情報セキュリティニュース（事故事例）をご案内します。4件

情報セキュリティニュース（事故事例）をご案内します。4件

◆一部製品のTLS実装に暗号解読される脆弱性、
「ROBOT攻撃」受けるおそれ - 「Facebook」などにも影響

一部製品において「Transport Layer Security（TLS）」の実装に
問題があり、暗号化されたデータが解読されるおそれがあること
がわかった。脆弱性を容易に特定できる「ROBOT攻撃」が公表され、
著名サイトなども影響を受けることが明らかになっている。

RSA暗号化における「Public-Key Cryptography Standards
(PKCS) #1 v1.5」のパディングエラーを解析することで、
暗号データの解読が可能となる「Bleichenbacher攻撃」を受ける
おそれが従来より指摘されているが、同攻撃への対策が十分に取ら
れていない製品が複数明らかになったもの。

脆弱性を公表した研究者は、タイムアウトやコネクションの
リセットなどの複数のシグナルから容易に脆弱性を確認できる
「Return Of Bleichenbacher’s Oracle Threat」の頭文字を
取った「ROBOT攻撃」を発見。多数環境へ影響を及ぼすことが
わかったという。

研究者によれば、サポートが終了した製品も含まれるが、
F5 Networks、Cisco Systems、Citrix Systemsなど、広く利用され
ている少なくとも7ベンダーにおいて脆弱な製品があることを確認
したという。

「Facebook」や「Paypal」をはじめ、多くのHTTPSホストが脆弱
であると指摘。「Alexa」のトップ100サイトのうち、27サイトの
サブドメインにおいて、脆弱性を確認したとしている。またサイト
上で脆弱であるか確認できるツールや、　スクリプトを公開している。

今回の脆弱性にうちて、サーバ側の問題であり、ブラウザなどクラ
イアント側による対応では問題を回避できないと説明。脆弱な製品
を利用している場合、アップデートなどを実施し、パディングエラ
ーを把握されないようにする必要がある。またTLSにおいてRSAアル
ゴリズムを無効にすることで影響を緩和できる。

利用環境で脆弱性が見つかった場合も、攻撃を通じてサーバのプラ
イベートキーを取得することはできないとしており、証明書の無効化
や再取得は不要だとしている。

（2017/12/13）

◆マルウェア亜種の減少傾向続く - 一方でスパムは増加

マルウェア亜種の減少傾向が続いている。一方でスパムの割合は
上昇しており、2015年3月以来の高い水準となった。

米Symantecが、同社における11月の観測状況を取りまとめたもの。
同社が同月に確認したあらたなマルウェアの亜種は4340万件。

9カ月ぶりに5000万件を割った前月をさらに下回った。2017年2月に
は1カ月あたり9410万件が確認されたが、以降は減少傾向が続いている。

マルウェアの感染を狙ったメールの割合は、505件に1件。355件に1件
だった前月から改善した。2カ月連続の減少となるが、700件に1件ほど
だった2017年第1四半期と比較すると依然として高い割合で送信されて
いる。

一方、同社が扱ったメールに占めるスパムの割合は55.5％。前月から
0.6ポイント上昇し、2015年3月以降でもっとも高い割合となった。

背景には、ブラックフライデーやサイバーマンデーなど、同時期に
オンラインショッピングの機会が増えることから、スパムも増加する
傾向があるという。フィッシングの比率も2560件あたり1件と、3183件
に1件だった前月から増加した。

また今回、ブラックフライデーからサイバーマンデーの週末にかけて、
「Necurs」ボットネットが大量のスパムを送信していたことが確認さ
れた。同攻撃では、ランサムウェアの拡散が試みられたという。

（2017/12/18）

◆システム管理者アカウントが奪われ、個人情報約7万件が流出 - 阪大

大阪大学は、教育用計算機システムが不正アクセスを受け、利用者の
個人情報約7万件が外部へ流出した可能性があることを明らかにした。

同大によれば、5月18日から7月4日にかけて、教育用計算機システムが
不正アクセスを受けたもの。教員のIDとパスワードを用いて侵入され、
システム内部に設置された不正プログラムにより、システム管理者の
アカウントが盗まれたという。

管理者用アカウントが奪われたことで、同システムの利用者に関する
氏名やID、同大発行のメールアドレス、所属、学籍番号など約7万件が
流出した可能性がある。

内訳を見ると、教職員に関する情報が1万2451件、学生が2万4196件、
元教職員が9435件、元学生が2万3467件。元関係者のIDとメールアドレス
については、すでに無効化されている。

また同大教職員59人のアカウントが不正に利用され、同大学内のグルー
プウェアに対する不正アクセスが行われていたことも判明。

教職員のメールに含まれる学外関係者7972人の氏名や住所、電話番号、
メールアドレスのほか、学内関係者3586人の氏名や電話番号、メール
アドレス、人事情報、給与情報なども流出した可能性があるという。

同大では、対象となる関係者に対して謝罪。パスワードのルールについて
強化し、全利用者のパスワードを変更した。また外部のセキュリティ機関
と連携してセキュリティの強化に取り組むとしている。

（2017/12/13）

◆企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず

5月に世界で攻撃が確認され、国内でも話題を呼んだランサムウェア
「WannaCrypt」。2016年から2017年にかけて発生したインシデントと
しては、企業関係者における認知度がもっとも高かったが、それでも
4割に満たなかった。

マカフィーが国内の企業経営者、情報システム担当者、一般従業員など
22歳以上の男女1552人を対象にインターネットで実施し、結果を取りま
とめたもの。2016年10月から2017年10月までに報道されたセキュリティ
事件を挙げ、それらの認知度を調べた。

認知度がもっとも高かったのはランサムウェア「WannaCrypt」だが、
36.7％にとどまった。2位は「Amazon」や大手宅配業者を装った攻撃メ
ールで認知度は36.2％で続いた。

ランキングの性質上、マスメディアで大きく取り上げられた自称が上位
を占めるが、大手メディアへの露出がそれほど多くない一方で、高い注
目を集めたのが、3番目に高い認知度となった無線LANのセキュリティプ
ロトコル「WPA2」における実装の脆弱性「KRACK」だった。

マカフィーのセールスエンジニアリング本部で本部長を務める櫻井秀光
氏によれば、「経営層の注目は低いものの、特にIT管理者からの注目度
が高かった」という。

2017年度のセキュリティ事件認知度ランキングは以下のとおり。

1位：ランサムウェア「WannaCrypt」の大規模攻撃、国内でも製造や運輸などで被害が発生
2位：Amazonほか、大手宅配業者の商品の発送や宅配便のお知らせを装った偽メールが増加
3位：無線LANの暗号化規格であるWPA2の脆弱性（KRACK、KRACKs）が発見される
4位：米Yahoo！で、不正アクセスにより最終的に30億人分以上の個人情報が漏洩
5位：マルウェア作成など中高生によるサイバー犯罪で逮捕者が続出
6位：Appleを装い、アカウント情報を詐取するフィッシング攻撃
7位：女性芸能人が利用するインターネットサーバへ不正にログインした無職男性が書類送検
8位：防衛省と自衛隊の情報基盤に対するサイバー攻撃報道
9位：女性タレントのメールサービスなどに不正接続した大手新聞社の従業員逮捕
10位：日本マクドナルドのシステムがマルウェアに感染し、ポイントサービスが利用不能に

（2017/12/12）