詳しくない人にもリスクをきちんと伝える難しさ
以上の問題が組み合わさったとき、どんな脅威が想定できるのか。
モデレーターの高橋氏は、StuxnetやDigiNotar、そしてHeartbleedの一件から、サーバ証明書や暗号化の運用の大切さを再認識させられたと指摘。「これは事業者だけでなく、ユーザーも同じ。たとえば、Internet Explorer 6ではルート証明書の更新がデフォルトで無効になっており、Heartbleed対策で事業者が証明書を再発行しても、クライアント側で有効に設定していないと更新されない」として、ユーザーの知識の補強も求められる現状を説いた。
岡本氏も、Webサイト改ざんの主目的は不正プログラムの配布であり、偽サイトの正当性を偽装できれば攻撃者の成功率は高まると賛同。辻氏も、偽サイトを使えば長くて複雑なパスワードもそのまま盗めてしまい、リスト型攻撃にも利用できると述べる。また、神田氏は同問題がファイルやアプリケーション向け証明書のコードサイニング証明書にも波及すると指摘、盗んだ正規のルート証明書とコードサイニング証明書、不正プログラムを組み合わせれば、誰も偽物と気付かず受け入れてしまう可能性は高くなるとした。
「KADOKAWAの公式サイト改ざん事件では、詳細が発表されるまでの間、偽サイト作ってID/PWを抽出する攻撃だったらなどと妄想していた」(辻氏)
もっとも、こうした攻撃についても最低限できる対策はある。脆弱性情報も、誰もが確認できるよう公開されている。「それでも対策しないところが多い。よりセキュリティ強度の高いOSやブラウザのバージョンにアップグレードしていない人が多いのも、良い例」と、米谷氏は苦悶する。実際、OpenSSLの脆弱性問題では、事業者側だけでなくユーザー側の確認や設定変更も要求される。だが、その重要性が伝わり切れておらず、しかもやや専門知識を要するので分からないと投げ出されがちだ。
高橋氏はその1つの解として、アプリストアのようなものを活用する案を挙げた。「一元管理できるし、アプリの検査も行われるし、アップデートもストア経由で行なわれる。詳しくない人でも安全にサービスを使える仕組みだ」。
また、神田氏は「(脆弱性を公表してもセキュリティパッチ公開後にすぐ対応しない人たちがいるのであれば)、むしろ正式公開前に定例パッチに潜り込ませて対策済みにしておくことはできないか」と提案。高橋氏も、脆弱性情報の完全公開と調整管理に基づく公開の議論があり、今後の課題と述べた。
「iOSにもHeartbleedに似たgoto fail脆弱性が発見されている。こうしたリスクがあることを前提に事後対策を考えることも重要」(神田氏)
「セキュリティに特効薬はない。最低限これだけはやってほしいと伝えて対策を促すなど、より良い情報提供の方法をこれからも考えていきたい」(岡本氏)。
