ニュースレターNo.48/2011年7月発行
APCERT年次総会および関連会合開催報告
はじめに
2011年3月22日(火)から25日(金)にかけて、APCERT年次総会および関連会合が開催されました。APCERT年次総会は、アジア太平洋の各経済地域における最近のインターネットセキュリティ動向、インシデント対応の事例、調査・研究活動などを共有することを目的に毎年開催されています。今年は韓国のKrCERT/CC (http://www.krcert.or.kr/english_www/)がホストチームとなり韓国済州島にて開催されました。
東北地方太平洋沖地震発生から約10日後の開催であったことから、JPCERTコーディネーションセンター(以下、JPCERT/CC)からの参加に関しては、物理的な移動手段の確保が可能か等の懸念もあり、直前まで予断を許さない状況でしたが、結局、参加予定者全員が無事に出席することができました。
JPCERT/CCには地震直後から海外の情報セキュリティ関連機関からのお見舞いや各種協力の申し出が多数寄せられていたところですが、APCERT年次総会においても、ホストチームからの提案により、出席者全員が被災者に対して黙祷を捧げました。
アジア太平洋地域のCSIRTコミュニティ「APCERT」について
APCERT(エイピーサート、Asia Pacific Computer Emergency Response Team)は、2003年12月に発足したアジア太平洋地域に所在するCSIRT※1からなるコミュニティです。APCERTでは、アジア太平洋地域におけるCSIRT間の協力関係の構築、インシデント対応時における連携の強化、円滑な情報共有、共同研究開発の促進、インターネットセキュリティの普及啓発活動、域内のCSIRT構築支援などの活動を行っています。
APCERTの活動の対象範囲は、APNICが定義するアジア太平洋地域の範囲と同様、56の国・経済地域です。12の国・経済地域から15チームが加盟して発足しましたが、加盟国・経済地域およびチーム数は年々増加しており、2011年3月末現在、18の国・経済地域から27チームが参加しています。
アジア太平洋地域内での活動はもちろん、国際的なCSIRTのコミュニティであるFIRST (Forum of Incident Response and Security Teams)や、ヨーロッパのCSIRTコミュニティであるTF-CSIRTなどと、グローバルな連携や他の地域の関連組織との連携を図りながら活動しています。
APCERT年次総会および関連会合
今年の年次総会および関連会合は、以下のスケジュールの通り実施されました。
- 2011年3月22日(火)
午前:APCERT戦略策定会議 (Strategic Planning Meeting)
午後:APCERT運営委員会(Steering Committee) - 2011年3月23日(水)
午前:APCERT年次総会 (Annual General Meeting)
午後:APCERTカンファレンス(限定公開の講演会) - 2011年3月24日(木)
終日:APCERTカンファレンス(一般公開の講演会) - 2011年3月25日(金)
午前:Workshop(ワークショップ)
23日の年次総会には15の国・経済地域から19の加盟チームの代表者が出席し、活発な意見交換、情報交換が行われました。24日の一般公開の講演会には、韓国の情報セキュリティ関係者を中心に、全体で約100名が出席しました。
新ビジョンの共有
今回の年次総会では、JPCERT/CCからの提案を叩き台として討議を重ね、“APCERT will work to create a safe, clean and reliable cyber space in the Asia Pacific region through global collaboration”という組織運営の新ビジョンが採択されました。APCERTが今後目指していく方向性が、加盟チーム相互の連携構築に留まらず、アジア太平洋地域の情報セキュリティ向上への寄与にあることが、あらためて確認されたものです。この新ビジョンのもとで、今後は、新たに設置されることとなったワーキンググループによる活動や、他組織・他地域との連携強化、新規プロジェクトの実施等、さまざまな活動を実施することが確認されました。
運営委員会メンバー等の改選
APCERT年次総会にて運営委員会(Steering Committee)のメンバーの一部改選が行われ、JPCERT/CCが再選されました(任期は2013年3月まで)。また、APCERT議長チーム・副議長チームが改選され、それぞれJPCERT/CC、KrCERT/CCが選任されました(任期は2012年3月まで)。さらに、2003年2月のAPCERT発足時から担っている事務局についても、JPCERT/CCが継続して担っていくことが採択されました。JPCERT/CCは、任期中、APCERTの議長チームとしてさまざまな活動をリードすることとなりました。
情報セキュリティ動向
3月24日(木)のAPCERTカンファレンス(一般公開の講演会)にて発表された、注目すべき講演の概要をいくつか紹介します。
(1) “Cyber Risks and Collaborative Responses” (基調講演)
講演者:Mr. Greg RATTRAY, Senior Vice President of Security, BITS【米国】
米国の大手金融機関のCEOらによって設立されたThe Financial Services Roundtableのビジネス戦略・技術部門BITSに所属するGreg RATTRAY氏は、「インターネットはエコシステムである」という持論に基づき、サイバー攻撃が発生したらその都度対処するという受け身の姿勢ではなく、インターネット上の治安を積極的に維持する姿勢の重要性について言及しました。
既にこのような観点をもって、インターネットのエンドユーザーに直接働きかけてボットを駆除するプロジェクトがいくつかの国で実施されており、
-
日本のサイバークリーンセンター
(CCC、https://www.ccc.go.jp/index.html) -
オーストラリアのAustralian Internet Security Initiative
(AISI、http://www.acma.gov.au/WEB/STANDARD..PC/pc=PC_310317) - 韓国のQuarantine Programs 2010
-
ドイツのAnti-Botnet-Beratungszentrum
(https://www.botfrei.de/en/index.html) - フィンランドのWalled Garden
等の取り組みが紹介されました。
CSIRTコミュニティの外にいる同氏の立場から見たCSIRTの強みとは、「高い技術力」「信頼を重んじる文化」「技術面での密な連携」であり、一方弱みとは「技術への過度な依存」「目先のインシデント対応に終始」「コミュニティの外から学ぶ意識の低さ」「パートナー組織に対する用心深さ」であると言及しました。
(2) “The Response of 3.4 DDoS Attack”
講演者:Mr. Jay SEO 韓国インターネット振興院(KISA、Korea Information Security Agency)ハッキングレスポンスチーム【韓国】
韓国では、2011年3月4日に同国内の政府系サイトやポータルサイト等を対象としたDDoS攻撃が発生しました。これは世界各地に分散配置された攻撃指令サーバ(72ヶ国に748ヶ所)を用いた大規模な攻撃で、発表者の所属するKISAも攻撃対象の一つでした。韓国では、2009年夏にもDDoS攻撃が発生し、インターネットアクセス障害が起きましたが、今回起きたDDoS攻撃によるアクセス障害は限定的であるとして、その理由を二つ挙げました。
一つ目は、2009年夏のインシデントの反省から導入した「DDoS Shelter」の効果です。「DDoS Shelter」は、DNSレコードを操作し、攻撃トラフィックをあらかじめ用意したシンクホール(Sinkhole)に振り向けるシステムです。このシステムの導入によって、遠隔操作で悪用できる状態のままインターネットに接続しているゾンビパソコンから、サーバへの攻撃トラフィックを減らすことができたとの見方を示しました。
二つ目は、DDoS攻撃が確認された日から数日以内に、インターネットをはじめとするさまざまなメディアを活用し、国民に駆除ツールのインストールを呼び掛けたことの効果です。
なお、ゾンビパソコンの感染ルートについては、韓国のネットユーザーに人気のP2Pツールのダウンロード先に置かれたファイルがマルウェアに換わっており、利用者が知らずにツールをインストールした事例等が報告されました。
(3) “2010 China Internet Security Report”
講演者:Mr. Yonglin ZHOU, Director, CNCERT/CC【中国】
2010年の中国のインターネットセキュリティ概況と2011年の展望について、CNCERT/CC (National Computer network Emergency Response technical Team/ Coordination Center of China)が発表しました。2010年の中国インターネットセキュリティの主な動向については、次の通りです。
- Webサイト改ざん:35,000件(2009年比 21.5%減)
- 政府のWebサイト改ざん:4,635件(2009年比 67.6%増)
- CNCERT/CCが確認・閉鎖したフィッシングサイト数:1,597 (2009年比 33%増)
- マルウェア等を配布するサーバと攻撃指令サーバの停止依頼: 5,384件
- CNCERT/CCが運営するChina National Vulnerability Database(CNVD)上で公表された脆弱性情報:3,447件
- マルウェアに感染した携帯電話(Symbian OS)数:800万台
また、2011年における中国でのサイバー攻撃の傾向として予想されるのは、攻撃件数のさらなる増加とその手口の巧妙化、経済的利得を目的とした攻撃の増加等であるとの見解を示しました。
さらに、重点的に対応すべきは、市場が急速に拡大しているスマートフォンのセキュリティの確保であるとの見解を示しました。加えて、このような動きに対応すべく、CNCERT/CCは、モニタリングシステムの増強、マルウェア分析の強化、モバイル・マルウェアハンドリングの強化、国際協力の強化に取り組むとの方向性を示しました。
次回のAPCERT年次総会
次回のAPCERT年次総会は、2012年3月頃にインドネシアのバリ島にて開催されることが決定しました。ホストチームはインドネシアのId-SIRTII(http://idsirtii.or.id/)です。
最後に
2011年3月22日、APCERT運営委員会(Steering Committee)にて、JPCERT/CCはAPCERT加盟チーム間の共同プロジェクトとして、アフリカにおけるCSIRT構築支援を提案しました。先述のFIRSTのWebサイト内に、FIRST加盟チームの経済地域を示す地図がありますが(http://www.first.org/members/map/)、アフリカからのFIRST加盟チームはまだ少なく、そもそもCSIRT自体がほとんど構築されてないという実態があります。JPCERT/CCでは、2009年度からアフリカにおけるCSIRT構築のための現地研修を実施しておりますが、今後はAPCERTの加盟チームと連携しながら、アフリカに対しての支援を実施していきたいと考えております。
JPCERT/CCは、変化を続ける情報セキュリティ上の脅威や、複雑化するコンピュータセキュリティインシデントに対する対応調整機関として、国内外の関係組織と連携しながら着実に対処していきます。また、APCERT内の連携強化やアフリカのCSIRT構築支援等を通じて、世界のインターネット環境の安全性向上に貢献していきたいと考えております。関係各位のご指導並びにご協力を引き続きよろしくお願いいたします。
(JPCERTコーディネーションセンター 国際部 渉外担当 梅村香織)
- ※1 CSIRT(シーサート、Computer Security Incident Response Team)
- コンピュータセキュリティインシデントの関連情報、脆弱性情報、攻撃予兆情報等を常に収集・分析し、インシデント対応を行い、また、関係者の対応に必要な情報を提供する組織です。企業等の組織内にサービスを提供するチームもあれば、JPCERT/CCや韓国のKrCERT/CCのように、国内のインターネットユーザー全体をサービス対象とするいわゆる「National CSIRT」と呼ばれるチームもあるように、その対象とする範囲はさまざまです。