IIJ Technical DAY 2019 ～セキュリティ動向2019

c Internet Initiative Japan Inc.
IIJ Technical DAY 2019
セキュリティ動向2019
令和元年11月21日
株式会社インターネットイニシアティブ
セキュリティ本部
齋藤衛

この一年の事案について
標的型攻撃について
標的型ランサムウェア
DDoS攻撃の状況
フェイクニュース対策ついて

• 秘密の情報を取得するための諜報（スパイ）活動。
• マルウェアを利用する。
• メールの添付ファイルを使ってマルウェアを感染させる。
• よく用いられるマルウェアはRAT(Remote Access Tool)。
• 攻撃の変遷
• 2003年~2008年は政府機関、以後は大企業、2011年以後は中小の企業も対象となる。
• キャンペーン：例)2014年から世界規模で医療保険関連機関に対する一連の攻撃が発生した。
• 詐称メールの作り方
• 100%詐称したメール。
• 通信の相手に侵入したうえで、
• 会話に割り込む形で詐称メールを投げ込む
• 通信相手のPCを使ってマルウェア添付ファイル付きのメールを送付する
3

被害者
攻撃者被害者被害者
標的となった組織
標的となった組織と
関連のある組織
一般利用者
一般利用者
管理者や経営者等
標的型攻撃の準備としての攻撃
多くの人が興味を持つ話題を利
用
• 天災や大きな事故、有名人の死亡、政治状況等、
大きく話題になった事件に関係する情報
• 標的の事業分野に関する業界動向
• 展示会の招待状送付やコンタクト先の更新等、
社会で一般的に行われるやりとり
• 人事情報や部署内の忘年会の日程調整、組織の
中で一般的に行われるやりとり
• ソフトウェアの更新に関する情報
標的型攻撃
特定の人のみが知りえる情報を悪用
• 組織内の活動、例えば会議内容等に関連する情報
• 特定の調達や発注等のビジネス情報
• 特定の関連組織との間の会合に関する情報
標的型攻撃の連接(サプライチェーン攻撃の一種)
4

暗号資産関連組織を狙う標的型攻撃
• 昨年のCoinCheck事件がMokes, Netwire RAT というマルウェア
を使った標的型攻撃であると報道
• セキュリティベンダから暗号資産の窃取を目的とした攻撃者グ
ループに関するレポートが公開される
• 仮想通貨取引所の関係者 (Coinbase ほか) に対し、6/18, 6/20 に
公開されたばかりの Firefox ブラウザの脆弱性を悪用する攻撃活
動が報告される (攻撃時点ではゼロデイ)。
• Mokes, Netwire RATに感染させる。
• 日本国内においても暗号資産関連企業を対象とした標的型攻撃
活動
5

標的型攻撃
DDoS攻撃の状況

• ランサムウェア
• マルウェアによりHDDなどに記録された情報を勝手に暗号化し、
利用者から不当にアクセスできなくする（人質にとる）。効果
を上げるためのばらまき型。
• 標的型ランサムウェア
• 身代金を支払いそうな特定の標的に対してランサムウェアによ
る攻撃を仕掛ける。身代金は高額。
• SamSam, BitPaymer, Ryuk など
7

• 事例
• 公共機関：ジョージア州アトランタ市、ジョージア州ジャクソン郡、メリーランド州ボルチモア市、
米フロリダ州リビエラビーチ市
• 医療機関：ミシガン州バトルクリークにある診療所、米国400以上の歯科診療所、10月米国の医
療機関「DCH Health System」運営の病院3施設、国内市立病院
• 容疑者
• 2018年11月28日米司法省がランサムウェア SamSam に関与した 2人のイラン人を起訴。
また別のイラン人 2人が資金洗浄に関わったとして米財務省から制裁対象とされる。
→ 2つの Bitcoin アドレスが初めて対象となった
• 特定の業種 (医療機関、地方政府など) を主なターゲットにしたランサムウェア
• JBoss の脆弱性を悪用してWebサーバへ侵入したり、RDP/VNC などの認証を突破して侵入
し、内部ネットワークへの足掛かりとする
• 情報窃取を目的とした標的型攻撃のように、侵入してから組織内で潜伏、調査活動を行う
が、最終的にはランサムウェアに一挙に感染させて、被害組織に対して金銭を要求する
• 2016年から活発に活動しており、これまでに 600万ドル相当の Bitcoin を身代金として得
ている
8

DDoS攻撃の状況
最近の攻撃の規模
• 2018年は数十Gbps
• 2019年に入り数百Gpbsも
• 新しいリフレクション攻撃
(linux memcached)
• 依然としてリフレクション攻撃と
IoTボットが活発
https://wizsafe.iij.ad.jp/2019/03/601/
10

• SYN/ACK攻撃
• サーバが大量にあることを悪用した、増幅を伴わないリフレクション
攻撃。
• 小さいパケットを大量に送付することで、通信機器の処理能力を無駄
に消費する。パケット数(pps)が多い。70Gbps/208Mppsなど。
• 踏み台にされる機器での正常な通信との見分けが難しい（ただし、現
状はいくつかのパラメータが固定されている）。
DDoS攻撃の状況
Servers.comを狙ったDDoS攻撃の観測
https://wizsafe.iij.ad.jp/2019/10/764/ 16

• 恐喝DDoS攻撃
• 10/25 複数の国内金融機関に対して、DDoS 攻撃とともに金銭
を要求するメールが届く。海外でも同様の手法による身代金目
的の DDoS 攻撃が発生。
• 最初、20-30Gbps程度の攻撃が1時間継続。
• その間に恐喝メールが届く：我々は1Tbpsの攻撃能力を有する。2BTC
支払わなければ翌週よりひどい攻撃を起こす。
• 「ひどい攻撃」は起こらない。
• 20-30Gpbsが1時間であっても備えていなければ深刻な問題に。
DDoS攻撃の状況
17

要旨
• SNSには様々な情報の提示順序がある。
• 情報を並べ替えや選択的に示すことで、情報の受け取り手の印象を
操作ことができる。本物の情報を使った行為。
• 特に選挙に関係する情報を変更することで、投票行動に影響を与え
ることができる。
• 行動情報の分析により広告等をターゲットを詳細に指定することが
できるようになった。
• 米国にてトランプを大統領にしたのは誰か。同様に英国にEU脱退
（ブレグジット）を決意させたのは誰か。
• もともと情報戦の領域の話で偽情報などは当たり前。この手法は従
来型の介入（偽情報、偽の人からの情報）と一緒に用いられる。
• とはいえ外国から影響を受けるのは好ましくなく、各国で対応。
14

Facebookの実験
マイクロターゲティング広告
ケンブリッジアナリティカ問題
ブレグジット問題
情報戦選挙戦の世界
この問題への対応

Facebookの実験
• Experimental evidence of massive-scale emotional contagion
through social networks(2014)
https://www.pnas.org/content/111/24/8788.full
• 英語圏の68万9003人の利用者に対し、情報の提示アルゴリズム
を操作。
• ポジティブな情報を減らしたときに、ネガティブな発言が増える。
• ネガティブな情報を減らすとポジティブな発言が増える。
• 本物の情報の提示順の操作だけで利用者の行動を操ることができる。
• 選挙において投票に行く行かないレベルで行動を操ることがで
きる。
16

マイクロターゲティング広告
• 選挙運動やマーケティングなどで、対象とする個人に関する情
報を詳細に分析し、嗜好や行動パターンを把握することによっ
て、より効果的な戦略を構築する手法（デジタル大辞林）。
• 従来年齢性別程度だった広告対象の分類を、インターネット上
の行動情報（SNSでの発言やポータル検索履歴、オンライン購
入記録など）をもとにより細かく分類し、より小さな集団に向
けて適切な広告を出していくこと
17

• 2016年トランプ大統領が誕生した米国大統領選において、ロシ
ア資本の英国企業ケンブリッジ・アナリティカ社が介入したの
ではないかとされる事件（ロシアゲート事件）。
• Facebookの利用者5000万人分の行動情報漏洩疑惑
• マイクロターゲティング広告による操作を行った疑惑
• 米国司法機関よる捜査
• ケンブリッジ・アナリティカ社およびSCL社は2018年倒産
18

• マイクロターゲティング広告による操作例
19
Exposing Russia’s Effort to Sow Discord Online: The Internet Research Agency and Advertisements
https://intelligence.house.gov/social-media-content/
https://intelligence.house.gov/social-media-content/social-media-advertisements.htm

ブレグジット問題
• 英議会委員会「２０１６年の欧州連合（ＥＵ）離脱の是非を問う国
民投票に向け、ＥＵ離脱への支持を訴え活動していた団体が政治コ
ンサルティング会社ケンブリッジ・アナリティカ（ＣＡ）から協力
を受けていた」
• CA元社員クリストファー・ワイリーの公聴記録「ケンブリッジ・ア
ナリティカとカナダの企業アグリゲートIQは、EU離脱の是非を問う
イギリスの国民投票の結果を左右した」
• 虚偽情報「EUへの拠出金が週3億5千万ポンドに達する」。各方面か
らこの情報は嘘であると取り消したが、国民の6割が信じて国民投票
に大きく影響したとされる。
• EU離脱派は270万ポンドを駆使して離脱支持に傾きそうな有権者約
700万人に影響を与えようとした（報道より）
20

情報戦の世界
• 従来型の選挙介入
• 舌戦、相手に不利な情報の流布
• 偽情報
• 偽の人による情報
• 新しい介入
• フェイクニュース
• フェイクコミュニケーション
• ホワイト・プロパガンダの活性化
(情報源を公言)
21

情報戦の世界
• 英国DCMS下院特別委員会 Disinformation and ‘fake news’:
Interim Report
• Fabricated content：完全に虚偽である。
• Manipulated content：本来よりセンセーショナルな見出しをつける等、
元情報を歪めている。
• Imposter content：元情報のソースを別のもの（例えば信頼ある通信社
のブランド）に変えている。
• Misleading content：ミスリーディングな情報の利用。（例：コメント
を事実のように伝えている）
• False context of connection：本来は正しい情報が間違った文脈で利用
されている。（例：見出しが記事の内容を表していない）
• Satire and parody：ユーモアがあるが嘘の物語をあたかも真実のように
表現している。（必ずしもフェイクニュースとして分類されるわけで
はないが、意図せず読者をだましている場合がある。
22

• 諸外国での対応
• SNS
• フェイクアカウント削除
• 偽情報配信によるアカウント凍結
• 情報の提示順の選択（おすすめか時系列か）
• 行動規範レポート、透明性レポート
• 包括的解決策：認知度向上、メディアリテラシーの向上、幅広い利
害関係者の巻き込み、公的機関・オンラインプラットフォーム・広
告主・信頼された判定者・ジャーナリスト及びメディアグループの
参加による長期的解決。
• 日本での対策
• フェイクニュース規制の議論中
23

この問題への対応(個人)
• 報道の偏向
• 偽情報にあふれたインターネット
• 個人による偽情報の拡散（不用意なリツイート）
• 信頼しているはずのインフルエンサーによる広告（ステマ）
• 検索結果の偏向(SEOポイズニング)
• 本物の情報の提示順をいじられるインターネット（←New!）
• マイクロターゲット広告で個人を狙った情報が提示されるイン
ターネット（←New!）
• 何かの判断は原典にあたってから実施しよう。
24

フェイクニュース対策について

お問い合わせ先 IIJインフォメーションセンター
TEL：03-5205-4466 （9：30～17：30 土/日/祝日除く）
info@iij.ad.jp
http://www.iij.ad.jp/wizsafe/

IIJ Technical DAY 2019 ～セキュリティ動向2019

Recommended

Recommended

More Related Content

What's hot

What's hot (16)

Similar to IIJ Technical DAY 2019 ～セキュリティ動向2019

Similar to IIJ Technical DAY 2019 ～セキュリティ動向2019 (20)

More from IIJ

More from IIJ (20)