当方のボスの友人が役員で頑張っているインターネットセキュリティ会社に「ラック」という会社がある。ここが、定期的にまとめる「JSOC侵入傾向分析レポート」というのは、それこそネット関係者にとって必読のレポートなんだけれど、うちのボスのような素人が読んでも、「うん?これ日本語か?」とチンプンカンプンなんだけれど、実は、当方のようなろくでもないブログにさえ、「不正アクセス」や「不正侵入」しようとした奇特な人がいたわけだ。

 もともと、このブログは前管理人の北岡記者がたちあげたものなんだけれど、そのうちに、ボスや辻野記者も興味をもってきて、「アクセスIDを教えろ!」といってきた。賢明な北岡記者は、「制限付きのID」しか、おしえなかったのだけど、そのうち、「どうもおかしい」とボスなどがきづいて、騒ぎ出した。
 問題は、アクセスIDなんだけれど、うちのボスなんか、覚えるのが面倒くさいというので、PCの画面のサイドに貼り付けているし、辻野記者なんか、手持ちの手帳に太字でかいている。

「不正アクセス」や「不正侵入」どころの話でなくて、そもそもの「こころがけ」がなっていないと、ボスの友人のラックの役員氏にいわれたわけだ。
「じゃ、おまえうちのセキュリティー管理しろ!」と、ラックの役員氏に丸投げする。「ただし、カネはない」(ボス談)というろくでもなさだ。
 だいたい、ボスはひどくて、PCがフリーズするとすぐに、この役員氏に電話する。この役員氏も人がよくて、すぐに部下をつれて参上するのだけど、正直いって専門のプログラマーさんに参上ねがわなくても解決できる問題ばかり。一度、 ボスのPCがウイルスに感染して、「中国の陰謀か?CIAの陰毛か?」と大騒ぎしたのだけど、理由は簡単で、せっかくとりつけた「ウィルスセキュリティのソフト」をOFFにして、エロ画像をダウンロードしていだけだった。これも、「そもそも、こころがけがなっていない」(ラック役員氏)だけのことだ。

 そんなやこんなで、アクセスIDに関して、ランダム変換方式という、実は私もよくわからない高度な手法を導入したのだけど、高度で、高級すぎて、当然、ボスや辻野記者、釜台記者はついてこれない。そこで、しょうがなくて、ある方式を導入したのだけど、この方式は公開してはいけないそうだ。ま、ネットの知識のあるかたなら、すぐ、わかる方法です。

 しかし、せっかく、お友達に、純国産のネットセキュリティー会社の役員氏がいるのだから、こちらも、勉強しましょうということで、ネットセキュリティ情報という新コーナーをもうけたわけです。
 

 そこで、最新の、

─日本特有の脅威傾向を把握分析した「JSOC侵入傾向分析レポート2007年上半期」─

 の紹介です。

 ネットワークセキュリティソリューション分野でのリーディングカンパニーといわれている株式会社ラック(本社:東京都港区、代表取締役社長:睛輝彦)は、自社の日本最大規模のセキュリティ監視センター「JSOC(Japan Security Operation Center)」というのをもっている。そこで24時間監視しているから、それこそ、日本国内のどこぞで、「サイバーテロ」にでもあうものなら、ただちに、スクランブル発進するそうなんだけれど、この手の監視というのはその手口から、スクランブル発進する機種・・・・つまり、F15か、F16か?そこで実装する兵器は、機関砲だけでなくて、スパローミサイルが実装されているとか、そういうこともいってはダメだそうだ。さらに、官公庁や政府とどの程度、連携ができているかについても、話してはダメだそうだ。

 ま、日本は専守防衛だから、ラックさんも基本は、「防衛」で、「攻撃」はしないとはいっているけど、最近は、日本の専守防衛の考え方も、自衛隊を海外派遣したりするし、仮に、日本にむけたミサイルが「燃料給油」した段階で、「防衛的な先制攻撃」を認めるべきか、否か、という議論があるぐらいだから、ラックさんが、「防衛的先制攻撃」の研究をしていても不思議でないとおもうけれど、これについては、一切教えてくれない。うちのボスなどは、「昔の友達のよしみだろ!ケチだな!」とだだをこねるが、社長の睛さんがでてきて、「ま、松ちゃん、こんど宍戸の西コースのチャンピオンティーからラウンドしましょう」と、なだめられている。さすがに、日本のネットセキュリティーのリーディングカンパニーの社長だけあって、うちのボスをなだめるぐらいは朝飯前のようだ。

 ま、そこで、監視運用するセキュリティセンサーの通信記録(ログ)から、2007年上半期のインターネットセキュリティの脅威動向をまとめた「JSOC侵入傾向分析レポート」をみてみましょう。

 ポイントは4点。

1: ウェブアプリケーションの脆弱性を狙った攻撃が増加し、手口も巧妙に

  インターネットからの攻撃に関しては、「SQLインジェクション攻撃」などのウェブアプリケーションの脆弱性を悪用した攻撃の割合が増加しています。様々な場所で話題となったSQLインジェクション攻撃の数は昨年に比べて約6倍観測されています。また、攻撃ツールの進化に伴い攻撃内容も変化しています。例えばアプリケーションの脆弱性を調査するリクエストを行い、脆弱なアプリケーションを発見した後、本格的な攻撃を行う仕様のツールもあります。このような攻撃ツールが広く利用されていることが攻撃件数の増加につながっています。

2: サーバやネットワークの運用不備を狙った攻撃が増加

 サーバやネットワークの運用・設定不備を狙った攻撃に関して、プロキシサーバ探索の試みは約2倍に増加しています。この探索はプロキシサーバをスパムメールやフィッシングメールの送信に悪用しようとしたものです。また、脆弱なパスワードが設定されているユーザになりすますブルートフォース攻撃も増加しています。

3: 2007年4月にボット感染による通信が増加

 内部ネットワークで発生する「ボット」や「ワーム」感染事故は4月に集中しています。これは新入社員の入社や組織変更にともない新たに導入したPCが感染していることが原因です。(毎年4月はボットやワームの感染事故が増加する傾向があるため、注意が必要です。)また、ボット通信の隠蔽化技術も進化したことで、IDSやIPSによるボットの通信の検知が難しくなってきており、ファイアウォールログを併用して監視することが重要となっています。

4: P2Pファイル共有アプリケーションの利用が増加

 ファイル共有アプリケーションの検知数は、昨年は減少傾向にありましたが、今年に入ってからは増加しています。また、「Winny」や「Share」が危険であるという認識が広まった結果、他のファイル共有アプリケーションを利用する傾向にあります。ファイル共有アプリケーションを利用するユーザはセキュリティに対する意識が低く、自身の利害目的で行動するため、システム面での対策とともにユーザへの教育・啓発活動が求められています。

 ラックの「JSOC侵入傾向分析レポート」の詳細は以下です。
http://www.lac.co.jp/report/20071101.html

以上