TOP > 大会・研究会等 > 研究例会 > 2011年度 > / Update: 2013.4.28

日本図書館研究会研究例会(第286回)報告


日時:
2012年1月29日(日)14:30〜17:00
会場:
城北市民学習センター研修室2
発表者 :
上原哲太郎氏(NPO法人情報セキュリティ研究所)
テーマ :
図書館ICT基礎知識−IPA報告書を読もう!−
参加者:
20名

1.概要

 独立行政法人情報処理推進機構セキュリティセンター(IPA)から2010年12月に出された「サービス妨害攻撃の対策等調査」報告書(http://www.ipa.go.jp/security/fy22/reports/isec-dos/2010_isec_dos.pdf)を元に,策定に関わられた上原哲太郎氏に,「サービス妨害攻撃(Denial of Service Attack:DoS攻撃)」の内容,予防的対策,「攻撃された」と思われる状況になった場合の対処法を中心に解説いただいた。

2.最近のサービス妨害(=DoS)攻撃

 最近のサービス妨害攻撃事例としては,2009年7月の米韓政府系サイトへのDDoS攻撃,Anonymousによる一連の騒動,愛国的ハッカー(中国紅客連盟)による日本の政府機関,芸能人や漫画家のブログへの攻撃などがある。

 図書館や自治体のサイトもきっかけ次第で狙われることはあり,無関係ではない。職員が不祥事を起こしてその自治体サイトが攻撃されることや,他の図書館の不祥事をきっかけに無関係な館まで攻撃されることなどがある。ただし本当に怖いのはウィルスを仕込んで内部情報を盗むような標的型攻撃である。図書館や自治体では金銭的被害にはつながりにくいが,情報漏洩などの被害が出れば回復できない。標的型攻撃への対策はサービス妨害攻撃への対策にもなる。

3.IPA報告書について

 IPA報告書は,中小企業・小規模な公的機関など規模が比較的小さく専任のセキュリティ管理者を置くことが難しい組織における経営者,情報セキュリティ担当者を主たる読者と想定し,サービス妨害(DoS)攻撃や対応について網羅的にまとめている。

 第1章:サービス妨害攻撃の定義と概要
 DoS攻撃には2種類あり対処法も異なる。第1は脆弱性(ソフトウェアのバグや不具合)によるもの。対処は脆弱性をなくすこと,つまり不具合を保守業者に直させること。これは他の攻撃に対しての対策にもなる(例外はSYN Flood攻撃)。第2は資源浪費型攻撃。たとえば通信帯域を目いっぱい使うことで他のユーザがアクセスできないようにするもので,これは事前に対策することはほぼ不可能である。

 第2章:事例集
 国家レベルのような大規模な事例も含め,インタビューと文献による事例を挙げている。

 第3章:DoS攻撃の動機・背景・手法
 アンダーグラウンド市場にDoS攻撃の請負業が存在している。自ら攻撃せずにそうした請負業を選択することもできる。
 DoS攻撃に用いられる手法には,帯域幅・リソースを消費させる真正のDoS攻撃と,システム資源を消費させる脆弱性に根差したDoS攻撃がある。特に注目すべきはSYN Flood攻撃で,現在の保守業者がSYN Flood攻撃について知っているかは保守業者のレベルチェックにもなる。
 実際の事例としてはWebサービス脆弱性を突くものが最も多いが,実際には,事例にある岡崎図書館事件など,脆弱性に起因する事故も含まれる。

 第4章:実際の対応について
 まず組織としての役割分担をきちんとしておく。図4.1(対策に関する役割分担)を参照。次に相談窓口を知っておく。IPA,契約しているインターネットサービスプロバイダ,JPCERT/CCなどは覚えておいてほしい。表4.3(サイト側の対策の例)は保守業者への交渉用に使える。ただしコストが必要なものもありすべて必要ということではない。図4.4(サービス妨害攻撃判断チャート)と図4.5(サービス妨害攻撃を受けた場合の相談先(例))は特に重要。

4.最後に

 サービス妨害攻撃は多くの場合「本当の攻撃」ではなく,事件ではなく事故に近いケースが多い。保守業者が言い訳としてサービス妨害攻撃を持ち出してきても鵜呑みにせず,本当に自社サイトに原因がなかったか考えてほしい。すなわち保守業者が信用できるかどうかということでもあり,それを見極めるスキルが発注側にも必要ということでもある。

 質疑応答では,「図書館の自由に関する宣言」に照らしたWebサーバのログ管理や調査のための外部提供の扱い,電子書籍の利用履歴,図書館システムに必要なスペックの相場感の持ち方,司書課程で学生に教えるべき知識とは,などが話題となった。

(記録文責:前川 敦子 神戸大学附属図書館)