#セキュリティのアレ (12) 「1月の注目事件」

前々回の記事を書くまで 2年近く更新をさぼっていたわけですが、その間に @ITで動画の連載をはじめました。昨年11月からスタートして毎週更新しています。初めての試みなのでまだまだ試行錯誤しているところなのですが、専門家ではない方にもわかりやすく楽しく、セキュリティ関連の最新の情報をお伝えできればと思っています。ぜひご覧ください。ご意見やご質問などは Twitterハッシュタグ #セキュリティのアレで募集してます。

www.atmarkit.co.jp


さて今日公開された最新の記事では、1月の気になる話題を 3つ取り上げて解説してます。それぞれ少し補足したいと思います。まあ Show Notes 的なアレですね。

続きを読む前に、まずはコーヒーでも飲みながら、のんびりと動画をご覧ください。

www.youtube.com

1. 相次ぐバックドア問題

昨年末から先月にかけて、たまたまですがなぜか立て続けに複数の製品にバックドアが見つかりました。まあベンダー側はバックドアとは認めてなかったりするわけですけど…。利用者が気付けないという点で非常にやっかいで、今回のように一旦広く知れわたると、攻撃者もこのバックドアを狙ってきます。自分達が利用している製品の最新情報をつねに把握して対応することが必要ですね。また不要な管理ポートを閉じたり、アクセス元のネットワークを制限するなどの緩和策も有効な手段です。


ところで Juniper製品には 2つのバックドアが見つかっており、ひとつは管理者権限でリモートからログイン可能なもので (CVE-2015-7755)、Juniperがリリースした ScreenOSの差分を解析することにより、バックドア用のパスワードが判明してしまいました。こちらの方が大きなニュースになっていたのですが、実はより重要なのはもう一つのほうで VPNの暗号トラフィックを第三者が復号できるというものでした (CVE-2015-7756)。先程と同様に専門家が ScreenOSを解析したところ、どうも問題は DUAL_EC_DRBG関連だということで、NSAの関与が疑われることになりました。さきほどのバックドアはパスワードさえわかれば誰でも利用可能であるのに対して、こちらのほうはそうはいきません。Juniperは ScreenOSで DUAL_EC_DRBGは利用しているものの、NIST SP800-90Aで推奨されている値は使ってないから安全であるともともと主張していたのですが、それが何者かによって書き換えられていたのです。つまりこの書き換えを行った者のみがトラフィックを復号できるわけで、これは NSAのいわゆる NOBUS (NObody But US) のポリシーにも合致します。まあ Juniperがこれ以上詳細を説明していないので真相は闇の中なわけですが。
なお TAOに関する記事でも紹介した ANTカタログには Ciscoや Juniper製品に埋め込むマルウェア (implant) が記載されています。またこれとは別に、GCHQと NSAが協力して Juniperの製品に脆弱性を発見して利用していたことを示す機密文書も公開されています。まあ NSAにとっては不利な証拠ばかりと言えるでしょう。

2. 激しさを増す DDoS攻撃

日本を主要なターゲットにした Anonymousによる攻撃キャンペーン #OpKillingBay。2013年にスタートしたものですが、2015年9月頃から攻撃活動が活発化し、現在も続いています。セキュリティのアレの動画では第3回目に取り上げています。最新情報など詳細は辻さんのまとめ記事を参照してください。

www.youtube.com


ちなみに Anonymousはメディアで紹介されるような「国際的ハッカー集団」ではありません。詳しくはこちらの@ITの記事をお読みください。2012年に書いたものですが、今でも十分参考になると思います。またこのブログの2013年の記事もご一緒にどうぞ。

3. ばらまき型メールの最近の傾向

これは第2回目の動画で取り上げたテーマです。最近も依然として続いており、前とは少し傾向が変わったよーということで、今回のトピックとして再度取り上げました。こちらも辻さんがブログにまとめてくれています。

www.youtube.com


というわで、引き続き「セキュリティのアレ」応援よろしくお願いします!!