このページの本文へ

前へ 1 2 次へ

5つのキーワードでセキュリティ問題を緊急提言!

詳しくない人に対策を促すには?セキュリティ専門家が激論

2014年06月02日 14時00分更新

文● 谷崎朋子

  • この記事をはてなブックマークに追加
  • 本文印刷

5月27日、JNSA(日本ネットワークセキュリティ協会)による記者懇談会「緊急時事ワークショップ~信頼の基盤は崩れたのか~」が開催された。リスト型攻撃やOpenSSL脆弱性など、昨今話題の脅威が絡み合うとき、何が起こりうるのか。セキュリティ専門家によるパネルディスカッションでは、今後の被害を防止するためにベンダーやユーザーは何を知り、何をするべきかが熱く語られた。

最近ニュースを賑わす5つのセキュリティキーワード

 連日報道されるITセキュリティ事件の対策は、もはやベンダーだけのものではない。一般ユーザーも知識を身に付け、対策を講じる必要がある。

「ITサービス提供者とユーザーは、自動車メーカーとドライバーのような関係だ。どんなに安全対策がされた車でも、ドライバーが飲酒運転してしまえば、事故が起きる確率は高くなる。両者が意識を高くもって取り組める最適解を模索している」。ソフトバンク・テクノロジーの辻伸弘氏は、こう訴える。

ソフトバンク・テクノロジーの辻伸弘氏

 ワークショップの前半では、5つのセキュリティキーワードが解説された。

 1つめのトピックは、リスト型攻撃だ。最近多発する不正ログイン事件は、主にリスト型攻撃によって引き起こされている。どこかのサーバーの脆弱性を突いて取得したIDとパスワードの組み合わせをリスト化し、それを他サービスのログイン認証でそのまま利用する手口だ。

 そのまま利用できるということは、パスワードが使い回されているということだ。「ひとりが保持するID/パスワードの数が多い上に、そもそも安全なパスワードの条件が厳しい。すべてのパスワードで長く複雑な文字列を作成、定期変更し、さらには暗記しろと言われても無理だ。弱いパスワードを使いまわしてしまうのも仕方ない」(辻氏)。

 そこで、辻氏は今できる対策として、事業者側は攻撃を「ブロック」するのではなく「フィルタ」する発想でキャプチャや二段階認証などを導入し、ユーザー側はパスワード管理ソフトを導入することを提案する。「手帳にメモをするのでも良い。その際は、パスワードの一部のみを記入し、何かを組み合わせないと完成しないような形で記述するといった工夫をしてほしい」(辻氏)。

 2つめのキーワードは、OpenSSLのHeartbleed脆弱性問題だ。これは、認証や暗号化などを行う通信プロトコル「TLS」の1.2以降で実装された拡張機能「Heartbeat」の脆弱性に端を発する。同機能は、SSL通信が可能かどうかをサーバーに確認する機能だ。問題は、問い合わせを受けた側がペイロードの大きさをチェックせずに、求めらるままメモリ上のデータを返してしまうことだった。メモリ上のパスワードや秘密鍵などは、すべて平文で格納されていたので、問い合わせを細工すれば、これら情報を暗号解読する手間なく手に入れられる。

 今回これだけ大きな話題になった理由だが、「正常な動作であるため、悪用されても気付かれなかった。また、あまりに単純な仕組みのため、誰もが使える攻撃ツールがすぐに出回った」と、NTTセキュアプラットフォーム研究所の神田雅透氏は説明する。

NTTセキュアプラットフォーム研究所の神田雅透氏

 事業者の対策としては、OpenSSLのバージョンアップやセキュリティパッチの適用、Heartbeat機能の無効化、サーバ証明書の再発行、ユーザーへのパスワードの変更依頼などがある。もっとも、「たとえばパスワード変更の依頼は、フィッシング詐欺の二次被害を誘発するきっかけにもなりかねない。また、秘密鍵の保管方法も再考が必要だ。もしも漏えいして偽サーバーで利用されたら、正規のサーバーとして認識されてしまう」と、神田氏は残された課題を懸念する。

 3つめのキーワードは、DNSキャッシュポイズニングだ。

 DNSサーバーには、ドメイン名とIPアドレスの対応表を持つ「権威DNSサーバー」と、ユーザーからの問い合わせを受けて権威DNSサーバーからドメイン名を取得、ユーザーに返す「キャッシュDNSサーバ」がある。このキャッシュDNSサーバに偽の情報を注入して、偽のフィッシングサイトなどに誘導するのが、DNSキャッシュポイズニングだ。

 問題は、ブラウザのアドレスバーのURLが正規サイトと変わらないため、気付かれにくいこと。また、毒を盛られれば多くの人が同時に影響をこうむることなどが挙げられている。

 「日本レジストリサービスの調査では、今年4月時点でJP DNSサーバに問い合わせをしたキャッシュDNSサーバの約10%は、毒を盛られやすい状態にあると判明した」。日本レジストリサービスの米谷嘉朗氏は、そう警告する。

日本レジストリサービスの米谷嘉朗氏

 対策は、偽の応答を注入させにくくするUDPポート番号のランダム化(ソースポートランダマイゼーション)や、本攻撃に悪用されやすいオープンリゾルバ(外部からの問い合わせに応答)の運用停止などが挙げられる。

 4つめは、オンライン銀行詐欺ツールだ。

 トレンドマイクロの岡本勝之氏によると、日本での被害は過去最大で、2013年の不正送金被害は14億円を超え、2014年も1~2月の時点で6億円以上の被害が出ているという。同ツールに感染したユーザーが正規の銀行サイトにアクセスすると、ツールはさも正規の取引を装いながら通信を乗っ取り、不正送金を行なう。一見通常の取引に見えるため、ユーザーに気付かれにくいのが特徴だ。

トレンドマイクロの岡本勝之氏

 日本で主流なツールは、ZBOTだ。これは2007年に猛威を振るったZeusの派生形の総称で、CitadelやGameoverなどが含まれる。「ターゲット銀行ごとに設定ファイルを用意すれば、切り替えるだけで攻撃対象を簡単に変更できる。ちなみに、設定ファイルは暗号化されており、解析に時間がかかるのが悩ましい」(岡本氏)。

 オンライン銀行詐欺ツールは、進化を続けている。海外ではモバイル版が確認されているほか、ATS(自動送金機能)を搭載したものも登場しており、日本でも確認されているという。

 そして5つめは、Windowsの脆弱性に関する話題だ。

 日本マイクロソフトの高橋正和氏は、「脆弱性はソフトウェア本体の不具合ではなく、ソフトウェアを悪用できる糸口」と定義し、「自動車に例えるならば、エンジンの故障や欠陥ではなく、車上荒らしに遭ったり、キーなしでエンジンをかけられたりするようなもの」と解説した。

日本マイクロソフトの高橋正和氏

 脆弱性に起因する被害でもっとも危険な期間は、脆弱性への更新プログラムが公開されてから適用されるまでの間だ。更新プログラムの公開により、攻撃者は悪用できるこを知り、すぐに攻撃を開始するからだ。

 「マイクロソフトでは、MAPP(Microsoft Active Protections Program)を通じて、公開の数日前にパートナーに詳細を通知、公開と同時にシグネチャを発表できるよう支援している。セキュリティパッチが出たら、なるべく早く適用することを推奨している」(高橋氏)。

(次ページ、詳しくない人にもリスクをきちんと伝える難しさ)


 

前へ 1 2 次へ

ピックアップ