ここのところほぼ毎日と言っていいほど、どこかで何かしらのセキュリティインシデント(以下セキュリティ事故)が発生し、様々なメディアで報じられています。筆者は職業柄そのような情報を収集、整理、分析しているのですが、能動的に収集していない方もニュースサイトやテレビなど色々なところで見聞きしていることでしょう。筆者も母親からメールでセキュリティ事故についてのコメントや質問をされるほどです。

ところで、メディアで報じられるニュースには、時間的な制限や可能な限り伝わりやすくということを優先しているためか、内容的に専門性を欠き、ときには誤解を生むものもあるように思います。

そこで今回から数回に分けて、セキュリティ事故のニュースを正しく読み解く一助となるような分類や用語について解説したいと思います。

なお、紙幅の都合上、セキュリティ事故全体に言及するのは難しいので、本連載では、この記事をお読みいただいている皆さんが日々、閲覧や検索する際などに利用しているWebサーバのセキュリティ事故に焦点を絞って解説させていただきます。

著者プロフィール

辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社


セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。

また、アノニマスの一面からみ見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。

Twitter: @ntsuji

「不正アクセス」の実態を捉えるための4分類

Webサーバのセキュリティ事故の報道では「Webサーバに不正アクセスがあった」というように丸めた表現で伝えられる場合があります。しかし、一言で「Webサーバに不正アクセス」と言っても数多の攻撃手法が存在するのが実情です。

セキュリティニュースを正しく読み解くためのファーストステップは、どのような攻撃が使われ、その結果どういった被害にあったのかを把握することです。そこでまずは、攻撃手法について紐解いていきましょう。

日々新たなものが生み出され、無数に存在する攻撃手法ですが、それらが引き起こす結果で、かつ、皆さんが普段見聞きする可能性のある報道で伝えられているものに関しては、おおよそ以下の4つに分けることができると思います。

  • 不正ログイン(リスト型攻撃)
  • 改ざん
  • 情報漏えい
  • DoS(Denial of Service:サービス拒否) /DDoS(Distributed Denial of Service:分散DoS)攻撃

これらは、それぞれで影響を受ける範囲(サービス提供側なのかサービス利用側なのか)に違いがあり、対策方法も異なるためきちんと読み解くことがセキュリティを考える上で必要です。

この4つの分類に関して、ここ1年と少しの間にあった主な報道を以下に列挙してみました。

※ 以下はこの記事をお読みいただいている方々に影響がありそうなのもを筆者の感覚で選択しております。

不正ログイン(リスト型攻撃)

  • gooID(2013/04/01-05)
  • eBook Initiative Japan(2013/04/02-05)
  • 任天堂(club nintendo)(2013/06/09-07/04)
  • NTT西日本(CLUB NTT-West)(2013/10/10)
  • ECナビ(2013/10/13-16)
  • E-オリコサービス(2013/11/7-11/9)
    など

改ざん

  • 環境省「CO2みえ~るツール」(2013/03/03)
  • トヨタ自動車株式会社(2013/06/05-06/14)
  • 科学技術振興機構(2013/05/25-27, 06/01-03)
  • リコージャパン「プリントアウトファクトリー」(2013/05/25-31)
  • 47行政ジャーナル(2013/08/12)
  • JINS(2013/02/13-03/14)
  • NTTデータMSE(2013/11/21-11/25)
    など

情報漏洩

  • OCN(2013/7/23)
  • LINE(Naver)(2013/7/17-18日)
  • ドコモUSA(2013/04/26)
  • エクスコムグローバル(2013/04/19-23)
  • JINS(2013/02/13-03/14)
    など

(D)DoS

  • 自民党(2012/06/26)
  • JASRAC(2012/06/30)
  • 外務省(2012/09/14)
  • 日本航空(2012/09/16)

ニュースサイトなどの報道で不正アクセスに関する情報を得た際には、筆者はまず公開されている一次情報を参照するようにしています。

「Webサーバに不正アクセス」といった報道ではそのサーバを管理している組織、つまり、被害に遭った組織がありますので、ほとんどの場合、その組織が何らかのアナウンス(「お詫び」「お知らせ」「ニュース」「プレスリリース」という言葉が使われる)を出しています。なかには調査が進むにつれて続報が追加されていく場合もあります。

また、ニュースも複数のメディアから報じられることが多いので、1つのメディアだけではなくGoogleニュースなどを利用して検索し、最初に見たもの以外の報道もご覧になることをお勧めします。比べてみると、メディアによって報じ方や情報量が異なっていることに気付くと思います。

不正ログイン、見極めのポイント

それでは、上記4分類の詳細について解説していきましょう。

まずは、前回までの「パスワードのセキュリティ」でも解説してきた「不正ログイン」(リスト型攻撃)です。個々の詳細については前回までの記事をお読みいただくとして、ここではその攻撃を報じる記事の見方についてです。

これまで説明してきたとおり、一口に「不正ログイン」と言っても、攻撃手法としては様々なものがあります。具体的には、以前の記事で紹介した「ブルートフォース攻撃」「ディクショナリ攻撃」「リバースブルートフォース攻撃」「リスト型攻撃」などです。

では、セキュリティ事故のニュースを目にした際に、どの攻撃に当てはまるかを判定するにはどうすればよいのでしょうか。有効なのは、一次情報、つまり被害に遭った組織のリリースを読むことです。

例えば、「リスト型攻撃」のニュースであれば、以下のような言い回しが使われることが一般的です。

  • 「予め持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為」
  • 「他社サービスから流出したと思われるID・パスワードを使用し、」
  • 「ID・パスワードは、弊社より流出したものではなく」
  • 「第三者があらかじめ別のサイト等から入手したID・パスワードのセットリストで機械的にアクセスをした」

また、報道では、(それぞれの名前が的を射た表現かどうかは別として)以下のような言葉で紹介される場合があります。

  • パスワードリスト攻撃
  • 連続自動入力プログラムによる不正ログイン攻撃
  • リスト型アカウントハッキング
  • アカウントリスト攻撃

※ パスワードクラッカーでは、攻撃に使うためにIDとパスワードを対にして1行に1ペア記述したファイルのことをコンボリストと呼ぶのが通例です。情報処理推進機構は「パスワードリスト型攻撃」と呼称していますが、パスワードリストと言うとパスワードのみが既述されているパスワード辞書と混同されやすいと筆者は個人的に考えています。実際のリストにはユーザ名とパスワードが既述されているため、筆者の呼称としてはリスト型攻撃と統一しています。

これらの言い回しがあるものは、リスト型攻撃が発生した可能性が高いと判断できるわけです。

次回は「改ざん」についての解説する予定です。