＭベース

Apple

Samsung

Qualcomm



99



6. MeltdownとSpectre

悪用時に残存する痕跡および悪用事例

悪用時に残存する痕跡

悪用された事例2018年1月31日時点で確認した限り、報告はない。

ベンダの対応状況例

ベンダ対応状況を一部抜粋、いずれも両脆弱性の対応（OS、アプリケーション）

参考情報

・脆弱性の概要https://www.enisa.europa.eu/publications/info-notes/meltdown-and-spectre-critical-processor-vulnerabilitieshttps://googleprojectzero.blogspot.jp/2018/01/reading-privileged-memory-with-side.html

・ベンダの対応状況https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-frhttps://support.apple.com/en-us/HT208394https://support.google.com/faqs/answer/7622138#androidhttps://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv180002

・その他関連事象https://japan.cnet.com/article/35113055/https://blog.online.net/2018/01/03/important-note-about-the-security-flaw-impacting-arm-intel-hardware/https://support.microsoft.com/ja-jp/help/4072699/january-3-2018-windows-security-updates-and-antivirus-softwarehttp://www.zdnet.com/article/windows-meltdown-spectre-update-now-some-amd-pc-owners-post-crash-reports/https://support.microsoft.com/en-us/help/4073707/windows-operating-system-security-update-for-amd-based-deviceshttps://newsroom.intel.com/news/firmware-updates-and-initial-performance-data-for-data-center-systems/https://newsroom.intel.com/news/root-cause-of-reboot-issue-identified-updated-guidance-for-customers-and-partners/https://japan.zdnet.com/article/35113677/http://itpro.nikkeibp.co.jp/atcl/news/17/010902932/https://japan.cnet.com/article/35114230/

Intel（2018/1/3）：BIOS Update・INTEL-SA-00088

Apple（2018/1/8）：macOS, Safariなど・Spectre: iOS 11.2, macOS 10.13.2, tvOS 11.2・Meltdown: iOS 11.2.2, macOS High Sierra 10.13.2, Safari 11.0.2

Google（2018/1/3, 2018/1/5）：Android, Google Chrome・Android 2018-01-05 Security Patch Level ・Google Chrome 64

Microsoft（2018/1/3, 2018/1/9）：Windows, Internet Explorer, Microsoft Edge・KB4056897, KB4056894, KB4056888, KB4056892, KB4056891, KB4056890, KB4056898,

KB4056893, KB4056895Linux distributions:

・Red Hat, Cent OS, Fedora, Ubuntu, Debian, SUSE, Scientific Linux, CoreOS, NixOS, Arch Linux, Gentoo, Oracle Linux, CloudLinuxなどがパッチをリリース

その他関連事象

パッチ適用時、性能低下の影響が発生（未解決）・Intelは検証結果を公表

・最新CPU：処理性能は6%低下、応答性は12%低下・旧型CPU：処理性能は8%低下、応答性は21%低下※応答性はアプリケーションの起動、複数タブでのイン

ターネット閲覧、ファイルのコピーや暗号化などの処理速度の測定基準

・クラウド事業者Scalewayは自社のクラウドサービスにLinux Kernelの修正プログラムを適用した前後の性能の変化を公開

・システムのCPUの使用率が大幅に上昇している様子を示した。

IntelのCPUマイクロコード修正版に不具合、予期せぬ再起動が発生（未解決）・マイクロコードの更新後に、コンピュータの予期しない再起動が発生する事象が確認された。・2018年1月17日にIntelは調査状況を公開、「Haswell」から「Kaby Lake」までのプロセッサで不具合が発生する

可能性があると説明した。・2018年1月22日にIntelは調査状況を更新、提供していたマイクロコードの修正版に不具合があったことを認め、

マイクロコードの更新を停止するよう勧告した。・Intelはマイクロコード修正版の公開を取りやめた。・不具合を修正したマイクロコードの提供時期は明言せず。

・DellおよびHPはIntelの勧告を受け、マイクロコードの修正版を含んだBIOSアップデートの公開を取りやめた。

Windowsでウイルス対策ソフトとの互換性に問題、BSODが発生（解決済）・ウイルス対策ソフトがインストールされているWindowsに修正プログラムを適用した場合に、BSODが発生しコン

ピュータが起動できなくなる不具合が発生・Microsoftは不具合回避のため、「ウイルス対策ソフトが修正プログラムに対応したバージョンに更新されている場合

のみ、修正プログラムがダウンロード・インストールされる」ようにパッチ適用のポリシーを変更

AMD製の旧型CPUを登載したコンピュータで修正プログラムの適用後にBSODが発生（解決済）・2006年前後に製造された「Athlon X2 6000+」を搭載したコンピュータに修正プログラムを適用した場合に、BSOD

が発生しコンピュータが起動できなくなる不具合が発生・Microsoftは不具合を修正した修正プログラムを公開済み

佐賀県庁でOffice365が一時利用不可、Azureで修正プログラム適用後に発生した問題が原因（解決済）・2018年1月5日、佐賀県庁で約3時間にわたり「Office 365」が利用できない事象が発生・Microsoft Azure上のユーザ認証サーバを利用していた。・2018年1月3日にマイクロソフトがサーバにパッチを適用したが、再起動後に必要なプロセスが起動せず。・2018年1月5日頃、不具合発生前に生成されていた認証情報の有効期限が切れ、ユーザ認証エラーが発生

Office 365が利用できなくなった。・佐賀県庁は再発防止策として、緊急でセキュリティパッチを適用する際の事前通達をマイクロソフト側に要請

「Meltdown」「Spectre」を狙うマルウェアサンプル、大量に発見・AV-TEST Instituteは2018年2月1日 Meltdown/Spectreに関連するサンプルが139個あるという調査結果を公表・サンプルのほとんどはPoCであり、実際に攻撃に使用された事例は確認されていない。

・なし（従来のログに攻撃ログが残らない）

●修正プログラム適用前後のCPU使用率(Scaleway社報告)

●Meltdown, Spectreに関連するマルウェアサンプル数（AV-TEST Institute報告）

この時点で修正プログラム適用システムの CPU 使用率が上昇

100


4

6. MeltdownとSpectre

悪用時に残存する痕跡および悪用事例

悪用時に残存する痕跡

悪用された事例2018年1月31日時点で確認した限り、報告はない。

ベンダの対応状況例

ベンダ対応状況を一部抜粋、いずれも両脆弱性の対応（OS、アプリケーション）

参考情報

・脆弱性の概要https://www.enisa.europa.eu/publications/info-notes/meltdown-and-spectre-critical-processor-vulnerabilitieshttps://googleprojectzero.blogspot.jp/2018/01/reading-privileged-memory-with-side.html

・ベンダの対応状況https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-frhttps://support.apple.com/en-us/HT208394https://support.google.com/faqs/answer/7622138#androidhttps://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv180002

・その他関連事象https://japan.cnet.com/article/35113055/https://blog.online.net/2018/01/03/important-note-about-the-security-flaw-impacting-arm-intel-hardware/https://support.microsoft.com/ja-jp/help/4072699/january-3-2018-windows-security-updates-and-antivirus-softwarehttp://www.zdnet.com/article/windows-meltdown-spectre-update-now-some-amd-pc-owners-post-crash-reports/https://support.microsoft.com/en-us/help/4073707/windows-operating-system-security-update-for-amd-based-deviceshttps://newsroom.intel.com/news/firmware-updates-and-initial-performance-data-for-data-center-systems/https://newsroom.intel.com/news/root-cause-of-reboot-issue-identified-updated-guidance-for-customers-and-partners/https://japan.zdnet.com/article/35113677/http://itpro.nikkeibp.co.jp/atcl/news/17/010902932/https://japan.cnet.com/article/35114230/

Intel（2018/1/3）：BIOS Update・INTEL-SA-00088

Apple（2018/1/8）：macOS, Safariなど・Spectre: iOS 11.2, macOS 10.13.2, tvOS 11.2・Meltdown: iOS 11.2.2, macOS High Sierra 10.13.2, Safari 11.0.2

Google（2018/1/3, 2018/1/5）：Android, Google Chrome・Android 2018-01-05 Security Patch Level ・Google Chrome 64

Microsoft（2018/1/3, 2018/1/9）：Windows, Internet Explorer, Microsoft Edge・KB4056897, KB4056894, KB4056888, KB4056892, KB4056891, KB4056890, KB4056898,

KB4056893, KB4056895Linux distributions:

・Red Hat, Cent OS, Fedora, Ubuntu, Debian, SUSE, Scientific Linux, CoreOS, NixOS, Arch Linux, Gentoo, Oracle Linux, CloudLinuxなどがパッチをリリース

その他関連事象

パッチ適用時、性能低下の影響が発生（未解決）・Intelは検証結果を公表

・最新CPU：処理性能は6%低下、応答性は12%低下・旧型CPU：処理性能は8%低下、応答性は21%低下※応答性はアプリケーションの起動、複数タブでのイン

ターネット閲覧、ファイルのコピーや暗号化などの処理速度の測定基準

・クラウド事業者Scalewayは自社のクラウドサービスにLinux Kernelの修正プログラムを適用した前後の性能の変化を公開

・システムのCPUの使用率が大幅に上昇している様子を示した。

IntelのCPUマイクロコード修正版に不具合、予期せぬ再起動が発生（未解決）・マイクロコードの更新後に、コンピュータの予期しない再起動が発生する事象が確認された。・2018年1月17日にIntelは調査状況を公開、「Haswell」から「Kaby Lake」までのプロセッサで不具合が発生する

可能性があると説明した。・2018年1月22日にIntelは調査状況を更新、提供していたマイクロコードの修正版に不具合があったことを認め、

マイクロコードの更新を停止するよう勧告した。・Intelはマイクロコード修正版の公開を取りやめた。・不具合を修正したマイクロコードの提供時期は明言せず。

・DellおよびHPはIntelの勧告を受け、マイクロコードの修正版を含んだBIOSアップデートの公開を取りやめた。

Windowsでウイルス対策ソフトとの互換性に問題、BSODが発生（解決済）・ウイルス対策ソフトがインストールされているWindowsに修正プログラムを適用した場合に、BSODが発生しコン

ピュータが起動できなくなる不具合が発生・Microsoftは不具合回避のため、「ウイルス対策ソフトが修正プログラムに対応したバージョンに更新されている場合

のみ、修正プログラムがダウンロード・インストールされる」ようにパッチ適用のポリシーを変更

AMD製の旧型CPUを登載したコンピュータで修正プログラムの適用後にBSODが発生（解決済）・2006年前後に製造された「Athlon X2 6000+」を搭載したコンピュータに修正プログラムを適用した場合に、BSOD

が発生しコンピュータが起動できなくなる不具合が発生・Microsoftは不具合を修正した修正プログラムを公開済み

佐賀県庁でOffice365が一時利用不可、Azureで修正プログラム適用後に発生した問題が原因（解決済）・2018年1月5日、佐賀県庁で約3時間にわたり「Office 365」が利用できない事象が発生・Microsoft Azure上のユーザ認証サーバを利用していた。・2018年1月3日にマイクロソフトがサーバにパッチを適用したが、再起動後に必要なプロセスが起動せず。・2018年1月5日頃、不具合発生前に生成されていた認証情報の有効期限が切れ、ユーザ認証エラーが発生

Office 365が利用できなくなった。・佐賀県庁は再発防止策として、緊急でセキュリティパッチを適用する際の事前通達をマイクロソフト側に要請

「Meltdown」「Spectre」を狙うマルウェアサンプル、大量に発見・AV-TEST Instituteは2018年2月1日 Meltdown/Spectreに関連するサンプルが139個あるという調査結果を公表・サンプルのほとんどはPoCであり、実際に攻撃に使用された事例は確認されていない。

・なし（従来のログに攻撃ログが残らない）

●修正プログラム適用前後のCPU使用率(Scaleway社報告)

●Meltdown, Spectreに関連するマルウェアサンプル数（AV-TEST Institute報告）

この時点で修正プログラム適用システムの CPU 使用率が上昇

101



感染拡大の手法

7. 2017年に流行した自己拡散するランサムウェアの概要　（NTTDATA-CERT寄稿）

はじめに

2017年には、WannaCry、Petya亜種（Petya, NotPetya, GoldenEyeなど）、BadRabbitなどのランサムウェアにより、世界規模で被害が発生した。(1)(2)

これらランサムウェアは、同じ脆弱性を悪用し、ワーム的に活動する（組織ネットワークで自律的に感染を拡大する）点で共通していた。メールを開く、リンクをクリックする、といったユーザ操作なしに感染するため、多数の端末に短時間で感染拡大した。本節ではこれらランサムウェアの特徴や活動経緯を振り返り、組織のネットワーク担当者やセキュリティ担当者に求められる対策を述べる。

タイムライン(3)

・2017/1/16US-CERTがSMBv1の脆弱性についてセキュリティアドバイザリを発した。

・2017/3/14 Microsoft社がCVE-2017-0144を修正する更新プログラム MS17-010(4)を公開した。

・2017/4/14犯罪集団Shadow Brokersが攻撃ツールFuzzbunchを公開した。

（エクスプロイトコードEternalBlue、バックドアDoublePulsarを含む）・2017/5/12

WannaCryの大規模感染が発生した。・2017/5/12

Microsoft社がWindows XPにもCVE-2017-0144の修正プログラムを追加公開した。・2017/6/27

Petya亜種の大規模感染が発生した。・2017/10/24

BadRabbitの大規模感染が発生した。

①WannaCry・イギリス NHS（国民健康保険サービス）

医療システムが停止し、患者にサービスを提供できなかった。イングランドで47、スコットランドで13の信託機関が影響を受けた。(5)

・日本日立製作所一部社内システムに不具合が発生し、メールの送受信に影響が出た。ドイツの事業所にある電子顕微鏡が感染し、組織ネットワークを介して感染が拡大した。(6)(7)

・ソフトウェアの自動更新機能の悪用、改ざんされたWebサイトからのダウンロード、細工されたサービス通信などを通じ、組織ネットワークに侵入する。

・SMBv1の脆弱性や、Windowsのリモート管理機能を悪用し、組織ネットワークの他端末に感染を拡大する。

各ランサムウェアの特徴

今回取り上げた3種のランサムウェアは、「SMBv1脆弱性を悪用する」「組織ネットワークで自律的に感染を拡大する」という共通点がある。一方で、WannaCryがグローバルアドレスも含めた無作為なIPアドレスに感染を拡大するのに対し、Petya亜種、BadRabbitはLAN内の端末のみに感染を拡大する。Petya亜種、BadRabbitは特定組織や国家への標的型攻撃を意図した可能性がある。

・新種ランサムウェアのため、メールのウイルスフィルタの対応が間に合わず、メールの添付ファイルとして組織に侵入する。

・Webプロキシのウイルスフィルタの対応が間に合わず、Webサイトからのダウンロードで組織に侵入する。・セキュリティ対策の不十分な端末が、組織外に持ち出されてランサムウェアに感染する。その後、端末を持ち帰った

段階で、組織にランサムウェアが持ち込まれる。

これらランサムウェアは一旦組織ネットワークに侵入すると、脆弱性のある端末を自動で探索し、感染を拡大する。入口出口対策を厳格に行っていても、以下のようにすり抜けるケースがあり、感染のきっかけとなりうる。

②Petya亜種・ロシア石油輸出企業 Rosneft

公式Webサイトへのアクセスができなくなった。石油生産設備への被害防止のため、予備システムに切り替えた。(8)

・製薬会社 Merck生産設備が一時停止し、機会損失が発生した。(9)

・イギリスの日用品メーカー Reckitt Benckiser生産が中止し、1億ポンドの被害が発生した。(10)

・チョコレートメーカー Mondelez第2四半期の売上が3ポイント減少した。(10)

③BadRabbit・ロシア通信社 Interfax

公式Webサイトへのアクセスができなくなった。(11)

・ウクライナ Odessa国際空港空港のITシステムが停止し、便の発着が遅延した。(11)

被害事例

ランサムウェアにより発生した国内外の被害事例一部を挙げる。セキュリティ更新プログラムの適用されていない端末が残っていたことが、初期感染や感染拡大のきっかけとなった。

●WannaCryにおける初期感染と感染拡大の概要イメージ

Petya亜種 (15)(16)(17)WannaCry (12)(13)(14) BadRabbit (18)

初期感染経路

拡大方法

被害状況

被害内容

キルスイッチ

要求内容

インターネットから端末のTCP445番ポートに直接アクセスした。

会計ソフトMeDocの自動更新機能を悪用した。

Adobe Flash Playerのインストーラを装う水飲み場攻撃により感染した。

1-A. LAN内の端末を列挙しスキャンする。1-B. グローバル、LAN内含め、無作為なIP

アドレスをスキャンする。2. 発見した端末に対し、SMBv1脆弱性を

悪用して感染する。

1. LAN内の端末を列挙しスキャンする。2-A. 発見した端末に対し、SMBv1脆弱性を

悪用して感染する。2-B. オープンソースのMimikatzを利用

して認証情報を抽出する。Windowsのリモート管理機能psexec、WMIを利用して感染する。

1. LAN内の端末を列挙しスキャンする。2-A. 発見した端末に対し、SMBv1脆弱性

を悪用して感染する。2-B. オープンソースの Mimikatzを利用

して認証情報を抽出する。マルウェア自身の保持するパスワードリストも併用する。Windowsのリモート管理機能psexec、WMIを利用して感染する。

150カ国、300,000台以上の端末で被害が発生した。日本国内では600カ所、2,000台以上の端末で被害が発生した。

ウクライナを中心に65カ国で被害が発生した。

感染した端末のファイルが暗号化され開けなくなる。

感染した端末のファイルが暗号化され開けなくなる。ハードディスクのMBR（マスターブートレコード）が暗号化され、端末を起動できなくなる。

インターネット上の特定のURLに接続できると活動を停止する。

Bitcoinでの300 USD相当の身代金を要求する。

ローカルに特定ファイルが存在すると停止する。

主にロシア、ウクライナで被害が発生した。ほかにトルコ、ブルガリア、日本などで被害の発生した恐れあり。

●共通点と相違点

感染端末

①初期感染

②感染拡大SMBの脆弱性を悪用し、内部ネットワークで感染を広げる

102


4

感染拡大の手法

7. 2017年に流行した自己拡散するランサムウェアの概要　（NTTDATA-CERT寄稿）

はじめに

2017年には、WannaCry、Petya亜種（Petya, NotPetya, GoldenEyeなど）、BadRabbitなどのランサムウェアにより、世界規模で被害が発生した。(1)(2)

これらランサムウェアは、同じ脆弱性を悪用し、ワーム的に活動する（組織ネットワークで自律的に感染を拡大する）点で共通していた。メールを開く、リンクをクリックする、といったユーザ操作なしに感染するため、多数の端末に短時間で感染拡大した。本節ではこれらランサムウェアの特徴や活動経緯を振り返り、組織のネットワーク担当者やセキュリティ担当者に求められる対策を述べる。

タイムライン(3)

・2017/1/16US-CERTがSMBv1の脆弱性についてセキュリティアドバイザリを発した。

・2017/3/14 Microsoft社がCVE-2017-0144を修正する更新プログラム MS17-010(4)を公開した。

・2017/4/14犯罪集団Shadow Brokersが攻撃ツールFuzzbunchを公開した。

（エクスプロイトコードEternalBlue、バックドアDoublePulsarを含む）・2017/5/12

WannaCryの大規模感染が発生した。・2017/5/12

Microsoft社がWindows XPにもCVE-2017-0144の修正プログラムを追加公開した。・2017/6/27

Petya亜種の大規模感染が発生した。・2017/10/24

BadRabbitの大規模感染が発生した。

①WannaCry・イギリス NHS（国民健康保険サービス）

医療システムが停止し、患者にサービスを提供できなかった。イングランドで47、スコットランドで13の信託機関が影響を受けた。(5)

・日本日立製作所一部社内システムに不具合が発生し、メールの送受信に影響が出た。ドイツの事業所にある電子顕微鏡が感染し、組織ネットワークを介して感染が拡大した。(6)(7)

・ソフトウェアの自動更新機能の悪用、改ざんされたWebサイトからのダウンロード、細工されたサービス通信などを通じ、組織ネットワークに侵入する。

・SMBv1の脆弱性や、Windowsのリモート管理機能を悪用し、組織ネットワークの他端末に感染を拡大する。

各ランサムウェアの特徴

今回取り上げた3種のランサムウェアは、「SMBv1脆弱性を悪用する」「組織ネットワークで自律的に感染を拡大する」という共通点がある。一方で、WannaCryがグローバルアドレスも含めた無作為なIPアドレスに感染を拡大するのに対し、Petya亜種、BadRabbitはLAN内の端末のみに感染を拡大する。Petya亜種、BadRabbitは特定組織や国家への標的型攻撃を意図した可能性がある。

・新種ランサムウェアのため、メールのウイルスフィルタの対応が間に合わず、メールの添付ファイルとして組織に侵入する。

・Webプロキシのウイルスフィルタの対応が間に合わず、Webサイトからのダウンロードで組織に侵入する。・セキュリティ対策の不十分な端末が、組織外に持ち出されてランサムウェアに感染する。その後、端末を持ち帰った

段階で、組織にランサムウェアが持ち込まれる。

これらランサムウェアは一旦組織ネットワークに侵入すると、脆弱性のある端末を自動で探索し、感染を拡大する。入口出口対策を厳格に行っていても、以下のようにすり抜けるケースがあり、感染のきっかけとなりうる。

②Petya亜種・ロシア石油輸出企業 Rosneft

公式Webサイトへのアクセスができなくなった。石油生産設備への被害防止のため、予備システムに切り替えた。(8)

・製薬会社 Merck生産設備が一時停止し、機会損失が発生した。(9)

・イギリスの日用品メーカー Reckitt Benckiser生産が中止し、1億ポンドの被害が発生した。(10)

・チョコレートメーカー Mondelez第2四半期の売上が3ポイント減少した。(10)

③BadRabbit・ロシア通信社 Interfax

公式Webサイトへのアクセスができなくなった。(11)

・ウクライナ Odessa国際空港空港のITシステムが停止し、便の発着が遅延した。(11)

被害事例

ランサムウェアにより発生した国内外の被害事例一部を挙げる。セキュリティ更新プログラムの適用されていない端末が残っていたことが、初期感染や感染拡大のきっかけとなった。

●WannaCryにおける初期感染と感染拡大の概要イメージ

Petya亜種 (15)(16)(17)WannaCry (12)(13)(14) BadRabbit (18)

初期感染経路

拡大方法

被害状況

被害内容

キルスイッチ

要求内容

インターネットから端末のTCP445番ポートに直接アクセスした。

会計ソフトMeDocの自動更新機能を悪用した。

Adobe Flash Playerのインストーラを装う水飲み場攻撃により感染した。

1-A. LAN内の端末を列挙しスキャンする。1-B. グローバル、LAN内含め、無作為なIP

アドレスをスキャンする。2. 発見した端末に対し、SMBv1脆弱性を

悪用して感染する。

1. LAN内の端末を列挙しスキャンする。2-A. 発見した端末に対し、SMBv1脆弱性を

悪用して感染する。2-B. オープンソースのMimikatzを利用

して認証情報を抽出する。Windowsのリモート管理機能psexec、WMIを利用して感染する。

1. LAN内の端末を列挙しスキャンする。2-A. 発見した端末に対し、SMBv1脆弱性

を悪用して感染する。2-B. オープンソースの Mimikatzを利用

して認証情報を抽出する。マルウェア自身の保持するパスワードリストも併用する。Windowsのリモート管理機能psexec、WMIを利用して感染する。

150カ国、300,000台以上の端末で被害が発生した。日本国内では600カ所、2,000台以上の端末で被害が発生した。

ウクライナを中心に65カ国で被害が発生した。

感染した端末のファイルが暗号化され開けなくなる。

感染した端末のファイルが暗号化され開けなくなる。ハードディスクのMBR（マスターブートレコード）が暗号化され、端末を起動できなくなる。

インターネット上の特定のURLに接続できると活動を停止する。

Bitcoinでの300 USD相当の身代金を要求する。

ローカルに特定ファイルが存在すると停止する。

主にロシア、ウクライナで被害が発生した。ほかにトルコ、ブルガリア、日本などで被害の発生した恐れあり。

●共通点と相違点

感染端末

①初期感染

②感染拡大SMBの脆弱性を悪用し、内部ネットワークで感染を広げる

103



＊ Windowsのファイル共有サービスがTCP445番ポートを利用している。端末からファイルサーバやネットワークプリンタへのアクセスに必要なため、不用意に通信を遮断し、業務を停止させないように注意する。

参考情報対策

①感染予防の対策今回取り上げた3種のランサムウェアとも、セキュリティ対策の原則は同じである。また、一般のマルウェアと同様、多層防御により、侵入や情報漏えいのリスクを低減できる。(19)(20)

●システムや組織を対象にした対策システムや組織全体の方針として、以下の対策を取る。・ファイアウォールやメールフィルタを適切に設定し、不審な通信をブロックする*。・各端末のOSやアプリケーション・ソフトウエアを最新の状態に更新する。・各端末にセキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ。

組織ネットワーク内に1台でも脆弱な端末があると、初期感染や感染拡大のきっかけになる。対策抜け漏れ防止のため、以下の対策を加えると更に効果的である。・ソフトウェアや定義ファイルの最新化を強制、自動化する。・セキュリティ対策の不十分な端末を業務ネットワークに接続させない（検疫ネットワークの導入）。

●個人を対象にした対策組織の構成員に対し、以下のような教育啓発を繰り返す。・メールの添付ファイルの開封やWebページなどのリンクをたどる際には注意する。・不要なサービスを無効化し、使用しているサービスについてはアクセスを制限する＊。・不正な遠隔操作やログインを防ぐため、十分に強力なパスワードを設定する。

2018年の予想

サイバー犯罪者にとって、ランサムウェアは以下の点で費用対効果が高く、2018年も継続して用いられる。

②被害軽減の対策・ファイルやシステムを定期的にバックアップする。・ネットワーク経由での感染を防ぐため、バックアップ機器（ハードディスクやテープ）をオフラインで保管する。

③感染した場合の対応・感染拡大を防止するため、感染した端末をネットワークから切断する。・同一ネットワーク内のほかの端末も感染していないか、横並びで調査する。・端末の再感染を防ぐため、ランサムウェアを駆除する。・ランサムウェアの種類を特定する。・バックアップからデータの復号を試みる。ランサムウェアの種類によっては復号ツールが提供されている場合もある。

④注意事項攻撃者の要求した身代金を支払っても、暗号化されたデータやシステムの復旧する保証はない。身代金を支払わず、バックアップを用いて、データやシステムの復旧を試みるのが良い。

・Ransomware as a Serviceのように、専門知識がなくても、ランサムウェアを容易に入手できる。・身代金の支払いに仮想通貨やTorネットワークを利用でき、匿名性が高い。

企業個人の両方でクラウドストレージ（Box、Google Drive、Amazon S3など）の利用が加速しており、クラウドストレージに保存するデータの量や重要性が増している。ローカル端末からクラウドストレージに自動バックアップするような設定になっている場合、ローカル端末がランサムウェアに感染すると、暗号化されたファイルでクラウドストレージ上のファイルも上書きされてしまう。過去履歴を復元できるようなクラウドストレージをバックアップ先に選定すると良い。

7. 2017年に流行した自己拡散するランサムウェアの概要

(1)　(2)　(3)　(4)　(5)　(6)　(7)　(8)　　(9)　

(10)　

(11)　

(12)　

(13)　

(14)　

(15)　

(16)　

(17)　

(18)　

(19)　

(20)

TrendMicro, “2017年上半期セキュリティラウンドアップ,” 21 9 2017. [オンライン] https://www.trendmicro.com/ja_ jp/security-intelligence/research-reports/sr/sr-2017h1.htmlMcAfee, “McAfee Labs 脅威レポート,” 9 2017. [オンライン]https://www.mcafee.com/jp/resources/reports/rp-quarterly-threats-sept-2017.pdfSymantec, “WannaCry Ransomware Timeline 2017,” 12 5 2017. [オンライン] https://www.symantec.com/security_response/writeup.jsp?docid=2017-051310-3522-99Microsoft, “Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389),” 15 3 2017. [オンライン]https://docs.microsoft.com/ja-jp/security-updates/securitybulletins/2017/ms17-010BBC, “英医療機関、ランサムウェアの被害拡大を懸念,” 15 5 2017. [オンライン] http://www.bbc.com/japanese/39918853日立, “ランサムウェアによる被害および復旧状況について,” 17 5 2017. [オンライン] http://www.hitachi.co.jp/New/cnews/month/2017/05/0517a.html東京新聞, “５月の大規模サイバー攻撃　日立の被害感染源は電子顕微鏡装置か,” 4 7 2017. [オンライン]http://www.tokyo-np.co.jp/article/economics/list/201707/CK2017070402000114.htmlReuters, “Russia's Rosneft says hit by cyber attack, oil production unaffected,” 27 6 2017. [オンライン] https://www.reuters.com/article/us-russia-rosneft-cyberattack/russias-rosneft-says-hit-by-cyber-attack-oil-production-unaffected-idUSKBN19I1N9Healthcare IT News, “Petya cyberattack cost Merck $135 million in revenue,” 27 10 2017. [オンライン] http://www.healthcareitnews.com/news/petya-cyberattack-cost-merck-135-million-revenueFinancial Times, “Reckitt and Mondelez warn cyber attack hit sales,” 6 7 2017. [オンライン] https://www.ft.com/content/ef641e2e-6214-11e7-8814-0ac7eb84e5f1Reuters, “New wave of cyber attacks hits Russia, other nations,” 24 10 2017. [オンライン] https://www.reuters.com/article/us-ukraine-cyber/new-wave-of-cyber-attacks-hits-russia-other-nations-idUSKBN1CT21FJPCERT, “ランサムウエア "WannaCrypt" に関する注意喚起,” 17 5 2017. [オンライン] https://www.jpcert.or.jp/at/2017/at170020.html警察庁, “ランサムウェア「WannaCry」に感染したPCからの感染活動とみられる445/TCPポート宛てアクセスの観測について,” 19 5 2017. [オンライン]http://www.npa.go.jp/cyberpolice/detect/pdf/20170519.pdfTrendMicro, “ランサムウェア「WannaCry／Wcry」のワーム活動を解析：侵入／拡散手法に迫る,” 18 5 2017. [オンライン]http://blog.trendmicro.co.jp/archives/14920McAfee, “ランサムウェアとしてよりも破壊効果を優先させた「Petya」,” 12 10 2017. [オンライン]https://blogs.mcafee.jp/petya-effective-destructionKaspersky, “大規模ランサムウェア攻撃：技術的詳細,” 28 6 2017. [オンライン] https://blog.kaspersky.co.jp/schroedingers-petya/16695/Kaspersky, “ExPetr/Petya/NotPetya is a Wiper, Not Ransomware,” 28 6 2017. [オンライン] https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/TrendMicro, “新しい暗号化型ランサムウェア「Bad Rabbit」、ネットワーク経由で拡散、ウクライナとロシアなどで確認される,” 25 10 2017. [オンライン]http://blog.trendmicro.co.jp/archives/16226IPA, “世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について,” 18 5 2017. [オンライン]https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.htmlJPCERT, “ランサムウエア対策特設サイト,” 26 10 2017. [オンライン] https://www.jpcert.or.jp/magazine/security/nomore-ransom.html

104


4

＊ Windowsのファイル共有サービスがTCP445番ポートを利用している。端末からファイルサーバやネットワークプリンタへのアクセスに必要なため、不用意に通信を遮断し、業務を停止させないように注意する。

参考情報対策

①感染予防の対策今回取り上げた3種のランサムウェアとも、セキュリティ対策の原則は同じである。また、一般のマルウェアと同様、多層防御により、侵入や情報漏えいのリスクを低減できる。(19)(20)

●システムや組織を対象にした対策システムや組織全体の方針として、以下の対策を取る。・ファイアウォールやメールフィルタを適切に設定し、不審な通信をブロックする*。・各端末のOSやアプリケーション・ソフトウエアを最新の状態に更新する。・各端末にセキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ。

組織ネットワーク内に1台でも脆弱な端末があると、初期感染や感染拡大のきっかけになる。対策抜け漏れ防止のため、以下の対策を加えると更に効果的である。・ソフトウェアや定義ファイルの最新化を強制、自動化する。・セキュリティ対策の不十分な端末を業務ネットワークに接続させない（検疫ネットワークの導入）。

●個人を対象にした対策組織の構成員に対し、以下のような教育啓発を繰り返す。・メールの添付ファイルの開封やWebページなどのリンクをたどる際には注意する。・不要なサービスを無効化し、使用しているサービスについてはアクセスを制限する＊。・不正な遠隔操作やログインを防ぐため、十分に強力なパスワードを設定する。

2018年の予想

サイバー犯罪者にとって、ランサムウェアは以下の点で費用対効果が高く、2018年も継続して用いられる。

②被害軽減の対策・ファイルやシステムを定期的にバックアップする。・ネットワーク経由での感染を防ぐため、バックアップ機器（ハードディスクやテープ）をオフラインで保管する。

③感染した場合の対応・感染拡大を防止するため、感染した端末をネットワークから切断する。・同一ネットワーク内のほかの端末も感染していないか、横並びで調査する。・端末の再感染を防ぐため、ランサムウェアを駆除する。・ランサムウェアの種類を特定する。・バックアップからデータの復号を試みる。ランサムウェアの種類によっては復号ツールが提供されている場合もある。

④注意事項攻撃者の要求した身代金を支払っても、暗号化されたデータやシステムの復旧する保証はない。身代金を支払わず、バックアップを用いて、データやシステムの復旧を試みるのが良い。

・Ransomware as a Serviceのように、専門知識がなくても、ランサムウェアを容易に入手できる。・身代金の支払いに仮想通貨やTorネットワークを利用でき、匿名性が高い。

企業個人の両方でクラウドストレージ（Box、Google Drive、Amazon S3など）の利用が加速しており、クラウドストレージに保存するデータの量や重要性が増している。ローカル端末からクラウドストレージに自動バックアップするような設定になっている場合、ローカル端末がランサムウェアに感染すると、暗号化されたファイルでクラウドストレージ上のファイルも上書きされてしまう。過去履歴を復元できるようなクラウドストレージをバックアップ先に選定すると良い。

7. 2017年に流行した自己拡散するランサムウェアの概要

(1)　(2)　(3)　(4)　(5)　(6)　(7)　(8)　　(9)　

(10)　

(11)　

(12)　

(13)　

(14)　

(15)　

(16)　

(17)　

(18)　

(19)　

(20)

TrendMicro, “2017年上半期セキュリティラウンドアップ,” 21 9 2017. [オンライン] https://www.trendmicro.com/ja_ jp/security-intelligence/research-reports/sr/sr-2017h1.htmlMcAfee, “McAfee Labs 脅威レポート,” 9 2017. [オンライン]https://www.mcafee.com/jp/resources/reports/rp-quarterly-threats-sept-2017.pdfSymantec, “WannaCry Ransomware Timeline 2017,” 12 5 2017. [オンライン] https://www.symantec.com/security_response/writeup.jsp?docid=2017-051310-3522-99Microsoft, “Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389),” 15 3 2017. [オンライン]https://docs.microsoft.com/ja-jp/security-updates/securitybulletins/2017/ms17-010BBC, “英医療機関、ランサムウェアの被害拡大を懸念,” 15 5 2017. [オンライン] http://www.bbc.com/japanese/39918853日立, “ランサムウェアによる被害および復旧状況について,” 17 5 2017. [オンライン] http://www.hitachi.co.jp/New/cnews/month/2017/05/0517a.html東京新聞, “５月の大規模サイバー攻撃　日立の被害感染源は電子顕微鏡装置か,” 4 7 2017. [オンライン]http://www.tokyo-np.co.jp/article/economics/list/201707/CK2017070402000114.htmlReuters, “Russia's Rosneft says hit by cyber attack, oil production unaffected,” 27 6 2017. [オンライン] https://www.reuters.com/article/us-russia-rosneft-cyberattack/russias-rosneft-says-hit-by-cyber-attack-oil-production-unaffected-idUSKBN19I1N9Healthcare IT News, “Petya cyberattack cost Merck $135 million in revenue,” 27 10 2017. [オンライン] http://www.healthcareitnews.com/news/petya-cyberattack-cost-merck-135-million-revenueFinancial Times, “Reckitt and Mondelez warn cyber attack hit sales,” 6 7 2017. [オンライン] https://www.ft.com/content/ef641e2e-6214-11e7-8814-0ac7eb84e5f1Reuters, “New wave of cyber attacks hits Russia, other nations,” 24 10 2017. [オンライン] https://www.reuters.com/article/us-ukraine-cyber/new-wave-of-cyber-attacks-hits-russia-other-nations-idUSKBN1CT21FJPCERT, “ランサムウエア "WannaCrypt" に関する注意喚起,” 17 5 2017. [オンライン] https://www.jpcert.or.jp/at/2017/at170020.html警察庁, “ランサムウェア「WannaCry」に感染したPCからの感染活動とみられる445/TCPポート宛てアクセスの観測について,” 19 5 2017. [オンライン]http://www.npa.go.jp/cyberpolice/detect/pdf/20170519.pdfTrendMicro, “ランサムウェア「WannaCry／Wcry」のワーム活動を解析：侵入／拡散手法に迫る,” 18 5 2017. [オンライン]http://blog.trendmicro.co.jp/archives/14920McAfee, “ランサムウェアとしてよりも破壊効果を優先させた「Petya」,” 12 10 2017. [オンライン]https://blogs.mcafee.jp/petya-effective-destructionKaspersky, “大規模ランサムウェア攻撃：技術的詳細,” 28 6 2017. [オンライン] https://blog.kaspersky.co.jp/schroedingers-petya/16695/Kaspersky, “ExPetr/Petya/NotPetya is a Wiper, Not Ransomware,” 28 6 2017. [オンライン] https://securelist.com/expetrpetyanotpetya-is-a-wiper-not-ransomware/78902/TrendMicro, “新しい暗号化型ランサムウェア「Bad Rabbit」、ネットワーク経由で拡散、ウクライナとロシアなどで確認される,” 25 10 2017. [オンライン]http://blog.trendmicro.co.jp/archives/16226IPA, “世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について,” 18 5 2017. [オンライン]https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.htmlJPCERT, “ランサムウエア対策特設サイト,” 26 10 2017. [オンライン] https://www.jpcert.or.jp/magazine/security/nomore-ransom.html

105



8. ハードウェアとそこで必要なセキュリティの未来予想図

はじめに

ここ最近、ハードウェアに起因するセキュリティの話題が増えてきた。本レポートの読者は、MeltdownやSpectreといったハードウェアに起因する脆弱性について聞いたことがあることと思う。本節では、まだ世の認識があまり深まっていないハードウェアに起因する脆弱性について解説する。

脆弱性の種類

ソフトウェアに対しては、長きにわたるクラッキングとその対策の結果として、どのような脆弱性があるのかが共通脆弱性タイプ一覧（CWE Common Weakness Enumeration）としてまとめられている。(1)

例えば“CWE-20”は「不適切な入力確認」というタイプであるし、“CWE-78”は「OSコマンドインジェクション」というタイプである。一方、ハードウェアに対してはこのような脆弱性タイプ一覧が（少なくとも筆者が知る限り）存在しない。ハードウェアでも、その一部のジャンルであるシステムLSIに関しては脆弱性評価制度がある(2)のだが、これはシステムLSIが以下のような攻撃に対抗できるかどうかを評価するものである。①物理的な攻撃：プローブを挿してメモリからデータを読み出す。②かく乱攻撃：強力なレーザー光を照射したり、電源やクロックラインに信号を印加することでかく乱する。③サイドチャネル攻撃：動作中のLSIの消費電力や放射している電磁波などを取得して、その特徴から内部動作を解析する。④ソフトウェア攻撃：想定外のコマンドやパラメータを与えた際の動作から内部動作を解析する。脆弱性の種類を考える際には、何を対象とするのか、守るべきモノ（コト）は何か、どういう攻撃が成功するのか、といったことを念頭におく。例えば上記の脆弱性評価制度であれば、システムLSIを対象とし、そこに蓄えられた情報が守るべきモノで、いくつか攻撃種類を想定した際にそれが成功するのかどうかを評価している。さて本節では、下図のようなハードウェアを対象とし、その上でプログラムが規定した通りに動くことを守るべきものとしたときに、成功しそうな攻撃にどのようなものがあるかを考えてみよう。このハードウェアには、CPU、内部バス、メモリ、Flash ROM、リセットボタン、それに外部接続用のUSBインタフェースがある。このハードウェアに電気を通すと、CPU が Flash ROM からファームウェアと一般に呼ばれるプログラムを読み出し動き続ける。リセットボタンは押した際に一時的に電源を遮断する機能を持っていて、ボタンを離すと電気が流れ、その際にUSBインタフェースにUSBメモリが挿さっていれば、そのUSBメモリに格納されたファームウェアを使ってCPUが動作する。こちらのファームウェアはFlash ROMに格納されたものとは違い、Flash ROMの中身を更新するために利用するもので、更新が終了すると停止するものとする。プログラムが規定した通りに動かないようにすることを攻撃だと定義したので、CPUを動かなくさせることは攻撃成功となるし、規定していないコトを外部から細工して実行させることも攻撃成功となる。もちろんプログラムを止めることができても攻撃成功となる。ではこのハードウェアにはどんな脆弱性の種類がありえるか。それぞれのパーツごとに事例を参考にしながら説明する。

●サンプルハードウェア

●MeltdownとSpectre　見つけた脆弱性にアイコンとキャッチーな名前をつけるのが最近の流行り参照：https://meltdownattack.com/

●IMPsで紹介しているマルウェア例　ネットワークにキーワードが流れるとrootログインできる参照：https://www.usenix.org/legacy/event/leet08/tech/full_papers/king/king_html/

①CPUまずはCPUである。CPUの脆弱性として最近話題になったのが、2018年1月に公開されたSpectreとMeltdown(3)

である。これは、アプリがメモリ中の自身に読み書きの権限のないデータを読み出すことができる「サイドチャネル攻撃」だった。この脆弱性の種類は“CWE-200”「情報漏えい」である。この問題に対しては、ファームウェアを更改し、CPUの使い方を修正することで暫定対処ができているが、本格対処を行うためにはCPU内の回路から変更する必要がある。(4)

SpectreやMeltdownは仕様上の脆弱性が大量に利用されているチップに存在したために大きな問題となったが、過去にはバックドアが埋め込まれたチップが軍用品として利用されていたと騒がれたケース(5)もあった。ただし、このケースに関してはFPGA（製造後に回路構成を設定できる集積回路）の暗号化された設定ファイルの鍵をJTAG（回路デバッグ用の物理インタフェース）で取得できるようになっていたということのようで、“CWE-255”

「証明書・パスワードの管理」という脆弱性の種類だったようだ。(6)

こちらのケースはFPGAの設定ファイルを変更することで害を及ぼす可能性のある回路を作り上げる（かもしれない）という話だったが、ASIC（回路構成が固定の集積回路）を設計実装する間に害を及ぼす可能性のある回路が組み込まれてしまうというケースもある。このような害を及ぼす可能性のある回路を「ハードウェアトロイ」という。ハードウェアトロイを研究目的で作成した例としては、Illinois Malicious Processors（IMPs）(7)や、Malicious8051 processor (8)などがある。両論文とも詳細な技術情報の記載はない。

前者の論文は技術仕様が公開されているCPUに細工して、ローカルやリモートからの権限昇格や不正実行を実現できたことが特徴で、後者は現在でも汎用的に使われている制御用のチップの偽物を作り出したことが特徴である。ちなみに、このようなハードウェアトロイが組み込まれている偽物のチップと本物のチップを区別する手段として、先の「脆弱性の種類」の冒頭で紹介した「攻撃」手法を検出のために利用することができる。もっとも、「ニセモノは余計な動作をして本来の動作と違う箇所があるはず」というのがコンセプトとなっている手法なので、余計な動作を行っていなければ見つけ出すことができず、ニセモノの検出方法は現状でも研究対象となっている。

リセットボタン

CPU メモリ

内部パス

USBインタフェースFlashROM

106


4


はじめに

ここ最近、ハードウェアに起因するセキュリティの話題が増えてきた。本レポートの読者は、MeltdownやSpectreといったハードウェアに起因する脆弱性について聞いたことがあることと思う。本節では、まだ世の認識があまり深まっていないハードウェアに起因する脆弱性について解説する。

脆弱性の種類

ソフトウェアに対しては、長きにわたるクラッキングとその対策の結果として、どのような脆弱性があるのかが共通脆弱性タイプ一覧（CWE Common Weakness Enumeration）としてまとめられている。(1)

例えば“CWE-20”は「不適切な入力確認」というタイプであるし、“CWE-78”は「OSコマンドインジェクション」というタイプである。一方、ハードウェアに対してはこのような脆弱性タイプ一覧が（少なくとも筆者が知る限り）存在しない。ハードウェアでも、その一部のジャンルであるシステムLSIに関しては脆弱性評価制度がある(2)のだが、これはシステムLSIが以下のような攻撃に対抗できるかどうかを評価するものである。①物理的な攻撃：プローブを挿してメモリからデータを読み出す。②かく乱攻撃：強力なレーザー光を照射したり、電源やクロックラインに信号を印加することでかく乱する。③サイドチャネル攻撃：動作中のLSIの消費電力や放射している電磁波などを取得して、その特徴から内部動作を解析する。④ソフトウェア攻撃：想定外のコマンドやパラメータを与えた際の動作から内部動作を解析する。脆弱性の種類を考える際には、何を対象とするのか、守るべきモノ（コト）は何か、どういう攻撃が成功するのか、といったことを念頭におく。例えば上記の脆弱性評価制度であれば、システムLSIを対象とし、そこに蓄えられた情報が守るべきモノで、いくつか攻撃種類を想定した際にそれが成功するのかどうかを評価している。さて本節では、下図のようなハードウェアを対象とし、その上でプログラムが規定した通りに動くことを守るべきものとしたときに、成功しそうな攻撃にどのようなものがあるかを考えてみよう。このハードウェアには、CPU、内部バス、メモリ、Flash ROM、リセットボタン、それに外部接続用のUSBインタフェースがある。このハードウェアに電気を通すと、CPU が Flash ROM からファームウェアと一般に呼ばれるプログラムを読み出し動き続ける。リセットボタンは押した際に一時的に電源を遮断する機能を持っていて、ボタンを離すと電気が流れ、その際にUSBインタフェースにUSBメモリが挿さっていれば、そのUSBメモリに格納されたファームウェアを使ってCPUが動作する。こちらのファームウェアはFlash ROMに格納されたものとは違い、Flash ROMの中身を更新するために利用するもので、更新が終了すると停止するものとする。プログラムが規定した通りに動かないようにすることを攻撃だと定義したので、CPUを動かなくさせることは攻撃成功となるし、規定していないコトを外部から細工して実行させることも攻撃成功となる。もちろんプログラムを止めることができても攻撃成功となる。ではこのハードウェアにはどんな脆弱性の種類がありえるか。それぞれのパーツごとに事例を参考にしながら説明する。

●サンプルハードウェア

●MeltdownとSpectre　見つけた脆弱性にアイコンとキャッチーな名前をつけるのが最近の流行り参照：https://meltdownattack.com/

●IMPsで紹介しているマルウェア例　ネットワークにキーワードが流れるとrootログインできる参照：https://www.usenix.org/legacy/event/leet08/tech/full_papers/king/king_html/

①CPUまずはCPUである。CPUの脆弱性として最近話題になったのが、2018年1月に公開されたSpectreとMeltdown(3)

である。これは、アプリがメモリ中の自身に読み書きの権限のないデータを読み出すことができる「サイドチャネル攻撃」だった。この脆弱性の種類は“CWE-200”「情報漏えい」である。この問題に対しては、ファームウェアを更改し、CPUの使い方を修正することで暫定対処ができているが、本格対処を行うためにはCPU内の回路から変更する必要がある。(4)

SpectreやMeltdownは仕様上の脆弱性が大量に利用されているチップに存在したために大きな問題となったが、過去にはバックドアが埋め込まれたチップが軍用品として利用されていたと騒がれたケース(5)もあった。ただし、このケースに関してはFPGA（製造後に回路構成を設定できる集積回路）の暗号化された設定ファイルの鍵をJTAG（回路デバッグ用の物理インタフェース）で取得できるようになっていたということのようで、“CWE-255”

「証明書・パスワードの管理」という脆弱性の種類だったようだ。(6)

こちらのケースはFPGAの設定ファイルを変更することで害を及ぼす可能性のある回路を作り上げる（かもしれない）という話だったが、ASIC（回路構成が固定の集積回路）を設計実装する間に害を及ぼす可能性のある回路が組み込まれてしまうというケースもある。このような害を及ぼす可能性のある回路を「ハードウェアトロイ」という。ハードウェアトロイを研究目的で作成した例としては、Illinois Malicious Processors（IMPs）(7)や、Malicious8051 processor (8)などがある。両論文とも詳細な技術情報の記載はない。

前者の論文は技術仕様が公開されているCPUに細工して、ローカルやリモートからの権限昇格や不正実行を実現できたことが特徴で、後者は現在でも汎用的に使われている制御用のチップの偽物を作り出したことが特徴である。ちなみに、このようなハードウェアトロイが組み込まれている偽物のチップと本物のチップを区別する手段として、先の「脆弱性の種類」の冒頭で紹介した「攻撃」手法を検出のために利用することができる。もっとも、「ニセモノは余計な動作をして本来の動作と違う箇所があるはず」というのがコンセプトとなっている手法なので、余計な動作を行っていなければ見つけ出すことができず、ニセモノの検出方法は現状でも研究対象となっている。

リセットボタン

CPU メモリ

内部パス

USBインタフェースFlashROM

107




●USBKill　USBドングルを使ってPCを破壊する瞬間参照：https://www.youtube.com/watch?v=3hbuhFwFsDU

●サイドチャネル攻撃（検出）の例　ハードとアプリを限定すれば音楽を奏でることもできる参照：https://fulldecent.github.io/system-bus-radio/

●Row Hammer型の攻撃　攻撃が成功してルート権限を奪取できた瞬間参照：https://www.youtube.com/watch?v=Mnzp1p9Nvw0

④Flash ROM4番目はFlash ROMである。Flash ROMも基本的な構造はメモリと同じなので、ここではハードウェア運用時に発生するプログラム更新に関する問題について説明する。最初にも書いたようにクラッキングとそれへの対策の結果培われてきたセキュリティ対策技術は、主にネットワークに関するソフトウェアの領域におけるもので、まだまだハードウェアの領域には浸透していない。今回サンプルとしたハードウェアではUSBメモリを使ってファームウェアをアップデートすることにしたので、決めておいた動作と違う動きをするファームウェアを用意し、それを使ってFlash ROMを更新すれば攻撃成功となる。昨今はエンジニアを現地に派遣してファームウェアアップデートを試みるのはコストの観点から忌避され、ネットワークを介したリモートアップデートが主流になりつつある。この点で参考になりそうな攻撃事例として、かつて日産自動車のリーフで見つかった米国での遠隔管理装置 TCU（テレマティクス制御ユニット）の例がある。(13)このTCUは、中間者攻撃（MITM）可能な2Gモデムを使っていたことも問題だったが、何年も前に脆弱性が発見されたチップを特に対策することもなく使っていたことが問題だった。前者は通信路を暗号化することだけに注目するのではなく、誰と通信を行っているのかを正しく検証することが必要だということを意味しているし、後者はハードウェアで使用しているパーツ単位で問題の有無を検証する「サプライチェーンマネジメント」を実施することが重要だということを意味している。

⑤リセットボタンリセットボタンを押せばハードウェアは停止する。そのため押した状態で固定すれば攻撃成功である。単純ではあるが効果的である。リセットボタンに限らず、ハードウェア上のジャンパーピンやディップスイッチの設定を変更したり、電源ケーブルを抜去したり、物理的な侵入検知センサーを伴っているハードウェア(14)であれば、外箱を開けることでも動作を停止させることができる。

⑥USB（メモリ）ハードウェアが外界とつながるための仕組みがI/Oインタフェースである。例えば今回のサンプルのようにUSBインタフェースをつけると、ファームウェアやOSをアップデートするためにUSBメモリを使うことができる。このUSBメモリを使った攻撃で過去有名になったものにBadUSB(15)がある。BadUSBメモリは再プログラム可能なコントロールチップが使われていて、挿したハードウェアからはキーボードとして認識され、任意のキー入力を自動で行うようになっていた。今回サンプルとしたハードウェアではキーボードを使うことを考慮していないので問題にはならないが、このアイデアを使った攻撃はこれからも起こるであろう。一方、USB 接続した際に、内臓したコンデンサに電荷を蓄え、極性を逆にしてPC 本体に電圧をかけることを繰り返すUSB Killerというツール(16)があり、販売もされている。(17)これはUSBインタフェースが給電機能を持っていることを利用しているため避けることができず、ハードウェアに致命的な損傷を引き起こす攻撃である。

②内部バス次に内部バスである。内部バスはチップとチップとをつなぐデータの流通経路である。ここに物理的にプローブを挿し込めばチップ間のデータを取得することができる。つまり、“CWE-200”「情報漏えい」である。また、「脆弱性の種類」の冒頭で紹介した「物理的な攻撃」にも相当する。プローブとして、チップが元々持っているJTAGの機能を使用することもある。①CPUで紹介した、チップにバックドアが組み込まれていることを発見したという話で使われた手段もJTAGだった。JTAGというのはシリアル通信で集積回路の内部とやり取りをする規格である。当初は基盤検査用に作られたが、最近ではデバッグ用のインタフェースとしても使われている。例えば FPGAやCPUのある特定の端子が出し入れする信号を一瞬だけ止めるといったことが可能である。別の言い方をすると、CPU の動きとは関係なくハードウェアを操作することができるわけである。これは“CWE-254”

「セキュリティ機能」に当たる脆弱性であろう。ただ、プライベート命令などはベンダが原則非公開としているので、ベンダからの情報開示がなければ利用は困難である。実のところ、ハードウェアが電気を使っている限り、動作中には何らかの電波を発信することになる。これはサイドチャネル攻撃（検出）で使われる技術で、ネットワークインタフェースやUSBインタフェースがまったくないハードウェアであっても、情報を外界に送信するためにAMラジオを使える場合がある。

③メモリ3 番目はメモリである。メモリに関してはRow Hammerという脆弱性がある。これは製造プロセス技術が微細化したために顕在化したもので、DRAMメモリセルに連続してアクセスすると、隣接したセルのデータが不安定化し、エラーが発生することがある、というものである。(9)この脆弱性を利用した攻撃で権限奪取やメモリ破損が発生することがあり、これは“CWE-254”「セキュリティ機能」という脆弱性の種類になる。基本的には短期間で繰り返し書き込みを行うことでメモリを異常動作させる攻撃である。メモリだと権限奪取できるか再現実験してみるのはなかなか難しいが、同様の問題はSSDでも起こることが報告されて(10)

いて、動画の説明もある。また、スマホで広く使われているARMベースでの端末でもDrammerと名付けられた脆弱性がある。(11)

製造プロセス技術が微細化したために発生した問題として、ソフトエラーもある。これは放射線に含まれる粒子が半導体に衝突した際、半導体内部で荷電粒子が発生し、メモリに影響を及ぼすために発生する現象である。もともとは宇宙機での問題として考えられていたが、最近では地上で使う通信装置での故障要因として問題になっている。この問題への対処方法はまだ初期段階で、ソフトエラーを人為的に引き起こす環境の商用提供 (12)が始まったところである。

108


4


●USBKill　USBドングルを使ってPCを破壊する瞬間参照：https://www.youtube.com/watch?v=3hbuhFwFsDU

●サイドチャネル攻撃（検出）の例　ハードとアプリを限定すれば音楽を奏でることもできる参照：https://fulldecent.github.io/system-bus-radio/

●Row Hammer型の攻撃　攻撃が成功してルート権限を奪取できた瞬間参照：https://www.youtube.com/watch?v=Mnzp1p9Nvw0

④Flash ROM4番目はFlash ROMである。Flash ROMも基本的な構造はメモリと同じなので、ここではハードウェア運用時に発生するプログラム更新に関する問題について説明する。最初にも書いたようにクラッキングとそれへの対策の結果培われてきたセキュリティ対策技術は、主にネットワークに関するソフトウェアの領域におけるもので、まだまだハードウェアの領域には浸透していない。今回サンプルとしたハードウェアではUSBメモリを使ってファームウェアをアップデートすることにしたので、決めておいた動作と違う動きをするファームウェアを用意し、それを使ってFlash ROMを更新すれば攻撃成功となる。昨今はエンジニアを現地に派遣してファームウェアアップデートを試みるのはコストの観点から忌避され、ネットワークを介したリモートアップデートが主流になりつつある。この点で参考になりそうな攻撃事例として、かつて日産自動車のリーフで見つかった米国での遠隔管理装置 TCU（テレマティクス制御ユニット）の例がある。(13)このTCUは、中間者攻撃（MITM）可能な2Gモデムを使っていたことも問題だったが、何年も前に脆弱性が発見されたチップを特に対策することもなく使っていたことが問題だった。前者は通信路を暗号化することだけに注目するのではなく、誰と通信を行っているのかを正しく検証することが必要だということを意味しているし、後者はハードウェアで使用しているパーツ単位で問題の有無を検証する「サプライチェーンマネジメント」を実施することが重要だということを意味している。

⑤リセットボタンリセットボタンを押せばハードウェアは停止する。そのため押した状態で固定すれば攻撃成功である。単純ではあるが効果的である。リセットボタンに限らず、ハードウェア上のジャンパーピンやディップスイッチの設定を変更したり、電源ケーブルを抜去したり、物理的な侵入検知センサーを伴っているハードウェア(14)であれば、外箱を開けることでも動作を停止させることができる。

⑥USB（メモリ）ハードウェアが外界とつながるための仕組みがI/Oインタフェースである。例えば今回のサンプルのようにUSBインタフェースをつけると、ファームウェアやOSをアップデートするためにUSBメモリを使うことができる。このUSBメモリを使った攻撃で過去有名になったものにBadUSB(15)がある。BadUSBメモリは再プログラム可能なコントロールチップが使われていて、挿したハードウェアからはキーボードとして認識され、任意のキー入力を自動で行うようになっていた。今回サンプルとしたハードウェアではキーボードを使うことを考慮していないので問題にはならないが、このアイデアを使った攻撃はこれからも起こるであろう。一方、USB 接続した際に、内臓したコンデンサに電荷を蓄え、極性を逆にしてPC 本体に電圧をかけることを繰り返すUSB Killerというツール(16)があり、販売もされている。(17)これはUSBインタフェースが給電機能を持っていることを利用しているため避けることができず、ハードウェアに致命的な損傷を引き起こす攻撃である。

②内部バス次に内部バスである。内部バスはチップとチップとをつなぐデータの流通経路である。ここに物理的にプローブを挿し込めばチップ間のデータを取得することができる。つまり、“CWE-200”「情報漏えい」である。また、「脆弱性の種類」の冒頭で紹介した「物理的な攻撃」にも相当する。プローブとして、チップが元々持っているJTAGの機能を使用することもある。①CPUで紹介した、チップにバックドアが組み込まれていることを発見したという話で使われた手段もJTAGだった。JTAGというのはシリアル通信で集積回路の内部とやり取りをする規格である。当初は基盤検査用に作られたが、最近ではデバッグ用のインタフェースとしても使われている。例えば FPGAやCPUのある特定の端子が出し入れする信号を一瞬だけ止めるといったことが可能である。別の言い方をすると、CPU の動きとは関係なくハードウェアを操作することができるわけである。これは“CWE-254”

「セキュリティ機能」に当たる脆弱性であろう。ただ、プライベート命令などはベンダが原則非公開としているので、ベンダからの情報開示がなければ利用は困難である。実のところ、ハードウェアが電気を使っている限り、動作中には何らかの電波を発信することになる。これはサイドチャネル攻撃（検出）で使われる技術で、ネットワークインタフェースやUSBインタフェースがまったくないハードウェアであっても、情報を外界に送信するためにAMラジオを使える場合がある。

③メモリ3 番目はメモリである。メモリに関してはRow Hammerという脆弱性がある。これは製造プロセス技術が微細化したために顕在化したもので、DRAMメモリセルに連続してアクセスすると、隣接したセルのデータが不安定化し、エラーが発生することがある、というものである。(9)この脆弱性を利用した攻撃で権限奪取やメモリ破損が発生することがあり、これは“CWE-254”「セキュリティ機能」という脆弱性の種類になる。基本的には短期間で繰り返し書き込みを行うことでメモリを異常動作させる攻撃である。メモリだと権限奪取できるか再現実験してみるのはなかなか難しいが、同様の問題はSSDでも起こることが報告されて(10)

いて、動画の説明もある。また、スマホで広く使われているARMベースでの端末でもDrammerと名付けられた脆弱性がある。(11)

製造プロセス技術が微細化したために発生した問題として、ソフトエラーもある。これは放射線に含まれる粒子が半導体に衝突した際、半導体内部で荷電粒子が発生し、メモリに影響を及ぼすために発生する現象である。もともとは宇宙機での問題として考えられていたが、最近では地上で使う通信装置での故障要因として問題になっている。この問題への対処方法はまだ初期段階で、ソフトエラーを人為的に引き起こす環境の商用提供 (12)が始まったところである。

109




おわりに

参考情報

・ Adobe Flash Player、Adobe Acrobat、Adobe Reader、Adobe Acrobat Reader、Adobe ColdFusionは、Adobe Systems Incorporated（アドビシステムズ社）およびその子会社、関連会社の米国、およびその他の国における登録商標または商標です。

・ AMDおよびAMDロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。・ Android、Google Chrome、Google Calendar、Google Cloud Print、Google Docs、Google Drive、Google Play、Google Playロゴ、

Gmailは、Google Inc.の商標または登録商標です。・ Apache、Tomcat、Apache James、Lucene、 Apache Struts、FileUpload、およびOGNLは、Apache Software Foundationの登録商標

または商標です。・ Apple、Appleのロゴ、App Store、iPodのロゴ、iTunes、 WebKitは、米国および他国のApple Inc.の登録商標です。・ ARMは、米国およびその他の国におけるArm Limited.およびその関連会社の商標です。・ ATOSは、Atos groupの登録商標です。・ BINDは、Internet Systems Consortium, Inc.の登録商標です。・ Broadcomは、Avago Technologies General IP（Singapole）PTE. LTDの商標または登録商標です。・ CERTは、カーネギーメロンユニヴァーシティの登録商標です。・ CISCO、IOS、Snortは、米国およびその他の国におけるCisco Systems, Inc.およびその関連会社の商標です。・ Equifaxは、Equifax Inc.の商標または登録商標です。・ ESETは、ESET, spol. s r.o.の商標です。・ FacebookおよびFacebookロゴは、Facebook, Inc.の商標または登録商標です。・ FortiGateは、Fortinet, Inc.の登録商標です。・ FreeBSDは、FreeBSD Foundationの登録商標です。・ GMOは、GMOインターネット株式会社の商標または登録商標です。・ HP-UXは、米国およびその他諸国におけるHewlett-Packard Companyの登録商標です。・ HUAWEIは、商標またはHuawei Technologies株式会社の登録商標です。・ IBM、IBMロゴ、ibm.com、AIX、AIX 6、AIX 5L、BladeCenter、IntelliStation、POWER、RS/6000、System i、およびSystem pは、世界の

多くの国で登録されたInternational Business Machines Corporationの商標です。・ Intelは、インテル・コーポレーションの商標または登録商標です。・ Internet ExplorerおよびWindows、Internet Information Server（IIS）は、Microsoft Corporationおよびその子会社、関連会社の米国、

およびその他の国における登録商標または商標です。・ JVNは、JPCERT/CC Vender Status Notes DBです。・ Kasperskyは、AO Kaspersky Lab.の商標または登録商標です。・ LINEは、LINE Corporationの登録商標です。・ Linuxは、Linus Torvaldsの米国およびその他の国における登録商標あるいは商標です。・ Mozilla、Firefox、Thunderbirdとそれぞれのロゴは、米国Mozilla Foundationの米国およびその他の国における商標または登録商標です。・ MySQL、Java、JRE、JDK、Solarisは、Oracle Corporationおよびその子会社、関連会社の米国、およびその他の国における登録商標です。・ PostgreSQLは、PostgreSQLの商標です。・ Red Hatは、米国およびその他の国でRed Hat, Inc.の登録商標または商標です。・ Ruby on Railsは、David Heinemeier Hansson氏の登録商標です。・ TwitterおよびTwitterロゴ、Twitterの「T」ロゴ、Twitterの青い鳥は、米国また他国々におけるTwitter, Inc.の登録商標です。・ VeriSignとVeriSignのロゴ、他の商標、サービスマーク、およびデザインは、米国およびその他の国々におけるVeriSign, Inc.ならびにその

子会社の登録商標または商標です。・ Verizonは、Verizon Trademark Services LLCの商標または登録商標です。・ VMware、VMwareロゴ、Virtual SMPおよびVMotionは、Vmware, Inc.の米国およびその他の国における登録商標または商標です。・ Weblogicは、BEA Systems, Incの登録商標です。・ YouTubeおよびYouTubeロゴは、Google Incの商標または登録商標です。・ ZTE、ZTE中興およびロゴは、ZTE Corporationの中国およびその他の国における商標または登録商標です。・コインチェックは、コインチェック株式会社の商標または登録商標です。・その他、記載されている製品名などの固有名詞は、各社の商標または登録商標です。

(1)　(2)　(3)　(4)　(5)　(6)　(7)　(8)　(9)　

(10)　

(11)　

(12)　

(13)　

(14)　

(15)　

(16)　

(17)　

(18)

共通脆弱性タイプ一覧CWE概説https://www.ipa.go.jp/security/vuln/CWE.htmlハードウェア評価・認証スキームの国内唯一の認定評価機関によるシステムLSIの脆弱性評価http://www.ecsec.jp/HW3.htmlReading privileged memroy with a side-channelhttps://googleprojectzero.blogspot.jp/2018/01/reading-privileged-memory-with-side.htmlADVANCING SECURITY AT THE SILICON LEVELhttps://newsroom.intel.com/editorials/advancing-security-silicon-level/Breakthrough silicon scanning scanning discovers backdoor in military chiphttps://www.cl.cam.ac.uk/~sps32/ches2012-backdoor.pdfBogus story: no Chinese backdoor in military chiphttp://blog.erratasec.com/2012/05/bogus-story-no-chinese-backdoor-in.htmlDesigning and implementing malicious hardwarehttps://www.usenix.org/legacy/event/leet08/tech/full_papers/king/king_html/Designing and implementing Malicious 8051 processorhttps://www.researchgate.net/publication/261451763_Designing_and_implementing_a_Malicious_8051_processorExploiting the DRAM rowhammer bug to gain kernel privilegeshttps://googleprojectzero.blogspot.jp/2015/03/exploiting-dram-rowhammer-bug-to-gain.htmlIBM researchers: Rowhammer-like attack on flash memory can provide root privileges to attackerhttps://www.myce.com/news/ibm-researchers-rowhammer-like-attack-ssds-can-provide-root-privileges-attacker-82386/Native binary for testing Android phones for the Rowhammer bughttps://github.com/vusec/drammerソフトエラー試験サービス宇宙線起因の誤作動を再現http://keytech.ntt-at.co.jp/emc/prd_5014.htmlTILEmpower-Gx36 FR Platformhttp://www.mellanox.com/related-docs/prod_multi_core/PB_TILEmpower-Gx36-FR.pdf50ドルで入手した日産リーフから、IoT時代のセキュリティ課題を見つけた話http://ascii.jp/elem/000/001/533/1533962/index-2.htmlPhison 225103 (2303) Custom Firmware &Existing Firmware Patches (BadUSB)https://github.com/brandonlw/PsychsonUSB Killerhttps://kukuruku.co/post/usb-killer/USB KILLhttps://usbkill.com/インテルx86マシンの奥深くでは人知れず「MINIX 3」が動作しており、脆弱性を作り出している。Googleらはそれを排除しようとしているhttp://www.publickey1.jp/blog/17/cpuminix_3google.html

本節では、サンプルのハードウェアを考えて、そこでどのような攻撃が成功しそうかを見てきた。繰り返し書いているが、セキュリティ対策は長きにわたるクラッキングとその対策の結果生まれてきたもので、その領域はソフトウェアからハードウェアの分野に拡大しつつある。ハードウェアと言っても、物理攻撃をリモートから行うのは難しいので、当面はファームウェアが主たる攻防の舞台になるだろう。例えば、Intelのx86プロセッサが使っているUEFIはプロプライエタリでクローズドなファームウェアだが、内部で MINIX というオープンソースの OS が動いているのではないかと言われている。(18)別の言い方をすると、普段私たちが使っているOSを動かすためにIntelが用意した別のOSがあるが、実はこれが攻撃に弱い状態で使われているということである。この発表では、安全なファームウェアを作ろうとしているが難しいということが言われている。これからは、誰がどんな目的で作ったのかすでにわからなくなったハードウェアであっても、安全なサービスを提供するためのリスクを考える時代になるだろう。果たしてその時には、どんなことが起こるだろうか。

110


4


おわりに

参考情報

・ Adobe Flash Player、Adobe Acrobat、Adobe Reader、Adobe Acrobat Reader、Adobe ColdFusionは、Adobe Systems Incorporated（アドビシステムズ社）およびその子会社、関連会社の米国、およびその他の国における登録商標または商標です。

・ AMDおよびAMDロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。・ Android、Google Chrome、Google Calendar、Google Cloud Print、Google Docs、Google Drive、Google Play、Google Playロゴ、

Gmailは、Google Inc.の商標または登録商標です。・ Apache、Tomcat、Apache James、Lucene、 Apache Struts、FileUpload、およびOGNLは、Apache Software Foundationの登録商標

または商標です。・ Apple、Appleのロゴ、App Store、iPodのロゴ、iTunes、 WebKitは、米国および他国のApple Inc.の登録商標です。・ ARMは、米国およびその他の国におけるArm Limited.およびその関連会社の商標です。・ ATOSは、Atos groupの登録商標です。・ BINDは、Internet Systems Consortium, Inc.の登録商標です。・ Broadcomは、Avago Technologies General IP（Singapole）PTE. LTDの商標または登録商標です。・ CERTは、カーネギーメロンユニヴァーシティの登録商標です。・ CISCO、IOS、Snortは、米国およびその他の国におけるCisco Systems, Inc.およびその関連会社の商標です。・ Equifaxは、Equifax Inc.の商標または登録商標です。・ ESETは、ESET, spol. s r.o.の商標です。・ FacebookおよびFacebookロゴは、Facebook, Inc.の商標または登録商標です。・ FortiGateは、Fortinet, Inc.の登録商標です。・ FreeBSDは、FreeBSD Foundationの登録商標です。・ GMOは、GMOインターネット株式会社の商標または登録商標です。・ HP-UXは、米国およびその他諸国におけるHewlett-Packard Companyの登録商標です。・ HUAWEIは、商標またはHuawei Technologies株式会社の登録商標です。・ IBM、IBMロゴ、ibm.com、AIX、AIX 6、AIX 5L、BladeCenter、IntelliStation、POWER、RS/6000、System i、およびSystem pは、世界の

多くの国で登録されたInternational Business Machines Corporationの商標です。・ Intelは、インテル・コーポレーションの商標または登録商標です。・ Internet ExplorerおよびWindows、Internet Information Server（IIS）は、Microsoft Corporationおよびその子会社、関連会社の米国、

およびその他の国における登録商標または商標です。・ JVNは、JPCERT/CC Vender Status Notes DBです。・ Kasperskyは、AO Kaspersky Lab.の商標または登録商標です。・ LINEは、LINE Corporationの登録商標です。・ Linuxは、Linus Torvaldsの米国およびその他の国における登録商標あるいは商標です。・ Mozilla、Firefox、Thunderbirdとそれぞれのロゴは、米国Mozilla Foundationの米国およびその他の国における商標または登録商標です。・ MySQL、Java、JRE、JDK、Solarisは、Oracle Corporationおよびその子会社、関連会社の米国、およびその他の国における登録商標です。・ PostgreSQLは、PostgreSQLの商標です。・ Red Hatは、米国およびその他の国でRed Hat, Inc.の登録商標または商標です。・ Ruby on Railsは、David Heinemeier Hansson氏の登録商標です。・ TwitterおよびTwitterロゴ、Twitterの「T」ロゴ、Twitterの青い鳥は、米国また他国々におけるTwitter, Inc.の登録商標です。・ VeriSignとVeriSignのロゴ、他の商標、サービスマーク、およびデザインは、米国およびその他の国々におけるVeriSign, Inc.ならびにその

子会社の登録商標または商標です。・ Verizonは、Verizon Trademark Services LLCの商標または登録商標です。・ VMware、VMwareロゴ、Virtual SMPおよびVMotionは、Vmware, Inc.の米国およびその他の国における登録商標または商標です。・ Weblogicは、BEA Systems, Incの登録商標です。・ YouTubeおよびYouTubeロゴは、Google Incの商標または登録商標です。・ ZTE、ZTE中興およびロゴは、ZTE Corporationの中国およびその他の国における商標または登録商標です。・コインチェックは、コインチェック株式会社の商標または登録商標です。・その他、記載されている製品名などの固有名詞は、各社の商標または登録商標です。

(1)　(2)　(3)　(4)　(5)　(6)　(7)　(8)　(9)　

(10)　

(11)　

(12)　

(13)　

(14)　

(15)　

(16)　

(17)　

(18)

共通脆弱性タイプ一覧CWE概説https://www.ipa.go.jp/security/vuln/CWE.htmlハードウェア評価・認証スキームの国内唯一の認定評価機関によるシステムLSIの脆弱性評価http://www.ecsec.jp/HW3.htmlReading privileged memroy with a side-channelhttps://googleprojectzero.blogspot.jp/2018/01/reading-privileged-memory-with-side.htmlADVANCING SECURITY AT THE SILICON LEVELhttps://newsroom.intel.com/editorials/advancing-security-silicon-level/Breakthrough silicon scanning scanning discovers backdoor in military chiphttps://www.cl.cam.ac.uk/~sps32/ches2012-backdoor.pdfBogus story: no Chinese backdoor in military chiphttp://blog.erratasec.com/2012/05/bogus-story-no-chinese-backdoor-in.htmlDesigning and implementing malicious hardwarehttps://www.usenix.org/legacy/event/leet08/tech/full_papers/king/king_html/Designing and implementing Malicious 8051 processorhttps://www.researchgate.net/publication/261451763_Designing_and_implementing_a_Malicious_8051_processorExploiting the DRAM rowhammer bug to gain kernel privilegeshttps://googleprojectzero.blogspot.jp/2015/03/exploiting-dram-rowhammer-bug-to-gain.htmlIBM researchers: Rowhammer-like attack on flash memory can provide root privileges to attackerhttps://www.myce.com/news/ibm-researchers-rowhammer-like-attack-ssds-can-provide-root-privileges-attacker-82386/Native binary for testing Android phones for the Rowhammer bughttps://github.com/vusec/drammerソフトエラー試験サービス宇宙線起因の誤作動を再現http://keytech.ntt-at.co.jp/emc/prd_5014.htmlTILEmpower-Gx36 FR Platformhttp://www.mellanox.com/related-docs/prod_multi_core/PB_TILEmpower-Gx36-FR.pdf50ドルで入手した日産リーフから、IoT時代のセキュリティ課題を見つけた話http://ascii.jp/elem/000/001/533/1533962/index-2.htmlPhison 225103 (2303) Custom Firmware &Existing Firmware Patches (BadUSB)https://github.com/brandonlw/PsychsonUSB Killerhttps://kukuruku.co/post/usb-killer/USB KILLhttps://usbkill.com/インテルx86マシンの奥深くでは人知れず「MINIX 3」が動作しており、脆弱性を作り出している。Googleらはそれを排除しようとしているhttp://www.publickey1.jp/blog/17/cpuminix_3google.html

本節では、サンプルのハードウェアを考えて、そこでどのような攻撃が成功しそうかを見てきた。繰り返し書いているが、セキュリティ対策は長きにわたるクラッキングとその対策の結果生まれてきたもので、その領域はソフトウェアからハードウェアの分野に拡大しつつある。ハードウェアと言っても、物理攻撃をリモートから行うのは難しいので、当面はファームウェアが主たる攻防の舞台になるだろう。例えば、Intelのx86プロセッサが使っているUEFIはプロプライエタリでクローズドなファームウェアだが、内部で MINIX というオープンソースの OS が動いているのではないかと言われている。(18)別の言い方をすると、普段私たちが使っているOSを動かすためにIntelが用意した別のOSがあるが、実はこれが攻撃に弱い状態で使われているということである。この発表では、安全なファームウェアを作ろうとしているが難しいということが言われている。これからは、誰がどんな目的で作ったのかすでにわからなくなったハードウェアであっても、安全なサービスを提供するためのリスクを考える時代になるだろう。果たしてその時には、どんなことが起こるだろうか。

商標について

111

目次03 06 08 09 16 16 27 36 49 57 58 59 60 60 61 63 65 67 68 70 73 78 78 80 83 84 85 90 92 95 97...

Documents