まずは、一般ユーザーの立場から安全を見てみよう
エンドユーザーから見たクラウドサービスの不安
2010年11月30日 09時00分更新
Googleで「クラウド」と検索すると、ヒット数は約1330万件(2010年11月末時点)。恐ろしい数の情報やサービスがあふれかえる「クラウド」だが、多くのサービスが開発され互いに連携を始めた結果、意識してはいなくても誰しもがクラウドサービスを利用することになる。この「意識してはいなくても」というところがポイントの1つとなる、クラウド時代におけるユーザー視点でのセキュリティについて考えてみよう。
全世界的に見ても、人々は基本的にほとんど不安も感じずにインターネットを利用しているようだが、不安を感じるとすれば以下の2つに集約されるようだ。
- 個人情報の流出(オークション、ショッピング、オンラインバンキング、株取引等)
- ウイルス感染 (電子メール、ファイル交換ソフト利用)
エフセキュアが全世界で行なった調査「エフセキュアがグローバルで行った、オンラインの脅威に関する意識調査」によると、国民性の違いは大きくあるものの、特に個人情報の漏洩やプライバシーを問題視する割合が70%を超える国もある。
実際にはもっと多様な脅威が存在し、各々の脅威は互いに関連性もあるし、副次的に発生する脅威も存在する。実際に被害にあわないに越したことはないわけだ。しかし、実際の被害に会ってないこと+知らないことによる先入観(同調査)が結果として表れた結果といえるだろう。
SNSに潜む脅威
クラウドサービスにはさまざまな種類があるが、一般ユーザーが利用するクラウドサービスの代表に「SNS(ソーシャル ネットワーキング サービス)」がある。日本では、mixiやGREEなどが思い浮かぶ人が多いだろうか。さらに2010年に入ってから、Twitterの利用数も大幅に増加しているようだ。JR東日本企画によると、twitterは電車内での移動時間との親和性が高いため、利用率も高くなっているようだ。確かに、電車遅延情報などの情報が共有されたりすることもあり、社会人にはとても便利であり、そのショートメッセージ性が移動時間というシチュエーションにもマッチするのだろう。一方で、mixiはユーザーの滞在時間も長く、使用ユーザーの一日当たりの使用時間も3時間程度と長い傾向にある。SNSの使い分け、住み分けの傾向があるようだ。
また、海外発のFacebookやLinkedIn、MySpace、foursquareなども、日本語化されたことにより国内でも広まりつつある。また企業では、SNSを効率的に利用してサービスの充実化や業務の効率化を図っているところもある。よく見られるシーンとしては、Twitterを使った顧客への情報提供(旅行代理店や航空会社のフライト情報や空席情報の提供等)や、Facebook、LinkedInを使った採用活動だろう。FacebookやLinkedInは実名登録が原則で、加えてこれまでの業務経歴も参考にできるため、外資系企業を中心としてリクルート活動に使用することも多くある。
こういったSNSサービスへのアクセスは、個々のSNSごとにIDを作成・登録し、Webブラウザやスマートフォンの専用アプリケーションを使ってアクセスするのが一般的だ。
ブラウザは場所や端末を選ばないため、SNSをはじめとしたクラウド利用には最適な手段なのだが、ここにいくつかの落とし穴が存在する。
- ブラウザ自体の脆弱性やプラグインの脆弱性
- スマートフォンの接続アプリにも脆弱性
- サーバサイドでのコンテンツ修正が必要な問題
などである。
SNSでは、さまざまなショートリンクを使ってサイトを参照することが多い。SNSをはじめとして、ショートリンクを見かけることもあるだろう。さて、以下のショートリンクを見て、どこに行きつくかわかるだろうか?
実は、エフセキュアのブログサイトにつながっているのだ。
ショートリンクは、見ただけでは行き先を推測することができない。それでは、同じショートリンクでも、以下のように書いてあったら、リンクをクリックするだろうか。
怪しいニオイがぷんぷんする。しかし、フォローしているいつも信頼が置ける人のツイートにこれが書いてあったら、クリックする可能性があるのではないだろうか。
SNSはユーザーとユーザーの信頼や共通の趣味などに、つながりや信頼という前提を置いている。そのため、「リンク先がどこか」は意識しないものだ。ここが、SNSの危険なところなのだ。実際に、2010年9月にTwitterで事件が発生している。
Twitter上で、XSS(クロスサイトスクリプティング)を利用したワームが広がったのだ。このワームは、JavaScriptで書かれたコードで、Twitter上にツイートされていた。Twitterが抱えていた「onMouseOver脆弱性」を利用しており、TwitterアカウントにログインしているとマウスカーソルをそのJavaScriptに合わせただけで、同じワームを自分のアカウントにツイートしてしまうのだ。
このワームが広がったのは、ツイートをみたフォロワーが次々とツイートを繰り返すことになってしまう点である。そのような脆弱性のことは知らないし、リンクがフォローしている人のツイートに書いてあるため、そこにマウスを重ねたら、ただそれだけで拡散したのだ。
この脆弱性はTwitterサーバー側の問題だったため、ユーザーのWebブラウザのアップデートなどでは防ぐことができなかった。ユーザー側にできることは、Twitterにログインしない(ログインしないとツイートできないため)、ブラウザのJavaScriptを無効にする、Webブラウザを使わずに専用のクライアントソフトを使用するといった対処療法のみだったのだ。
このワーム自体は、Twitter上でワーム自身を拡散する活動を行なうだけだった。アカウント情報の取得や、不正なファイルのダウンロードを促すなどの、ユーザーに直接的な被害を与えるものではないのだ。しかし、こういった脆弱性が見つかった場合、往々にしてすぐに有害なワームも現われる。実際に数日後には、同じ脆弱性を利用してアフィリエイトに誘導するワームがツイートされていた。
全世界的にみると、世界最大のユーザ数を誇るSNSであるFacebookを利用した攻撃も大きな脅威となった。SNSでは広告プログラムの代わりに、メッセージとリンクでユーザーをアフィリエイトサイトへ誘導する。プログラムではなくメッセージという誘導方式のため、英語だけではなく各国の言語に翻訳されて広まっていく、まさにスパムとして活動している(エフセキュア「Facebookユーザが直面しているソーシャルネットワーク上のスパムの実情」)。
こういった判断しようがないリンクであったり、サーバサイドの問題による被害を避けるのは、個人の努力では限度がある。たとえば、エフセキュアでは積極的にクラウドのレピュテーションサービスを利用するウイルス対策ソフト「エフセキュア インターネット セキュリティ 2011」を提供している。こうしたセキュリティ製品を利用し、そして、やはり不用意なクリックを避けるよう注意して見ることが重要だ。
(次ページ、「クラウドではデータはどう管理されているのか」に続く)
この連載の記事
-
第5回
クラウド
クラウドを支える「サーバー仮想化」のセキュリティとは? -
第4回
クラウド
SaaS利用時には要注意!Webアプリのセキュリティ -
第3回
クラウド
自社設備でOK?企業がクラウドを使う上でのリスク管理 -
第1回
クラウド
クラウド導入の懸念事項「セキュリティ」の問題はどこ? -
クラウド
知っておきたいクラウドのリスクとセキュリティ - この連載の一覧へ