セキュアIoTプラットフォーム（SIOTP）協議会による新たなセミナー方式によるセキュリティカフェの第1回目。PIPELINE社の渡辺アラン氏を講師として招き「データを使用したサイバー脅威やボットの検出」というテーマで開催された

セキュリティカフェは一方通行の話を聞くだけではなく、講義の後にカフェ形式で講師と参加者がディスカッションできるイベントだ。

セミナーではなかなか質問がしにくい人も、懇親会のようなカフェ形式であれば気軽に講師に質問が出来る。講師もセミナーの壇上からでは話しにくいことをカフェ形式ならば自然に話せる。第1回のセキュリティカフェでも実際に講師と参加者の間で活発なディスカッションが行われ、講師と参加者だけではなく、参加者同士のつながりにも発展した。

ハッカーは知名度が高い会社名、利用度の高いサービス名をドメインに使う

アラン氏が経営するPIPELINE社は国内の13万件のインシデントデータを保有しており、ユーザーに脅威データを提供している。同社の保有するデータは、Spamhaus Projectの協力によるものである。Spamhaus Projectは活動21年目のNPO法人であり、90か国のマルウエア、ランサムウエアを集めている。インシデントデータの保有は世界No.1である。PIPELINE社は、Spamhaus Projectのデータの販売を担っているが、独自でもJPCERTと連携して、日本、アジア、アフリカ、中東のデータを集めている。

実際のインシデントの状況はどうなっているのだろうか。「インシデントデータの量では、世界の国別トップ10でアジアが8カ国から9カ国を占める。中国、イラン、インドネシア、ベトナム、ミャンマーなどで多く発生している」とアラン氏は述べた。

アラン氏によると日本では特にDDoS攻撃（分散型サービス妨害攻撃）に困っているようだ。「フィッシング対策協議会からデータが出ているが、攻撃にはdocomo、セブンPAY、楽天、佐川急便など、知名度が高く利用度が高いサービスのブランド名がドメインとして使われている。マルウエアのドメインは、自動的にドメインを購入しリンクを張って一斉に発信されるが、こういったドメインは、毎日10万から50万種類が作られて捨てられる。ハッカーは一瞬しか使わないので、1円ドメインなどを買い集める」とアラン氏は説明した。

また最近広がっている驚異に、クリプトジャッキングがあるという。これはクリプトマイニングというマルウエアで仮想通貨を採掘（マイニング）して搾取することを目的としたものである。ユーザーのPCにマルウエアをインストールし、PCを立ち上げるとCPU、メモリーが仮想通貨のマイニングのためのリソースとして使われ、ビットコインなどの仮想通貨が犯罪者のPCに送られるようである。

さらにアラン氏が注目しているのが、C2サーバー（C＆Cサーバー、Command and Control server）である。これはマルウエアに侵されている端末のコントロールノードである。マスタースレーブのイメージで、マルウエアに引っかかった端末に対して、このC2サーバーから指示が出される。世界中の端末がスレーブになれば、DDoSだけでなく、ボットネットで犯罪を行うようになる。

アラン氏は、この悪意のボットネットはグローバルで2017年から2019年にかけて800万から1000万件までに増え、日本でも同時期で9万2千から11万8千件までに増えると予測している。

具体的な内容を見ると、2017年度はOCNやKDDIなどプロバイダーに多かったが、2019年6月のデータを見るとAWS（Amazon Web Services）の利用が増えているようだ。AWSはフリートライアルが出来るが、それを使ったユーザーが途中で放置してしまうことで、ハッカーに悪用されている可能性があるとアラン氏は警鐘を鳴らす。

OSINTという用語は必ず覚えておくべきだ

アラン氏によると今後OSINTが要注意とのことである。OSINTとは、open source intelligenceの略で、一般公開された利用可能な公開情報を情報源にして、機密情報を収集することを指す。個人情報、クレジットカード情報、医療データなどの会社として一番重要なものがOSINTにより盗まれる可能性があるからだ。

そこで、オープンソースの検索サンプルとしてアラン氏は事前に東京オリンピック・パラリンピック大会に関連したドメイン名について調べてきたデータを示した。

「tokyo2020」の文字列を調べると98個のドメインの登録が出てきた。もちろん正式のものもある。そこで、怪しいと思うドメインをひとつずつ詳細に調べると、「Shop.tokyo.love」「tokyo202020.com」などのドメイン名の中に、「rakutem」「docomoup.com」「amazontv.k.com」など様々なフィッシングを狙ったと思われるドメインが発見された。

今回はドメインの検索例を紹介したが、「自身のメールアドレスやパスワード、会社のデータが公開情報として出ているかを確認することが必要である。もし出ていたら、なぜ出ているかを確認するべきであろう。社内からの流出でなかったとしても、取引先からの漏洩かもしれないといったことを調べる契機になる」とアラン氏はコメントした。

特に注目したいのが、ドメイン名とサーバーのIPアドレスを関連付けるDNS（Domeain Name System）のデータである。DNSにはその機能上、ドメイン名やIPアドレスといった固有の情報、企業にとっての重要な情報が含まれている。また、DNSの情報はログ解析ツールを使うことで読み出すことができる。ここでDNSが有効に活用できるのがIoTデバイスへの攻撃の分析である。処理能力などが小さいIoTデバイスではアンチウイルスソフトが使えないケースが多いが、DNSのログを解析することは可能だ。「犯罪者もDNSを使うので、ログを解析すればどことどこをつなげようとしたか、何をしようとしたか──といったストーリーを追うことができる。ぜひ試してほしい」とアラン氏は述べた。

最後に、アラン氏はOSINT検索のデモンストレーションを行った。

使用したアプリケーションは「SHODAN」である。このアプリは世界中の多くの端末をスキャンしている。「インターネットにつながっていれば「SHODAN」でデータを検索できる。いくつかのキーワードを入力するだけで、多くのデータが見られる。犯罪者はこれをツールとして使っているが、我々も取引先の情報を確認できる。ユーザーのドメインがパブリックに出ているか、メールアドレスやパスワードが漏れているかどうかなどを確認できる。こういったツールを使って、ユーザー環境を守ることができる」とアラン氏は説明した。

そして、セミナーの終了後は、参加者に秘密保持誓約書が配布され、記入後にカフェ形式の懇親会会場へと移動した。

懇親会でもセミナーで紹介されたアプリケーション「SHODAN」を使って、実際に検索を行うなどを行った。ここでの活発な議論の内容は公にできないのだが、デモンストレーションとしてはガソリンスタンドの日販のデータが読めてしまう例を示すなど、参加者にとって興味深いデータが公開され、有意義な時間となった。