JPCERTコーディネーションセンター(JPCERT Coordination Center、以下JPCERT/CC)は、第3四半期の活動報告会を開催した。同団体が7月1日から9月30日にまでに受けたインシデント報告や、攻撃傾向などを報告したほか、新規活動である「早期警戒グループ」に関する説明なども行われた。同団体による活動報告会は初めての試み。

右から、JPCERT/CC代表理事 歌代和正氏、経営企画室 室長 大林正英氏、経営企画室 業務統括 早期警戒グループ グループマネージャ 伊藤友里恵氏、運用グループ グループマネージャ 伊藤求氏、情報流通対策グループ グループマネージャ 椎木孝斉氏

第3四半期におけるインシデント報告件数は、前期比21.8%増の667件。JPCERT/CCはこの期間の特徴として、SSHサービスに対する攻撃の増加を挙げている。SSHサービスが利用するTCP22番ポートへのブルートフォースアタック(パスワードの総当り攻撃)が増加したことが原因と見られている。また、より特徴的なSSHサービスに対する攻撃として、日本語を用いた辞書攻撃が増加していることも挙げられた。

フィッシングに関する報告件数については、75件と前期比でほぼ横ばいだが、他のインシデント報告と比べ、高い水準を維持していると同団体。JPCERT/CC 運用グループ グループマネージャの伊藤求氏は「TCP22番ポートへのスキャンだけでなく、実際乗っ取られた事例もあった」と語り、フィッシングの増加について「SSHサービスの乗っ取りからフィッシングサイトが立ち上げられる事例が多いのではないか」とコメントした。

SSHサービスに対するスキャンの増減	フィッシング報告件数の増減

同団体が設置する「ISDAS」(Internet Scan Data Acquisition System: インターネット定点観測システム)が観測したトラフィック分析によると、第3四半期はTCP1433番ポートへのスキャンが増加、大半は中国からのものだったという。また、ワームの活動が主な原因のTCP135番ポート(DCE endpoint resolution)とTCP445番ポート(microsoft-ds)に対する攻撃は、双方共に減少傾向にあるとしている。

ポート別のグラフ	地域別のグラフ

JPCERT/CCの重要な業務として、脆弱性情報の取り扱い(同団体では「脆弱性情報ハンドリング」と呼称)と、その流通がある。同団体が今期に公開した脆弱性関連情報は31件で、内訳は海外関連組織とのパートナーシップに基づいて公開したものが17件、国内届出があったものが14件、とのこと。海外組織とのコーディネーション案件では、システム管理ソフトウェアの脆弱性が目立ち、中でも特にバックアップソフトウェアに関する脆弱性が多く見られたという。国内の届出については、XSS(クロスサイトスクリプティング)の脆弱性といったWebアプリケーションに関する脆弱性が多く見られたことが特徴的だった。情報流通対策グループ グループマネージャの椎木孝斉氏は、今期の特徴として国際コーディネーション案件の増加を指摘。特に国内から海外へ報告する件数の増加が顕著であるとしている。

海外のCSIRTとのパートナーシップに基づいて公開した脆弱性	国内の届出に基づいて公開した脆弱性

椎木氏からは、今年9月からJVN(JP Vendor Status Notes)で提供されている「JVNJS/RSS」も紹介された。このサービスは、JavaScriptとRSS1.0をベースに拡張したJVNRSS形式を利用して、JVNに掲載された対策情報を配信するもの。椎木氏は、「国際的な脆弱性情報を有益に流通させていきたい」と、今後の抱負を語った。

今回の活動報告会では、同団体が新たに始めた「早期警戒グループ」の活動に関する説明も行われた。早期警戒グループは、社会的に重要なインフラやシステムを持つ事業者、大規模なサイトを運営する事業者に向けて、脆弱性情報の正確で迅速な提供を目指すという。情報を提供する具体的な事業分野に関して、JPCERT/CC 経営企画室 業務統括 早期警戒グループ グループマネージャの伊藤友里恵氏は「内閣官房の重要インフラ専門委員会が『重要インフラ』として定める10分野」とコメント。同委員会が発表した「重要インフラの情報セキュリティ対策に係る基本的考え方」では、情報通信 / 金融 / 航空 / 鉄道 / 電力 / ガス / 水道 / 政府・行政サービス(地方公共団体を含む) / 医療 / 物流の10分野が重要インフラであるとしている。

早期警戒活動は、早期警戒情報の提供 / サイバーセキュリティ演習 / 脅威分析を三本柱として展開。早期警戒情報では、パッチなどが未提供の状態で未公開の脆弱性に関する実証コードが発表された場合や、大規模な攻撃予告が発生した場合などに、注意喚起と対策情報の共有を行う。サイバーセキュリティ演習では、同団体がリーダーシップをとって演習の企画、計画、シナリオ作成、実施などを行い、インシデント対応力の検証などを行うもの。脅威分析に関しては、脅威の技術分析や動向の予測、対策の開発を行う。伊藤氏によると、従来、ボットネットはIRCネットワークを使ってゾンビPCがコントロールされていたが、IRCサーバ側の対策が進むにつれて、攻撃者はP2Pネットワークを利用するようになっているという。このように、ある攻撃に対して対策を施すと攻撃者も別の手口を次々と考案するため、脅威の分析は欠かせないという。同団体では今年度、ボットネットを重大な脅威として取り扱い、調査、分析を行うという。