こういうのに行ってきた。

日本図書館研究会第286回研究例会
発表者 : 上原哲太郎氏（NPO法人情報セキュリティ研究所）
テーマ : 図書館ICT基礎知識−IPA報告書を読もう！−
要旨（部分）：2010年12月に独立行政法人情報処理推進機構セキュリティセンター（IPA）から出された「サービス妨害攻撃の対策等調査」報告書を元に、その策定に関わった上原哲太郎氏を迎え図書館員に必要なネット・セキュリティの知識・課題についてお話いただきます。

　タイトル通り、「サービス妨害攻撃の対策等調査」報告書（以下「IPA報告書」）を皆で読みましょうという会。参加者は20名程度、割合コンパクト。
　以下、例によってxiao-2が聞きとれてメモできて理解できてかつ覚えていた範囲、のメモ。誤記・誤解はたぶんあり。→以下は自分の感想。敬称は「さん」に統一。

• 導入
  • まず本日の参加者で、図書館関係者はどのくらい？（ほぼ全員挙手）去年のこの会*1来た人は？（半数程度挙手）
  • Librahack事件について知っている人は？（全員挙手）
  • あの事件以後も、その一歩手前というような事件はいくつか起こっている。まだ危うい。数年後Librahack事件のことが忘れられたら、また同様のことが起こりかねないという危機感がある。

• 趣旨説明
  • サービス妨害攻撃すなわちDoS攻撃*2、サイバーテロ等について、どういうものがありうるか。予防的対策と、もし攻撃されたと思われる状況に直面した場合にどうすべきかについてお話ししたい。
  • 最近報道されたような事件としては、海外ではハッカー集団アノニマス*3によるSONYへの攻撃があった。国内では、防衛省へのサイバーテロが記憶に新しい。
  • こういった報道に接して、皆さんの中には非常に不安があると思う。何をしていいか分からないという不安。
  • サイバーテロについてまず知っておいてほしいのは、こうした攻撃には不正アクセスとサービス妨害攻撃の2種類があるということ。そして、後者は攻撃でなくても割合よく起きる事象であるということ。

• 最近のサービス妨害攻撃事例、その1
  • DoS攻撃の事例としては、2009年7月に起きた米韓政府系サイトへのDDoS攻撃*4。IPA報告書（p30）でも紹介している。ウィルスを利用してボットネット*5を構成し一斉にデータを送りつける帯域消費型のDDoS攻撃と、不正アクセスの2種類の攻撃が行われた。この事件に関しては誰が何の目的で行ったか、今でもはっきり分かっていないこと。これは気持ち悪い。
  • ボットネットとはどういうものか。まず、攻撃者がウィルス（＝ボット）をネットワーク上に配布し、誰かのPCに感染させる。感染した人は気付かない。日本はウィルス対策が進んでいる方なのでボット感染率も比較的低く、1%くらいと思われる。
  • 感染したウィルスは、C&Cサーバ*6に時々接続しながら、ウィルス配布者からの指令を待つ。
  • 指令があると、一斉にWebサーバに攻撃を加える。あるいはスパムメールを配信したり、情報漏洩させたりする。
  • 2009年の米韓政府系サイト攻撃の際には、20万台ものPCがボットネットに加わっていた。日本のPCもあった。
  • これは2000年くらいから行われていた攻撃で、けっこう歴史がある。

• 最近のサービス妨害攻撃事例、その2
  • アノニマス騒動について。アノニマスの特徴は組織化されていないこと。ネットワークを介してゆるい仲間意識でつながっている。日本で同様のつながりを持つ人たちを挙げると、2ちゃんねらー。それが何かのきっかけでエスカレートして攻撃になる。
  • たとえば2ちゃんねらーの場合。TIME紙の「今年の人」のネット投票で、タレントの田代まさしに大量に投票するということが行われた。この時は自動アクセスするプログラムが使われ、「田代砲*7」と呼ばれた。
  • 2011年4月のアノニマスのソニーへの攻撃は、プレイステーションの著作権保護機能を解除したハッカーがソニーに訴えられ、敗訴したことをきっかけとする。これへの抗議としてハッカーたちがシステムへの不正アクセスや、ソニー幹部への個人攻撃などを行った。攻撃を受ける立場になったとして、一番されてダメージが大きいのは個人攻撃かもしれない。特定の人のPCを狙って、中の個人情報を晒すというもの。
  • 2012年1月には、アノニマスはFBIやアメリカ司法省への攻撃を行った。これはSOPA*8への抗議がきっかけ。
  • SOPAというのは、簡単に言えばネット上での著作権保護を強化する法律。これにより、MEGAUPLOADというオンラインストレージサービスが閉鎖された。これはファイルをネット上でやりとりするもので、不法コピー取引の温床になるということで取り締まられた。それへの抗議として、アノニマスの攻撃が行われた。

• 最近のサービス妨害攻撃事例、その3
  • 愛国的ハッカーによる日本攻撃というのもあった。2010年9月、中国紅客連盟という組織により日本の政府機関、自治体、芸能人や漫画家のブログまで攻撃を受けた。
  • 歴史や領土に関する国同士の問題は世界中にある。たとえばロシアはグルジアやエストニアと歴史的問題を抱えているなど。その意味で、愛国的ハッカーの攻撃対象はアノニマス等に比べると分かりやすい。

• 図書館、自治体とDoS攻撃
  • 図書館のサイトも、きっかけ次第でいつ攻撃の対象となるか分からない。きっかけは割合単純なこと。たとえば自治体の職員が不祥事を起こして取り上げられると、その自治体のサイトが攻撃されるなど。
  • 「流れ弾」を受けることもありうる。こちらの方が可能性は大きい。具体的には、どこかの図書館で不祥事が起きたことをきっかけに、無関係な他の図書館まで攻撃されるなど。とばっちりはあり得る。
  • ただし、一番怖いのはサービス妨害攻撃ではなく標的型攻撃。これはウィルスを仕込んで内部情報を盗むようなもの。
  • サービス妨害攻撃を受けると、民間企業であれば金銭的被害がある。特にeコマースサイトでは、サービス不能になった時間の分だけ莫大な損失が出る。しかし図書館の場合、金銭的被害はない。一方、標的型攻撃により情報漏洩などの被害が出れば回復できない。
  • 対策に力を入れなくてはいけないのは標的型攻撃の方。ただし、標的型攻撃への対策はサービス妨害攻撃への対策にもなる。

• IPA報告書について
  • IPA報告書は、ちょうど図書館くらいのレベルの人をターゲットにして作られたもの。委員会が3回行われたが、1回目の後にLibrahack事件が起き、急いで盛り込んだ。
  • 作った側の裏話。少人数で調査したものなので、正直言って粗い部分もある。もっと徹底的にやりたいところもあった。ただ、メンバーに関しては調査を委託された業者が頑張っていいメンバーを集めてくれた。日本でセキュリティを考えるのに、これ以上のメンバーはない。
  • IPA報告書の特長。DoS攻撃について分かる本というと、ごく表層のことしか書いていないか、大企業向けのものが多い。IPA報告書は中小企業を対象としている。自治体であれば、中核市でないような小規模なところ。規模が小さく専任のセキュリティ担当者を置きづらいような組織を想定している。
  • セキュリティ責任者を押しつけられた担当者が、経営者に対してセキュリティ対策を主張していくためのお墨付きとして、IPA報告書を使ってくれるといい。
  • 残念な点としては、掲載できた事例が少ないこと。大きく報道されたようなレベルの事件でないと、担当者がなかなかインタビューに応じてくれない。事例については、ニュースやブログ等で自分で探して補いながら読んでほしい。

• IPA報告書の解説
  • 構成は、第一章が概要、第二章が事例紹介、第三章がテクニカルな話、第四章が対策となっている。
  • 第一章のポイントは、サービス妨害攻撃には2種類あるということ。第一は脆弱性によるもの、ソフトウェアのバグや不具合。第二はネットワーク資源を浪費させるもの。この両者は対処法が違う。
  • 前者の脆弱性をつく攻撃への対処は、脆弱性をなくすこと。つまり不具合を保守業者に直させること。本質的には保守業者の責任。これの対処をすることで、他の攻撃に対しての対策にもなる。
  • ただし例外は、SYN Flood攻撃*9。これは通信システム自体に脆弱性が組み込まれているので、修正できない。
  • 第二の資源浪費型攻撃というのは、たとえば通信帯域を目いっぱい使うことで他のユーザがアクセスできないようにするなど。これは諦めてくださいとしか言えない。真面目に対処するのは労力の無駄。事前に対策をすることは、ほぼ不可能。

• • 第二章は事例集。国家レベルのような大規模な事例も挙げたが、このくらいの規模の攻撃になると本当に受けたらどうしようもない。
  • 事件化された例としては、オンラインゲームサイトが攻撃された事例（p12）を挙げた。これはDDoS攻撃と金銭要求が一体となった例。簡単に言えば、DDoS攻撃を受けてゲームの動作が遅くなると、ズルができる。これで稼いだゲーム内マネーを中国等で現金化するというもの。攻撃の動機としてこういうものがあると知ってもらう意味で、参考として載せた。

• • 第三章はテクニカルな話。DoS攻撃のそもそもの背景など。
  • サービス妨害攻撃の請負業というものが存在している。特定の対象に恨みを持つ人が、自分ですべて攻撃するのではなくそういう請負業を選択することができる。
  • たとえば攻撃にはボットネットが必要になる。あらかじめボットネットを作っておいて、その能力を売るという人がいる。アングラサイトに行くと、そういうものの広告が出ていたりする。
  • 昔はそういう請負業も多くなかったので、値段も高かった。最近価格破壊が起きている。「20ドルで2時間に45Mbps」といった価格表もある。
  • 金銭目的でそういう請負業をする人もいる。捕まってみたら、その人はそれだけで生活していた。それくらいの金額だったという。
  • Dos攻撃に用いられる手法。帯域幅・リソースを消費させる真正のDoS攻撃と、システム資源を消費させる脆弱性に根差したDoS攻撃。特に注目してほしいのは、表3.2に挙げたSYN Flood攻撃。これは典型的な攻撃手法。現在の保守業者にSYN Flood攻撃について尋ねてみるといい。これを知らなければ、その保守業者はまずい。
  • 補足。攻撃で一番多いのは、脆弱性をつかれるパターン。実際には脆弱性があるためにトラブルが起きているのに、「攻撃されたから」というのはダメな保守業者の言い訳に使われがち。「事故で遅刻しました」みたいなもの。

• • 第四章は対処法。
  • まずは組織から。何か起きた時の役割分担をきちんとしておくこと。これは図4.1（IPA報告書p42）を参照。
  • それから相談窓口を知っておくこと。一般論としては、IPA*10。具体的な相談にも応じてくれる。
  • また、契約しているインターネットサービスプロバイダに問合せること。手元のルータを止めても、通信回線がそのままだと効果がない。
  • JP/CERTCC*11にも相談できる。この組織は、情報流通の要になる役。守秘義務も守ってくれる。
  • これらの組織では、いったん相談を受け付けると対応してくれる。きちんとやるのは本当に困ってからでいいが、窓口を覚えておいてほしい。

• • 表4.3（p60）にサイト側の対策の例を一覧しておいた。これは「このくらいはやってね」ということで、保守業者に見せるものとして使ってほしい。ただし、コストのかかる対策もあれば安い対策もある。すべて必要ということではない。
  • たとえばSYN Floodingへの対策としてSYN cookies*12の利用。これは安くて比較的有効な対策。Windows 2008では、デフォルトでSYN Floodingへの対策が取られている。
  • 他に、帯域制御というのはあらかじめサーバの能力を制限してしまうこと。

• • 図4.4（IPA報告書p65）は、サービス妨害攻撃を受けたと思われた場合の判断チャート。これと、図4.5は特に見てほしい。
  • まず、アクセス増加の心当たりがないか。ただプレスリリースを出した等の分かりやすい原因があればよいが、実際は自分では分からないこともある。自分の経験では、学生の作っていたホームページが掲示版等に晒されたためにアクセスが急増したケースがあった。
  • 次に、攻撃の意図があるかどうか。意図がなくてもアクセスが急増する場合はある。サーバに置かれたファイルを頻繁に新規チェックしにくるプログラムがあったために、サーバが遅くなったことがあった。
  • 次に、自社のみの現象か、よそでも起きていることか。後者であれば大規模な攻撃の巻き添えになっている可能性があり、その場合には自社だけで対策は不可能。IPAやJP/CERTに頼ることになる。
  • 図4.5(p66)は、サービス妨害攻撃を受けた場合の相談先。あえて相談の順番は書いていない。が、自分の気持ちとしてはできれば上から順に。最初にIPAやインターネットサービスプロバイダ、次にJP/CERT、最後に警察。

• 全体のポイント
  • ポイントは二つ。一つ目は、サービス妨害攻撃は多くの場合攻撃ではないということ。事件ではなく事故に近いケースが多い。二つ目は、保守業者が言い訳としてサービス妨害攻撃を持ち出してきても騙されないでほしいということ。
  • たとえば報道された事案だと、少し前に自治体向けのクラウドサービスがサービス妨害攻撃を受けて停止したということがあった。九州など、100くらいの自治体でサービスが停止した。請け負っていたのは島根県の会社。あまり大きく取り上げられていなかったが。LASDECが概要や対策を発表するとなっていたが、その後どうなったかよく分からない。
  • 個人的には、あれは攻撃ではなかったと思っている。情況証拠だが。SYN Flooding攻撃を受けたとのことだったが、17か所分のIPアドレスからのアクセスがあったという。普通SYN Flooding攻撃の場合は、17か所どころでなくもっとランダムなアドレスを使うもの。
  • その事例が絶対に攻撃でなかったと言いきれる訳ではない。ただ、そういう言い訳が通ってしまう土壌がある。
  • 攻撃を受けたかも、と思った時、本当に自社のサイトに原因がなかったか考えてほしい。すなわち、保守業者が信用できるかどうかという話でもある。それを見極めるためには、発注側にもスキルが必要となる。

　上原先生のお話はここまで。後の質疑も結構盛り上がって面白かった。が、眠いので本日はここまで。