連載
» 2010年11月05日 10時00分 公開

川口洋のセキュリティ・プライベート・アイズ(30):9・18事件にみる7つの誤解

[川口洋,@IT]

9・18事件

 皆さんこんにちは、川口です。少し時間が空きましたが、今回は9月18日に起きたあの事件について取り上げます。

 皆さんもご存じのように、尖閣諸島での中国船との接触事件に端を発して、中国の掲示板で攻撃予告が行われ、9月18日にはいくつかの日本のサイトに対して攻撃が行われました。今回はこの事件への対応を行った際にみられた7つの誤解について取り上げます。

対策を取るのは「攻撃予告があったから」

 中国の掲示板で日本のWebサイトが攻撃対象として掲載されていました。その攻撃対象として掲載された組織では対策に追われていたようです。

図1 中国の掲示板には、攻撃ターゲットとしていくつかの日本の企業名が書き込まれた 図1 中国の掲示板には、攻撃ターゲットとしていくつかの日本の企業名が書き込まれた

 しかし、ここでの「対策」とは一体何なのでしょうか。このコラムで何度も取り上げていますが、公開Webサイトに対して攻撃は四六時中行われています。いままでは攻撃が行われておらず、今回の事件を機に特別に攻撃が行われるわけではありません。今回のために特別な攻撃手法が生み出されない限りは、従来どおりの対策で十分です。

未知の攻撃や脆弱性に関する情報を収集すべき

 今回の攻撃に関して、未知の攻撃手法や未知の脆弱性が狙われるのではないかという心配をされる方もいらっしゃいました。今回の攻撃に限らず未知の脆弱性が狙われる危険性は常に存在します。「未知」とは「いまだ知らず」ということですから、知らないものには特別な対策は取りようがありません。普段と同じように脆弱性情報や攻撃情報を収集するしかありません。

【参考】

「攻撃予告されたらどうする?」(LACCOTV)
http://www.youtube.com/watch?v=iKX-H5fUdBw


対策は攻撃予告日に合わせて実施

 攻撃予告日に合わせて緊急連絡体制を整えたところもあったようです。実際のところ、今回は9月18日に攻撃が盛り上がりましたが、仮にその前後に攻撃が行われていればどうなったのでしょうか。

 今回の事件は、攻撃自体の効果よりも中国国民意識の扇動を狙っているため、親切にも(?)攻撃実施まで余裕を持ったスケジュールになっていました。けれど本当に効果ある攻撃を狙うなら、予告などせず、いきなり攻撃をすればいいわけです。あるいは、本当に何かを攻め落としたいのであれば、攻撃予告を乱発し、担当者を疲弊させる作戦に出るかもしれません。

 そうはいっても何も対策をしていなかった場合、責任問題に発展する可能性があります。「緊急の体制を取っていました」ということを株主や取引先などのステークホルダーに示すという意味でも重要なので、1年に1度の対応訓練として計画するのもよいかもしれません。

攻撃元は中国

 中国の掲示板で攻撃予告が行われたためか、「中国からの通信を止めればいいですか?」という質問もありました。情報システムの持ち主ではない立場からすると「中国からの正規のお客様の通信を止めていいのであれば」という条件付きで回答するしかありません。

 何度も繰り返しますが、たとえ今回の事件が起こらなくても、攻撃は世界中から四六時中行われています。中国からの攻撃を止めれば、攻撃の総数を減らすことはできるかもしれませんが、脆弱なシステムは結局はやられてしまうでしょう。

 また、今回の事件が中国をおとしめようとする悪の組織による計画であった場合、中国に気を取られている間に、別の国からの重大な攻撃を見逃してしまう可能性があります。攻撃は特定の国に依存する問題と考えず、世界中から行われるものと想定して対策しましょう。

DDoS攻撃は見つけて止めることができる

 今回のような事件になると「DDoSが発生したら止めたい」「DDoSを発見したい」というリクエストが必ず発生します。そのリクエストを出す気持ちは理解できるのですが、組織の情報システムのキャパシティを上回るトラフィックがやってきた場合、どうしようもありません。

 このようなリクエストが産まれる背景には「不正な通信と正常な通信を見分けることは可能である」という幻想があるようです。

 ですがDDoSは通常の通信を装って行われます。DDoSに関しては、不正な通信を止めるためには正常な通信を止めるリスクを負う必要があります。「攻撃元は中国」の項でも説明しましたが、中国からの通信を止めてしまえばDDoSも止められるかもしれませんが、中国に存在する潜在的な顧客の通信も止めることになるのです。このリスクを含めて通信の遮断を検討するべきです。

【関連記事】

米韓へのDoS攻撃に見る、検知と防御の考え方(@IT)
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/017.html


緊急事態なのだから、タダで特別対応してくれるよね?

 今回の事件に関して知人と話していると、お客さまから「緊急体制を整えてほしい」「緊急事態なのでSEを張り付けてほしい」という要請があったという話を聞きました。これが正規の契約の範囲内であればまったく問題ありませんが、聞いてみると、その要望には「もちろん緊急事態なんだからタダで対応してくれ」というメッセージが込められていたようです。

 モノやヒトを動かせば、そこにコストは発生するものです。契約関係については他人が口出しをするものではありませんが、「緊急事態だから」という言葉を盾にとって無料でサービスを要請(強要)する習慣が存在するとしたら大きな問題です。

実は、今回の攻撃は大したことなかった

 幸いなことに、JSOCの対応している範囲では大きな被害はありませんでしたが、聞くところによると、中には対応が大変だった組織もあるようです。勝手な想像ですが、ISPやキャリアの方はわれわれよりも大変だったのではないかと思います。対応された方はお疲れ様でした。また酒の肴が増えましたね(笑)。


 いろいろ説明しましたが、つまりは「普段どおりの対策をしていれば問題ない」「普段やっていないことは(対価を払わない限り)突然対応できない」ということです。

 普段から対策や緊急連絡の体制について整備しておきましょう。ただ、このコラムをお読みの方であれば「そんなことは百も承知」の事実だと思います。本当に悩ましいのは「偉い人にはそれがわからんのですよ」ということでしょう。この問題を解決するためには、普段からの組織内でのコミュニケーションと相互理解が重要です。健闘を祈ります。

 実は今回の事件のターゲットとなった9月18日は、JSOCの頼りになるセキュリティアナリストの結婚式の日でした。当然、私やほかのメンバーもその結婚式に出席していました。われわれの中では「今回の攻撃は彼の結婚式を妨害するための陰謀ではないか」「JSOCが手薄になる時期を狙ったのではないか」「彼に結婚してほしくない誰かがいるのではないか」という憶測が飛び交いました。

 幸いなことに彼の結婚式は無事に行われ、われわれに緊急招集がかかることもありませんでした。私はそんな陰謀論を打ち消すべく、一日の戦いを終えたセキュリティアナリストと今日も飲みにいくのでした。

Profile

川口 洋(かわぐち ひろし)
株式会社ラック
チーフエバンジェリスト兼シニアセキュリティアナリスト
CISSP

ラック入社後、IDSやファイアウォールなどの運用・管理業務をへて、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。

アナリストリーダとして、セキュリティイベントの分析とともに、IDS/IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。

現在、チーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。また、YouTubeのlaccotvにて、「川口洋のつぶやき」に出演中。


「川口洋のセキュリティ・プライベート・アイズ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。